Procesamiento de incidentes en varias áreas de trabajo a la vez

Nota:

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Para aprovechar al máximo las funcionalidades de Microsoft Sentinel, Microsoft recomienda usar un entorno con una sola área de trabajo. Sin embargo, hay algunos casos de uso que requieren tener varias áreas de trabajo y, a veces, por ejemplo, para un proveedor de servicios de seguridad administrados (MSSP) y sus clientes, estas deben estar en varios inquilinos. La opción Vista de varias áreas de trabajo permite ver y trabajar con incidentes de seguridad en varias áreas de trabajo al mismo tiempo, incluso entre los inquilinos, lo que permite mantener la visibilidad y el control completos de la capacidad de respuesta de seguridad de la organización.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Acceso a la vista de varias áreas de trabajo

Cuando abra Microsoft Sentinel, se le mostrará una lista de todas las áreas de trabajo para las que tiene derechos de acceso en todos los inquilinos y suscripciones seleccionados. A la izquierda de los nombres de las áreas de trabajo hay una casilla. Al seleccionar el nombre de una sola área de trabajo, se le llevará a esa área de trabajo. Para elegir varias áreas de trabajo, active todas las casillas correspondientes y, luego, en el botón View incidents (Ver incidentes) en la parte superior de la página.

Importante

Actualmente, la vista de varias áreas de trabajo admite un máximo de 100 áreas de trabajo que se muestran simultáneamente.

Tenga en cuenta que en la lista de áreas de trabajo, puede ver el directorio, la suscripción, la ubicación y el grupo de recursos asociados a cada área de trabajo. El directorio se corresponde con el inquilino.

Screenshot of selecting multiple workspaces.

Procesamiento de incidentes

Actualmente, la vista de varias áreas de trabajo está disponible solo para incidentes. Esta página es y funciona la mayoría de las veces como la página Incidentes normal, con las siguientes diferencias importantes:

Screenshot of viewing incidents across multiple workspaces.

  • Los contadores de la parte superior de la página (Incidentes abiertos, Nuevos incidentes, Incidentes activos, etc.) muestran las cifras correspondientes a todas las áreas de trabajo seleccionadas en conjunto.

  • De este modo, verá los incidentes de todas las áreas de trabajo y los directorios seleccionados (inquilinos) en una sola lista unificada. Puede filtrar la lista por el área de trabajo y el directorio, además de los filtros disponibles en la pantalla Incidentes habitual.

  • Deberá tener permisos de lectura y escritura en todas las áreas de trabajo desde las que haya seleccionado incidentes. Si solo tiene permisos de lectura en algunas áreas de trabajo y selecciona incidentes en estas, se le mostrarán mensajes de advertencia. No podrá modificar esos incidentes ni ningún otro que haya seleccionado (aunque tenga permisos para los demás).

  • Si elige un solo incidente y hace clic en Ver detalles completos o Acciones>Investigar, a partir de ese momento se encontrará en el contexto de datos del área de trabajo del incidente, no en otros.

Pasos siguientes

En este artículo, ha aprendido a ver y trabajar con incidentes en varias áreas de trabajo de Microsoft Sentinel simultáneamente. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: