多くのワークスペースのインシデントを一度に操作する

  • [アーティクル]

Microsoft Sentinel の機能を最大限に活用するために、Microsoft では 1 つのワークスペース環境を使用することをお勧めしています。 ただし、場合によっては、複数のテナントにまたがって複数のワークスペースが必要になるユース ケースがあります。たとえば、マネージド セキュリティ サービス プロバイダー (MSSP) とその顧客の場合が挙げられます。 [複数ワークスペース ビュー] を使用すると、複数のワークスペース (場合によってはテナント) 全体のセキュリティ インシデントを同時に表示して操作でき、組織のセキュリティの応答性を完全に可視化して制御できます。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

複数ワークスペース ビューに入る

Microsoft Sentinel を開くと、選択したすべてのテナントとサブスクリプション全体の、ご自身がアクセス権を持つすべてのワークスペースの一覧が表示されます。 各ワークスペース名の左側にはチェックボックスがあります。 1 つのワークスペースの名前を選ぶと、そのワークスペースが表示されます。 複数のワークスペースを選ぶには、対応するすべてのチェック ボックスをオンにして、ページの上部にある [インシデントの表示] ボタンを選びます。

重要

現在、[複数ワークスペース ビュー] では、最大 100 個ワークスペースを同時に表示できます。

ワークスペースの一覧には、各ワークスペースに関連付けられているディレクトリ、サブスクリプション、場所、リソース グループが表示されます。 ディレクトリはテナントに対応します。

複数のワークスペースの選択のスクリーンショット。

インシデントを操作する

現在、複数ワークスペース ビューはインシデントでのみ使用できます。 このページの外観と機能は、通常のインシデント ページとほとんど同じですが、次の重要な違いがあります。

複数のワークスペースにまたがるインシデントの表示のスクリーンショット。

  • ページ上部のカウンター ([インシデントを開く]、[新しいインシデント]、[Active incidents](アクティブなインシデント) など) には、選択したすべてのワークスペースについての数が集合的に表示されます。

  • 選択したすべてのワークスペースとディレクトリ (テナント) のインシデントが、統合された 1 つの一覧に表示されます。 通常の [Incidents](インシデント) 画面のフィルターに加えて、ワークスペースとディレクトリによって一覧をフィルターできます。

  • インシデントを選択したすべてのワークスペースに対して、読み取りと書き込みの権限が必要です。 一部のワークスペースに対して読み取り権限しかない場合、それらのワークスペースでインシデントを選択すると、警告メッセージが表示されます。 それらのインシデントも、それらと一緒に選択した他のインシデントも (他のものに対する権限がある場合でも) 変更できません。

  • 1 つのインシデントを選択し、 [すべての詳細を表示] または [Actions](アクション)>[調査] をクリックすると、それ以降、そのインシデントのワークスペースのデータ コンテキストに入ることになり、他には入りません。

次のステップ

この記事では、複数の Microsoft Sentinel ワークスペースのインシデントを同時に表示して操作する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。