重要
注意:根据
若要充分利用Microsoft Sentinel的功能,Microsoft建议使用单工作区环境。 但是,在某些情况下,某些用例需要使用跨多个租户的多个工作区,例如托管安全服务提供商 (MSSP)及其客户。 利用多工作区视图,你可以同时跨多个工作区(甚至跨租户)查看和处理安全事件,因此能够完全洞察和控制组织的安全响应能力。
进入多工作区视图
打开Microsoft Sentinel时,会显示所有所选租户和订阅中你有权访问的所有工作区的列表。 选择单个工作区的名称即可进入该工作区。 若要选择多个工作区,请选择所有对应的复选框,然后选择页面顶部的“查看事件”按钮。
重要
多工作区视图当前支持最多同时显示 100 个工作区。
在工作区列表中,可以看到与每个工作区关联的目录、订阅、位置和资源组。 目录对应于租户。
处理事件
多工作区视图当前仅适用于事件。 此页面的外观和功能非常类似于常规“事件”页面,但有以下重要区别:
页面顶部的计数器(“待处理事件”、“新事件”、“正在进行”,等等)显示与所有选定工作区对应的总数。
你将在一个统一的列表中看到所有选定工作区和目录(租户)的事件。 除了常规“事件”屏幕中的筛选器外,你还可以按工作区和目录筛选列表。
你需要对所有包含你所选择事件的工作区拥有读写权限。 如果你在某些工作区上只具有读取权限,则选择这些工作区中的事件时,将会显示警告消息。 你不能修改这些事件,也不能修改与这些事件一起选择的任何其他事件(即使你对其他事件具有权限)。
如果选择单个事件并选择“查看完整详细信息”或“操作”>“调查”,则从那时起你将处于该事件的工作区的数据上下文中,不再处于其他事件的上下文中。
后续步骤
本文介绍了如何在多个 Microsoft Sentinel 工作区中同时查看和处理事件。 若要详细了解Microsoft Sentinel,请参阅以下文章:
- 开始使用 Microsoft Sentinel 检测威胁。