Utiliser les incidents dans plusieurs espaces de travail simultanément

Pour tirer pleinement parti des fonctionnalités de Microsoft Sentinel, Microsoft recommande l’utilisation d’un environnement avec un seul espace de travail. Toutefois, il existe certains cas qui nécessitent plusieurs espaces de travail, par exemple, dans le cas d’un fournisseur de services de sécurité gérés (MSSP) et de ses clients, sur plusieurs locataires. L’affichage de plusieurs espaces de travail vous permet de voir et d’utiliser les incidents de sécurité sur plusieurs espaces de travail en même temps, y compris sur différents locataires. Cela vous permet de conserver une visibilité et un contrôle complets de la réactivité de votre organisation en matière de sécurité.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Accès à l’affichage de plusieurs espaces de travail

Lorsque vous ouvrez Microsoft Sentinel, vous voyez s’afficher la liste de tous les espaces de travail pour lesquels vous avez des droits d’accès, sur l’ensemble des locataires et abonnements sélectionnés. À gauche de chaque nom d’espace de travail se trouve une case à cocher. Sélectionnez le nom d’un espace de travail pour afficher cet espace de travail. Pour choisir plusieurs espaces de travail, sélectionnez toutes les cases à cocher correspondantes, puis sélectionnez le bouton Afficher les incidents en haut de la page.

Important

L’affichage de plusieurs espaces de travail prend à présent en charge un maximum de 100 espaces de travail affichés simultanément.

Notez que dans la liste des espaces de travail, vous pouvez voir le répertoire, l’abonnement, l’emplacement et le groupe de ressources associés à chaque espace de travail. Le répertoire correspond au locataire.

Utilisation des incidents

L’affichage de plusieurs espaces de travail est actuellement disponible uniquement pour les incidents. Dans la plupart des cas, l’apparence et le fonctionnement de cette page est identique à ceux de la page Incidents normale, avec les différences importantes suivantes :

• Les compteurs situés en haut de la page (Incidents ouverts, Nouveaux incidents, Incidents actifs, etc.) montrent les chiffres de tous les espaces de travail sélectionnés.

• Vous verrez les incidents de tous les espaces de travail et répertoires sélectionnés (locataires) dans une seule liste unifiée. Vous pouvez filtrer cette liste par espace de travail et par répertoire, en plus des filtres de l’écran normal des incidents.

• Vous devez disposer d’autorisations en lecture et en écriture sur tous les espaces de travail pour lesquels vous avez sélectionné des incidents. Si vous disposez uniquement d’autorisations de lecture sur certains espaces de travail, des messages d’avertissement s’affichent si vous sélectionnez les incidents dans ces espaces de travail. Vous ne pouvez pas modifier ces incidents, ni les autres que vous avez sélectionnés en même temps (même si vous disposez des autorisations pour les autres).

• Si vous choisissez un incident et que vous cliquez sur Voir les détails complets ou Actions>Examiner, vous vous trouverez à partir de là dans le contexte de données de l’espace de travail de cet incident et non des autres.

Étapes suivantes

Dans cet article, vous avez appris à consulter et utiliser les incidents dans plusieurs espaces de travail Microsoft Sentinel simultanément. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
• Prise en main de la détection des menaces avec Microsoft Sentinel.