一次處理多個工作區中的事件

  • 發行項

為了充分利用 Microsoft Sentinel 的功能,Microsoft 建議使用單一工作區環境。 不過,在某些情況下,有些使用案例需要有數個工作區,例如,跨多個租用戶的受控安全性服務提供者 (MSSP) 及其客戶。 多重工作區檢視可讓您同時查看及處理數個工作區的安全性事件 (甚至能跨租用戶),讓您得以完整檢視和控制組織的安全性回應能力。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

輸入多重工作區檢視

當您開啟 Microsoft Sentinel 時,您會看到您擁有存取權的所有工作區清單,其範圍涵蓋所有選取租用戶和訂閱。 每個工作區名稱左邊都是核取方塊。 選取單一工作區的名稱會帶您進入該工作區。 若要選擇多個工作區,請選取所有對應的核取方塊,然後選取頁面頂端的 [檢視事件] 按鈕。

重要

多重工作區檢視現在最多能支援 100 個同時顯示的工作區。

請注意,在工作區清單中,您可以看到與每個工作區相關聯的目錄、訂閱、位置和資源群組。 目錄會對應至租用戶。

Screenshot of selecting multiple workspaces.

使用事件

多重工作區檢視目前僅適用於事件。 此頁面大致上看起來及使用上與一般的 [事件] 頁面相差無幾,但存在下列重要的差異:

Screenshot of viewing incidents across multiple workspaces.

  • 頁面頂端的計數器 - [開啟事件]、[新增事件]、[作用中事件] 等,可一併顯示所有選取工作區的總數。

  • 您會在單一整合清單中看到所有已選取工作區和目錄 (租用戶) 中的事件。 除了來自一般 [事件] 畫面的篩選之外,您還可以依工作區和目錄篩選清單。

  • 您必須擁有所選取事件中所有工作區的讀取和寫入權限。 如果您只有某些工作區的讀取權限,那麼若您選取這些工作區中的事件時,只會看到警告訊息。 您無法修改這些事件或您與這些事件一同選取的所有其他事件 (即使您擁有其他事件的權限亦同)。

  • 若您選擇單一事件並按一下 [檢視完整詳細資料] 或 [動作] > [調查],接著您就會位於該事件工作區的資料內容中,而不會前往其他工作區。

下一步

在本文中,您已學習到如何同時在多個 Microsoft Sentinel 工作區中檢視及使用事件。 若要深入了解 Microsoft Sentinel,請參閱下列文章: