為了充分發揮 Microsoft Sentinel 的功能,Microsoft 建議使用單一工作空間環境。 然而,有些使用情境需要多個工作空間,例如管理 安全服務供應商 (MSSP) 及其客戶——跨越多個租戶。 多工作區檢視 讓你能同時看到並處理多個工作空間,甚至跨租戶處理安全事件,讓你能完全掌握組織的安全回應能力。
注意事項
關於美國政府雲端功能可用性的資訊,請參閱 Microsoft Sentinel 在雲端中為美國政府客戶提供的功能可用性表格。
如果你將 Microsoft Sentinel 導入 Microsoft Defender 入口網站,請參考:
進入多重工作區檢視
當你打開 Microsoft Sentinel 時,會看到一份你擁有存取權限的所有工作空間清單,涵蓋所有所選租戶和訂閱。 選擇單一工作區名稱即可進入該工作區。 要選擇多個工作區,請勾選所有對應的勾選框,然後在頁面頂端選擇 「檢視事件」 按鈕。
重要事項
多重工作區檢視現在最多支援 100 個同時顯示的工作區。
在工作區清單中,你可以看到每個工作區所關聯的目錄、訂閱、位置和資源群組。 該目錄對應租戶。
處理事件
多重工作區檢視目前僅適用於事件事件。 本頁在外觀與運作上與一般 事件 頁面相似,但有以下重要差異:
頁面頂端的計數器—— 開啟事件、 新事件、 活躍事件等——會顯示所有被選工作區的總數字。
你會看到所有選取的工作區和目錄 (租戶) 事件,集中在同一個統一清單中。 你可以依工作區和目錄篩選清單,除了一般 事件畫面的 篩選功能外。
你需要對所有選擇事件的工作區擁有讀寫權限。 如果你只在某些工作區有讀取權限,當你在那些工作區選擇事件時會看到警告訊息。 即使你對其他事件) 有權限,也無法修改那些事件或你選擇的其他事件與這些 (。
如果你選擇單一事件並選擇 「查看完整細節 」或「 行動>調查」,從此你就會進入該事件工作區的資料情境,不會有其他事件。
後續步驟
在本文中,你學會了如何同時檢視並處理多個 Microsoft Sentinel 工作空間中的事件。 想了解更多關於 Microsoft Sentinel 的資訊,請參閱以下文章:
- 學習如何 讓資料與潛在威脅獲得可視化。
- 開始用 Microsoft Sentinel 偵測威脅。