Praca ze zdarzeniami w wielu obszarach roboczych jednocześnie

  • Artykuł

Aby w pełni wykorzystać możliwości usługi Microsoft Sentinel, firma Microsoft zaleca korzystanie ze środowiska z jednym obszarem roboczym. Jednak istnieją pewne przypadki użycia, które wymagają kilku obszarów roboczych, w niektórych przypadkach — na przykład zarządzanego dostawcy usług zabezpieczeń (MSSP) i jego klientów — w wielu dzierżawach. Widok wielu obszarów roboczych umożliwia wyświetlanie zdarzeń zabezpieczeń i pracę z zdarzeniami zabezpieczeń w wielu obszarach roboczych w tym samym czasie, nawet w różnych dzierżawach, co pozwala zachować pełną widoczność i kontrolę nad czasem reakcji na zabezpieczenia organizacji.

Uwaga

Aby uzyskać informacje na temat dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.

Wprowadzanie wielu widoków obszaru roboczego

Po otwarciu usługi Microsoft Sentinel zostanie wyświetlona lista wszystkich obszarów roboczych, do których masz prawa dostępu, we wszystkich wybranych dzierżawach i subskrypcjach. Po lewej stronie każdej nazwy obszaru roboczego znajduje się pole wyboru. Wybranie nazwy pojedynczego obszaru roboczego spowoduje przejście do tego obszaru roboczego. Aby wybrać wiele obszarów roboczych, zaznacz wszystkie odpowiednie pola wyboru, a następnie wybierz przycisk Wyświetl incydenty w górnej części strony.

Ważne

Widok wielu obszarów roboczych obsługuje teraz maksymalnie 100 współbieżnie wyświetlanych obszarów roboczych.

Pamiętaj, że na liście obszarów roboczych można zobaczyć katalog, subskrypcję, lokalizację i grupę zasobów skojarzona z każdym obszarem roboczym. Katalog odpowiada dzierżawie.

Zrzut ekranu przedstawiający wybieranie wielu obszarów roboczych.

Praca ze zdarzeniami

Widok wielu obszarów roboczych jest obecnie dostępny tylko dla zdarzeń. Ta strona wygląda i działa na większość sposobów, takich jak zwykła strona Incydenty , z następującymi ważnymi różnicami:

Zrzut ekranu przedstawiający wyświetlanie zdarzeń w wielu obszarach roboczych.

  • Liczniki w górnej części strony — Otwarte zdarzenia, Nowe zdarzenia, Aktywne incydenty itp. — pokazują liczby wszystkich wybranych obszarów roboczych zbiorczo.

  • Zdarzenia ze wszystkich wybranych obszarów roboczych i katalogów (dzierżaw) będą widoczne na jednej ujednoliconej liście. Listę można filtrować według obszaru roboczego i katalogu, oprócz filtrów na ekranie Zwykłe zdarzenia .

  • Musisz mieć uprawnienia do odczytu i zapisu we wszystkich obszarach roboczych, z których wybrano zdarzenia. Jeśli masz tylko uprawnienia do odczytu w niektórych obszarach roboczych, w przypadku wybrania zdarzeń w tych obszarach roboczych będą wyświetlane komunikaty ostrzegawcze. Nie będzie można modyfikować tych zdarzeń ani innych, które zostały wybrane razem z tymi zdarzeniami (nawet jeśli masz uprawnienia dla innych osób).

  • Jeśli wybierzesz pojedyncze zdarzenie i klikniesz pozycję Wyświetl pełne szczegóły lub Akcje>Zbadaj, od tego momentu będziesz znajdować się w kontekście danych obszaru roboczego tego zdarzenia i nie ma innych.

Następne kroki

W tym artykule przedstawiono sposób jednoczesnego wyświetlania zdarzeń i pracy z zdarzeniami w wielu obszarach roboczych usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: