Como trabalhar com incidentes em muitos workspaces ao mesmo tempo

Para aproveitar ao máximo os recursos do Microsoft Sentinel, a Microsoft recomenda usar um ambiente de espaço de trabalho único. No entanto, há alguns casos de uso que exigem ter vários workspaces, em alguns casos, por exemplo, de um provedor de serviços de segurança gerenciado (MSSP) e de seus clientes, em vários locatários. A exibição de vários workspaces permite ver e trabalhar com incidentes de segurança em vários workspaces ao mesmo tempo, mesmo entre locatários, permitindo que você mantenha a visibilidade e o controle totais da capacidade de resposta de segurança de sua organização.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Se você integrar o Microsoft Sentinel ao portal do Microsoft Defender, confira Gerenciamento multilocatário do Microsoft Defender.

Inserindo exibição de vários workspaces

Ao abrir o Microsoft Sentinel, você verá uma lista de todos os espaços de trabalho aos quais você tem direitos de acesso, em todos os locatários e assinaturas selecionados. Selecionar o nome de apenas um espaço de trabalho vai levar você a esse espaço de trabalho. Para escolher vários workspaces, marque todas as caixas de seleção correspondentes e, em seguida, selecione o botão Ver incidentes na parte superior da página.

Importante

A exibição de vários workspaces agora dá suporte a um máximo de 100 workspaces exibidos simultaneamente.

Na lista de espaços de trabalho, você pode ver o diretório, a assinatura, o local e o grupo de recursos associados a cada espaço de trabalho. O diretório corresponde ao locatário.

Captura de tela da seleção de vários espaços de trabalho.

Trabalhando com incidentes

No momento, a exibição de vários workspaces está disponível apenas para incidentes. Esta página parece e funciona de forma semelhante à página normal de incidentes com as seguintes diferenças:

Captura de tela da exibição de incidentes em vários espaços de trabalho.

  • Os contadores na parte superior da página - Incidentes abertos, Novos incidentes, Incidentes ativos, etc. – mostram os números de todos os workspaces selecionados coletivamente.

  • Você verá incidentes de todos os espaços de trabalho e diretórios (locatários) selecionados em uma lista unificada. Você pode filtrar a lista por workspace e diretório, além dos filtros da tela normalIncidentes.

  • Você precisa ter permissões de leitura e gravação em todos os espaços de trabalho dos quais selecionou incidentes. Se em alguns espaços de trabalho você tiver apenas permissão de leitura, você verá mensagens de aviso ao selecionar incidentes nesses espaços de trabalho. Você não poderá modificar esses incidentes ou quaisquer outros que tenha selecionado com eles (mesmo se você tiver permissões para os outros).

  • Se você escolher apenas um incidente e selecionar Exibir detalhes completos ou Ações>Investigar, você estará no contexto de dados do espaço de trabalho desse incidente e nenhum outro.

Próximas etapas

Neste artigo, você aprendeu a exibir e trabalhar com incidentes em vários workspaces do Microsoft Sentinel simultaneamente. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos: