Arbeiten mit Vorfällen in vielen Arbeitsbereichen gleichzeitig

Um die Funktionen von Microsoft Sentinel in vollem Umfang nutzen zu können, empfiehlt Microsoft die Verwendung einer Umgebung mit einem einzelnen Arbeitsbereich. Es gibt jedoch einige Anwendungsfälle, bei denen in einigen Fällen – (z. B. bei einem Managed Security Service Provider (MSSP) und seinen Kunden – mehrere Arbeitsbereiche mit mehreren Mandanten benötigt werden. In der Ansicht mit mehreren Arbeitsbereichen können Sie mehrere Sicherheitsvorfälle in mehreren Arbeitsbereichen gleichzeitig anzeigen und mit ihnen arbeiten. Dies ist sogar mandantenübergreifend möglich, sodass Sie die volle Transparenz und Kontrolle über die Sicherheitsreaktionsfähigkeit Ihrer Organisation behalten.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wechseln zur Ansicht mit mehreren Arbeitsbereichen

Wenn Sie Microsoft Sentinel öffnen, sehen Sie eine Liste aller Arbeitsbereiche, für die Sie über Zugriffsrechte verfügen, und zwar über alle ausgewählten Mandanten und Abonnements hinweg. Auf der linken Seite jedes Arbeitsbereichsnamens befindet sich ein Kontrollkästchen. Durch Auswählen des Namens eines einzelnen Arbeitsbereichs gelangen Sie zu diesem Arbeitsbereich. Wenn Sie mehrere Arbeitsbereiche auswählen möchten, aktivieren Sie die entsprechenden Kontrollkästchen, und wählen Sie dann oben auf der Seite die Option Incidents anzeigen aus.

Wichtig

In der Ansicht mit mehreren Arbeitsbereichen werden jetzt maximal 100 gleichzeitig angezeigte Arbeitsbereiche unterstützt.

Beachten Sie, dass in der Liste der Arbeitsbereiche das Verzeichnis, das Abonnement, der Standort und die Ressourcengruppe jedes einzelnen Arbeitsbereichs angezeigt werden. Das Verzeichnis entspricht dem Mandanten.

Screenshot des Auswählens mehrerer Arbeitsbereiche.

Arbeiten mit Vorfällen

Die Ansicht mit mehreren Arbeitsbereichen ist derzeit nur für Incidents verfügbar. Aussehen und Funktionsweise dieser Seite entsprechen im Großen und Ganzen denen der regulären Seite Incidents. Es gibt jedoch ein paar wichtige Unterschiede:

Screenshot des Anzeigens von Vorfällen in mehreren Arbeitsbereichen.

  • Die Indikatoren am oberen Rand der Seite (Offene Incidents, Neue Incidents, In Bearbeitung usw.) geben Sie die Werte für alle ausgewählten Arbeitsbereiche an.

  • Es werden Vorfälle aus allen ausgewählten Arbeitsbereichen und Verzeichnissen (Mandanten) in einer einzigen vereinheitlichten Liste angezeigt. Zusätzlich zu den Filtern im regulären Vorfälle-Bildschirm können Sie die Liste nach Arbeitsbereich und Verzeichnis filtern.

  • Sie müssen über Lese- und Schreibberechtigungen für alle Arbeitsbereiche verfügen, von denen Sie Vorfälle ausgewählt haben. Wenn Sie für einige Arbeitsbereiche nur über Leseberechtigungen verfügen, werden bei der Auswahl von Vorfällen in diesen Arbeitsbereichen Warnmeldungen angezeigt. Sie können diese oder andere gemeinsam ausgewählte Vorfälle nicht ändern (selbst wenn Sie für die anderen Vorfälle über Berechtigungen verfügen).

  • Wenn Sie einen einzelnen Vorfall auswählen und auf Vollständige Details anzeigen oder Aktionen>Untersuchen klicken, gelangen Sie in den Datenkontext des Arbeitsbereichs dieses speziellen Vorfalls.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Vorfälle in mehreren Microsoft Sentinel-Arbeitsbereichen gleichzeitig anzeigen und mit diesen arbeiten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: