Microsoft Sentinel の機能を最大限に活用するために、Microsoft では 1 つのワークスペース環境を使用することをお勧めしています。 ただし、複数のテナントにまたがって複数のワークスペース ( たとえば、マネージド セキュリティ サービス プロバイダー (MSSP) とその顧客のワークスペース) が必要なユース ケースがいくつかあります。 複数のワークスペース ビュー を使用すると、複数のワークスペース間のセキュリティ インシデントを同時に確認して操作できるため、テナント間であっても、組織のセキュリティの応答性を完全に可視化および制御できます。
注
米国政府機関向けクラウドでの機能の可用性の詳細については、米国 政府のお客様向けのクラウド機能の可用性に関する Microsoft Sentinel テーブルを参照してください。
Microsoft Sentinel を Microsoft Defender ポータルにオンボードする場合は、次を参照してください。
複数ワークスペースの表示に移る
Microsoft Sentinel を開くと、選択したすべてのテナントとサブスクリプション全体の、ご自身がアクセス権を持つすべてのワークスペースの一覧が表示されます。 1 つのワークスペースの名前を選択すると、そのワークスペースに移動します。 複数のワークスペースを選択するには、対応するすべてのチェックボックスを選択し、ページの上部にある [ インシデントの表示 ] ボタンを選択します。
重要
現在、[複数ワークスペース ビュー] では、最大 100 個ワークスペースを同時に表示できます。
ワークスペースの一覧には、各ワークスペースに関連付けられているディレクトリ、サブスクリプション、場所、リソース グループが表示されます。 ディレクトリはテナントに対応します。
インシデントに対応する
現在、複数ワークスペース ビューはインシデントでのみ使用できます。 このページは、通常の インシデント ページと同様に、次の重要な違いを持つほとんどの方法で表示および機能します。
ページ上部のカウンター ([インシデントを開く]、[新しいインシデント]、[Active incidents](アクティブなインシデント) など) には、選択したすべてのワークスペースについての数が集合的に表示されます。
選択したすべてのワークスペースとディレクトリ (テナント) のインシデントが、統合された 1 つの一覧に表示されます。 ワークスペースおよびディレクトリで一覧をフィルターすることに加えて、通常のインシデント画面のフィルターも使用できます。
インシデントを選択したすべてのワークスペースに対して、読み取りと書き込みの権限が必要です。 一部のワークスペースに対して読み取り権限しかない場合、それらのワークスペースでインシデントを選択すると、警告メッセージが表示されます。 それらのインシデントも、それらと一緒に選択した他のインシデントも (他のものに対する権限がある場合でも) 変更できません。
1 つのインシデントを選択し、[完全な詳細の表示] または [アクション] >Investigate を選択した場合は、そのインシデントのワークスペースのデータ コンテキストに含まれることになります。それ以外は存在しません。
次のステップ
この記事では、複数の Microsoft Sentinel ワークスペースのインシデントを同時に表示して操作する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinel で脅威の検出を開始します。