Share via

Werken met incidenten in veel werkruimten tegelijk

  • Artikel
  • Geldt voor:
    Microsoft Sentinel in the Azure portal

Als u optimaal gebruik wilt maken van de mogelijkheden van Microsoft Sentinel, raadt Microsoft aan om een omgeving met één werkruimte te gebruiken. Er zijn echter enkele use cases waarvoor meerdere werkruimten nodig zijn, in sommige gevallen, bijvoorbeeld die van een Managed Security Service Provider (MSSP) en de bijbehorende klanten, in meerdere tenants. Met meerdere werkruimteweergaven kunt u beveiligingsincidenten in verschillende werkruimten tegelijk zien en ermee werken, zelfs in tenants, zodat u volledige zichtbaarheid en controle over de reactiesnelheid van uw organisatie op het gebied van beveiliging kunt behouden.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Als u Microsoft Sentinel onboardt naar de Microsoft Defender-portal, raadpleegt u Het beheer voor meerdere tenants van Microsoft Defender.

Meerdere werkruimteweergaven invoeren

Wanneer u Microsoft Sentinel opent, ziet u een lijst met alle werkruimten waarvoor u toegangsrechten hebt, voor alle geselecteerde tenants en abonnementen. Als u de naam van één werkruimte selecteert, komt u in die werkruimte. Als u meerdere werkruimten wilt kiezen, selecteert u alle bijbehorende selectievakjes en selecteert u vervolgens de knop Incidenten weergeven boven aan de pagina.

Belangrijk

Meerdere werkruimteweergaven ondersteunen nu maximaal 100 gelijktijdig weergegeven werkruimten.

In de lijst met werkruimten ziet u de map, het abonnement, de locatie en de resourcegroep die aan elke werkruimte is gekoppeld. De map komt overeen met de tenant.

Schermopname van het selecteren van meerdere werkruimten.

Werken met incidenten

Er zijn momenteel alleen meerdere werkruimteweergaven beschikbaar voor incidenten. Deze pagina ziet er op de meeste manieren uit en werkt op de meeste manieren zoals de reguliere incidentenpagina , met de volgende belangrijke verschillen:

Schermopname van het weergeven van incidenten in meerdere werkruimten.

  • De tellers boven aan de pagina- Open incidenten, Nieuwe incidenten, Actieve incidenten, enzovoort, geven de getallen voor alle geselecteerde werkruimten gezamenlijk weer.

  • U ziet incidenten uit alle geselecteerde werkruimten en mappen (tenants) in één uniforme lijst. U kunt de lijst filteren op werkruimte en map, naast de filters uit het normale incidentenscherm.

  • U moet lees- en schrijfmachtigingen hebben voor alle werkruimten waaruit u incidenten hebt geselecteerd. Als u alleen leesmachtigingen voor sommige werkruimten hebt, ziet u waarschuwingsberichten als u incidenten in die werkruimten selecteert. U kunt deze incidenten of andere incidenten die u hebt geselecteerd niet wijzigen samen met die incidenten (zelfs als u wel machtigingen voor de anderen hebt).

  • Als u één incident kiest en volledige details of acties>onderzoeken selecteert, bevindt u zich vervolgens in de gegevenscontext van de werkruimte van dat incident en geen andere.

Volgende stappen

In dit artikel hebt u geleerd hoe u incidenten in meerdere Microsoft Sentinel-werkruimten tegelijk kunt weergeven en ermee kunt werken. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: