分享方式:


一次處理多個工作區中的事件

為了充分利用 Microsoft Sentinel 的功能,Microsoft 建議使用單一工作區環境。 不過,在某些情況下,有些使用案例需要有數個工作區,例如,跨多個租用戶的受控安全性服務提供者 (MSSP) 及其客戶。 多重工作區檢視可讓您同時查看及處理數個工作區的安全性事件 (甚至能跨租用戶),讓您得以完整檢視和控制組織的安全性回應能力。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

如果您將Microsoft Sentinel 上線至 Microsoft Defender 入口網站,請參閱 Microsoft Defender 多租使用者管理

輸入多重工作區檢視

當您開啟Microsoft Sentinel 時,您會看到您擁有所有所選租用戶和訂用帳戶訪問許可權的所有工作區清單。 選取單一工作區的名稱會帶您進入該工作區。 若要選擇多個工作區,請選取所有對應的核取方塊,然後選取頁面頂端的 [檢視事件] 按鈕。

重要

多重工作區檢視現在最多能支援 100 個同時顯示的工作區。

在工作區清單中,您可以看到與每個工作區相關聯的目錄、訂用帳戶、位置和資源群組。 目錄會對應至租用戶。

選取多個工作區的螢幕快照。

使用事件

多重工作區檢視目前僅適用於事件。 此頁面大致上看起來及使用上與一般的 [事件] 頁面相差無幾,但存在下列重要的差異:

跨多個工作區檢視事件的螢幕快照。

  • 頁面頂端的計數器 - [開啟事件]、[新增事件]、[作用中事件] 等,可一併顯示所有選取工作區的總數。

  • 您會在單一統一清單中看到來自所有所選工作區和目錄(租使用者)的事件。 除了來自一般 [事件] 畫面的篩選之外,您還可以依工作區和目錄篩選清單。

  • 您必須擁有選取的事件之所有工作區的讀取和寫入許可權。 如果您只有某些工作區的讀取許可權,如果您在這些工作區中選取事件,就會看到警告訊息。 您無法修改這些事件或任何您一起選取的事件(即使您擁有其他人的許可權也一樣)。

  • 如果您選擇單一事件,然後選取 [檢視完整詳細數據] 或 [動作>調查],您將會從該事件工作區的數據內容中開始,且沒有其他人。

下一步

在本文中,您已學習到如何同時在多個 Microsoft Sentinel 工作區中檢視及使用事件。 若要深入了解 Microsoft Sentinel,請參閱下列文章: