次の方法で共有


多くのワークスペースのインシデントを一度に処理する

Microsoft Sentinel の機能を最大限に活用するために、Microsoft では 1 つのワークスペース環境を使用することをお勧めしています。 ただし、複数のテナントにまたがって複数のワークスペース ( たとえば、マネージド セキュリティ サービス プロバイダー (MSSP) とその顧客のワークスペース) が必要なユース ケースがいくつかあります。 複数のワークスペース ビュー を使用すると、複数のワークスペース間のセキュリティ インシデントを同時に確認して操作できるため、テナント間であっても、組織のセキュリティの応答性を完全に可視化および制御できます。

米国政府機関向けクラウドでの機能の可用性の詳細については、米国 政府のお客様向けのクラウド機能の可用性に関する Microsoft Sentinel テーブルを参照してください。

Microsoft Sentinel を Microsoft Defender ポータルにオンボードする場合は、次を参照してください。

複数ワークスペースの表示に移る

Microsoft Sentinel を開くと、選択したすべてのテナントとサブスクリプション全体の、ご自身がアクセス権を持つすべてのワークスペースの一覧が表示されます。 1 つのワークスペースの名前を選択すると、そのワークスペースに移動します。 複数のワークスペースを選択するには、対応するすべてのチェックボックスを選択し、ページの上部にある [ インシデントの表示 ] ボタンを選択します。

重要

現在、[複数ワークスペース ビュー] では、最大 100 個ワークスペースを同時に表示できます。

ワークスペースの一覧には、各ワークスペースに関連付けられているディレクトリ、サブスクリプション、場所、リソース グループが表示されます。 ディレクトリはテナントに対応します。

複数のワークスペースを選択するスクリーンショット。

インシデントに対応する

現在、複数ワークスペース ビューはインシデントでのみ使用できます。 このページは、通常の インシデント ページと同様に、次の重要な違いを持つほとんどの方法で表示および機能します。

複数のワークスペース間でインシデントを表示するスクリーンショット。

  • ページ上部のカウンター ([インシデントを開く]、[新しいインシデント]、[Active incidents](アクティブなインシデント) など) には、選択したすべてのワークスペースについての数が集合的に表示されます。

  • 選択したすべてのワークスペースとディレクトリ (テナント) のインシデントが、統合された 1 つの一覧に表示されます。 ワークスペースおよびディレクトリで一覧をフィルターすることに加えて、通常のインシデント画面のフィルターも使用できます。

  • インシデントを選択したすべてのワークスペースに対して、読み取りと書き込みの権限が必要です。 一部のワークスペースに対して読み取り権限しかない場合、それらのワークスペースでインシデントを選択すると、警告メッセージが表示されます。 それらのインシデントも、それらと一緒に選択した他のインシデントも (他のものに対する権限がある場合でも) 変更できません。

  • 1 つのインシデントを選択し、[完全な詳細の表示] または [アクション] >Investigate を選択した場合は、そのインシデントのワークスペースのデータ コンテキストに含まれることになります。それ以外は存在しません。

次のステップ

この記事では、複数の Microsoft Sentinel ワークスペースのインシデントを同時に表示して操作する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。