同时处理许多工作区中的事件
为了充分利用 Microsoft Sentinel 的功能,Microsoft 建议使用单工作区环境。 但是,在某些情况下,有些用例需要有多个跨多个租户的工作区,例如托管安全服务提供商 (MSSP) 及其客户就是如此。 利用多工作区视图,你可以同时跨多个工作区(甚至跨租户)查看和处理安全事件,因此能够完全洞察和控制组织的安全响应能力。
进入多工作区视图
打开 Microsoft Sentinel 时,会显示一个列表,其中列出了所有选定租户和订阅中你具有访问权限的所有工作区。 选择单个工作区的名称即可进入该工作区。 若要选择多个工作区,请选择所有对应的复选框,然后选择页面顶部的“查看事件”按钮。
重要
多工作区视图当前支持最多同时显示 100 个工作区。
在工作区列表中,可以看到与每个工作区关联的目录、订阅、位置和资源组。 目录对应于租户。
处理事件
多工作区视图当前仅适用于事件。 此页面的外观和功能非常类似于常规“事件”页面,但有以下重要区别:
页面顶部的计数器(“待处理事件”、“新事件”、“正在进行”,等等)显示与所有选定工作区对应的总数。
你将在单个统一列表中看到所有选定工作区和目录(租户)的事件数。 除了常规“事件”屏幕中的筛选器外,你还可以按工作区和目录筛选列表。
你需要对你从中选择了事件的所有工作区具有读写权限。 如果你在某些工作区上只具有读取权限,则选择这些工作区中的事件时,将会显示警告消息。 你不能修改这些事件,也不能修改与这些事件一起选择的任何其他事件(即使你对其他事件具有权限)。
如果选择单个事件并选择“查看完整详细信息”或“操作”>“调查”,则从那时起你将处于该事件的工作区的数据上下文中,不再处于其他事件的上下文中。
后续步骤
本文章介绍了如何同时查看和处理多个 Microsoft Sentinel 工作区中的事件。 若要详细了解 Microsoft Sentinel,请参阅以下文章: