Microsoft Sentinelの機能を最大限に活用するために、Microsoft では単一ワークスペース環境を使用することをお勧めします。 ただし、複数のテナント間で複数のワークスペース ( たとえば、マネージド セキュリティ サービス プロバイダー (MSSP) とその顧客) を持つ必要があるユース ケースがいくつかあります。 複数のワークスペース ビューを使用すると、テナント間でも複数のワークスペースにわたってセキュリティ インシデントを同時に表示および操作できるため、organizationのセキュリティの応答性を完全に可視化して制御できます。
注:
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。
Microsoft Defender ポータルにMicrosoft Sentinelをオンボードする場合は、次を参照してください。
複数のワークスペース ビューの入力
Microsoft Sentinelを開くと、選択したすべてのテナントとサブスクリプションにわたって、アクセス権を持つすべてのワークスペースの一覧が表示されます。 1 つのワークスペースの名前を選択すると、そのワークスペースに移動します。 複数のワークスペースを選択するには、対応するすべてのチェック ボックスをオンにし、ページの上部にある [ インシデントの表示 ] ボタンを選択します。
重要
複数のワークスペース ビューで、同時に表示される最大 100 個のワークスペースがサポートされるようになりました。
ワークスペースの一覧には、各ワークスペースに関連付けられているディレクトリ、サブスクリプション、場所、およびリソース グループが表示されます。 ディレクトリはテナントに対応します。
インシデントの処理
現在、複数のワークスペース ビューはインシデントでのみ使用できます。 このページは、通常の [インシデント] ページと同様に、次の重要な違いを持つほとんどの方法で表示および機能します。
ページの上部にあるカウンター ( [インシデントを開く]、[ 新しいインシデント]、[ アクティブなインシデント] など) には、選択したすべてのワークスペースの番号をまとめて表示します。
選択したすべてのワークスペースとディレクトリ (テナント) のインシデントが 1 つの統合リストに表示されます。 一覧は、通常の [インシデント ] 画面のフィルターに加えて、ワークスペースとディレクトリでフィルター処理できます。
インシデントを選択したすべてのワークスペースに対する読み取りと書き込みのアクセス許可が必要です。 一部のワークスペースに対する読み取りアクセス許可しかない場合は、それらのワークスペースでインシデントを選択すると警告メッセージが表示されます。 これらのインシデントや、それらのインシデントと一緒に選択した他のインシデントは変更できません (他のインシデントに対するアクセス許可がある場合でも)。
1 つのインシデントを選択し、[ 完全な詳細の表示 ] または [アクション>Investigate] を選択すると、そのインシデントのワークスペースのデータ コンテキストに移動し、他のユーザーは存在しません。
次の手順
この記事では、複数のMicrosoft Sentinel ワークスペースでインシデントを同時に表示して操作する方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinelで脅威の検出を開始します。