Utiliser les incidents dans plusieurs espaces de travail simultanément

Pour tirer pleinement parti des fonctionnalités de Microsoft Sentinel, Microsoft recommande l’utilisation d’un environnement avec un seul espace de travail. Toutefois, il existe certains cas qui nécessitent plusieurs espaces de travail, par exemple, dans le cas d’un fournisseur de services de sécurité gérés (MSSP) et de ses clients, sur plusieurs locataires. L’affichage de plusieurs espaces de travail vous permet de voir et d’utiliser les incidents de sécurité sur plusieurs espaces de travail en même temps, y compris sur différents locataires. Cela vous permet de conserver une visibilité et un contrôle complets de la réactivité de votre organisation en matière de sécurité.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Si vous intégrez Microsoft Sentinel au portail Microsoft Defender, consultez Gestion multilocataire de Microsoft Defender.

Accès à l’affichage de plusieurs espaces de travail

Quand vous ouvrez Microsoft Sentinel, vous voyez s’afficher une liste de tous les espaces de travail pour lesquels vous avez des droits d’accès, pour l’ensemble des locataires et des abonnements sélectionnés. Sélectionnez le nom d’un espace de travail pour accéder à cet espace de travail. Pour choisir plusieurs espaces de travail, sélectionnez toutes les cases à cocher correspondantes, puis sélectionnez le bouton Afficher les incidents en haut de la page.

Important

L’affichage de plusieurs espaces de travail prend à présent en charge un maximum de 100 espaces de travail affichés simultanément.

Dans la liste des espaces de travail, vous pouvez voir l’annuaire, l’abonnement, l’emplacement et le groupe de ressources associés à chaque espace de travail. Le répertoire correspond au locataire.

Capture d’écran de la sélection de plusieurs espaces de travail.

Utilisation des incidents

L’affichage de plusieurs espaces de travail est actuellement disponible uniquement pour les incidents. Dans la plupart des cas, l’apparence et le fonctionnement de cette page est identique à ceux de la page Incidents normale, avec les différences importantes suivantes :

Capture d’écran de l’affichage des incidents dans plusieurs espaces de travail.

  • Les compteurs situés en haut de la page (Incidents ouverts, Nouveaux incidents, Incidents actifs, etc.) montrent les chiffres de tous les espaces de travail sélectionnés.

  • Vous voyez les incidents de tous les espaces de travail et annuaires (locataires) sélectionnés dans une seule liste unifiée. Vous pouvez filtrer cette liste par espace de travail et par répertoire, en plus des filtres de l’écran normal des incidents.

  • Vous devez disposer d’autorisations de lecture et d’écriture sur tous les espaces de travail pour lesquels vous avez sélectionné des incidents. Si vous disposez uniquement d’autorisations de lecture sur certains espaces de travail, vous voyez des messages d’avertissement si vous sélectionnez des incidents dans ces espaces de travail. Vous ne pouvez pas modifier ces incidents ni les autres incidents que vous avez sélectionnés en même temps que ceux-là (même si vous disposez des autorisations pour les autres).

  • Si vous choisissez un seul incident et que vous sélectionnez Afficher tous les détails ou Actions>Investiguer, vous vous trouverez à partir de là dans le contexte de données de l’espace de travail de cet incident et non pas des autres incidents.

Étapes suivantes

Dans cet article, vous avez appris à consulter et utiliser les incidents dans plusieurs espaces de travail Microsoft Sentinel simultanément. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :