Como trabalhar com incidentes em muitos workspaces ao mesmo tempo
Para aproveitar ao máximo os recursos do Microsoft Sentinel, a Microsoft recomenda usar um ambiente de espaço de trabalho único. No entanto, há alguns casos de uso que exigem ter vários workspaces, em alguns casos, por exemplo, de um provedor de serviços de segurança gerenciado (MSSP) e de seus clientes, em vários locatários. A exibição de vários workspaces permite ver e trabalhar com incidentes de segurança em vários workspaces ao mesmo tempo, mesmo entre locatários, permitindo que você mantenha a visibilidade e o controle totais da capacidade de resposta de segurança de sua organização.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Inserindo exibição de vários workspaces
Ao abrir o Microsoft Sentinel, você verá uma lista de todos os workspaces aos quais você tem direitos de acesso, em todos os locatários e assinaturas selecionados. À esquerda de cada nome de workspace está uma caixa de seleção. Selecionar o nome de um único workspace vai levá-lo a esse workspace. Para escolher vários workspaces, marque todas as caixas de seleção correspondentes e, em seguida, selecione o botão Ver incidentes na parte superior da página.
Importante
A exibição de vários workspaces agora dá suporte a um máximo de 100 workspaces exibidos simultaneamente.
Observe que na lista de workspaces, você pode ver o diretório, a assinatura, o local e o grupo de recursos associados a cada workspace. O diretório corresponde ao locatário.
Trabalhando com incidentes
No momento, a exibição de vários workspaces está disponível apenas para incidentes. Esta página parece e funciona de forma semelhante à página normal de incidentes com as seguintes diferenças:
Os contadores na parte superior da página - Incidentes abertos, Novos incidentes, Incidentes ativos, etc. – mostram os números de todos os workspaces selecionados coletivamente.
Você verá incidentes de todos os workspaces e diretórios (locatários) selecionados em uma única lista unificada. Você pode filtrar a lista por workspace e diretório, além dos filtros da tela normalIncidentes.
Você precisará ter permissões de leitura e gravação em todos os workspaces dos quais selecionou incidentes. Se em alguns workspaces você tiver apenas permissão de leitura, você verá mensagens de aviso ao selecionar incidentes nesses workspaces. Você não poderá modificar esses incidentes ou quaisquer outros que tenha selecionado com eles (mesmo se você tiver permissões para os outros).
Se você escolher um único incidente e clicar em Exibir detalhes completos ou Ações>Investigar, você estará no contexto de dados do workspace desse incidente e nenhum outro.
Próximas etapas
Neste artigo, você aprendeu a exibir e trabalhar com incidentes em vários workspaces do Microsoft Sentinel simultaneamente. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos: