同时处理许多工作区中的事件

  • 项目

为了充分利用 Microsoft Sentinel 的功能,Microsoft 建议使用单工作区环境。 但是,在某些情况下,有些用例需要有多个跨多个租户的工作区,例如托管安全服务提供商 (MSSP) 及其客户就是如此。 利用多工作区视图,你可以同时跨多个工作区(甚至跨租户)查看和处理安全事件,因此能够完全洞察和控制组织的安全响应能力。

进入多工作区视图

打开 Microsoft Sentinel 时,会显示一个列表,其中列出了所有选定租户和订阅中你具有访问权限的所有工作区。 每个工作区名称的左侧都有一个复选框。 选择单个工作区的名称将进入该工作区。 若要选择多个工作区,请选择所有对应的复选框,然后选择页面顶部的“查看事件”按钮。

重要

多工作区视图当前支持最多同时显示 100 个工作区。

请注意,在工作区列表中,可以看到与每个工作区关联的目录、订阅、位置和资源组。 目录对应于租户。

Screenshot of selecting multiple workspaces.

处理事件

多工作区视图当前仅适用于事件。 此页面的外观和功能非常类似于常规“事件”页面,但有以下重要区别:

Screenshot of viewing incidents across multiple workspaces.

  • 页面顶部的计数器(“待处理事件”、“新事件”、“正在进行”,等等)显示与所有选定工作区对应的总数。

  • 你将在单个统一列表中看到所有选定工作区和目录(租户)的事件数。 除了常规“事件”屏幕中的筛选器外,你还可以按工作区和目录筛选列表。

  • 你需要对你从中选择了事件的所有工作区具有读写权限。 如果你在某些工作区上只具有读取权限,则选择这些工作区中的事件时,将会显示警告消息。 你将不能修改这些事件,也不能修改与这些事件一起选择的任何其他事件(即使你对其他事件具有权限)。

  • 如果选择单个事件并单击“查看完整详细信息”或“操作”>“调查” ,则从那时起你将处于该事件的工作区的数据上下文中,不再处于其他事件的上下文中。

后续步骤

本文章介绍了如何同时查看和处理多个 Microsoft Sentinel 工作区中的事件。 若要详细了解 Microsoft Sentinel,请参阅以下文章: