Werken met incidenten in veel werkruimten tegelijk
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Microsoft raadt aan om een omgeving met één werkruimte te gebruiken om optimaal te profiteren van de mogelijkheden van Microsoft Sentinel. Er zijn echter enkele gebruiksvoorbeelden waarvoor verschillende werkruimten nodig zijn, in sommige gevallen, bijvoorbeeld die van een Managed Security Service Provider (MSSP) en de klanten ervan, voor meerdere tenants. In de weergave met meerdere werkruimten kunt u beveiligingsincidenten tegelijkertijd in verschillende werkruimten bekijken en ondanks dat u werkt, zelfs in verschillende tenants, zodat u de volledige zichtbaarheid en controle over de reactiesnelheid van de beveiliging van uw organisatie kunt behouden.
Notitie
Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.
Weergave voor meerdere werkruimten invoeren
Wanneer u Microsoft Sentinel opent, ziet u een lijst met alle werkruimten waarvoor u toegangsrechten hebt voor alle geselecteerde tenants en abonnementen. Links van elke werkruimtenaam staat een selectievakje. Als u op de naam van één werkruimte klikt, komt u in die werkruimte. Als u meerdere werkruimten wilt kiezen, klikt u op alle bijbehorende selectievakjes en klikt u vervolgens op de knop Weergave van meerdere werkruimten boven aan de pagina.
Belangrijk
Meerdere werkruimteweergaven ondersteunen momenteel maximaal 10 gelijktijdig weergegeven werkruimten.
Als u meer dan 10 werkruimten controleert, wordt er een waarschuwing weergegeven.
In de lijst met werkruimten ziet u de map, het abonnement, de locatie en de resourcegroep die aan elke werkruimte zijn gekoppeld. De map komt overeen met de tenant.
Werken met incidenten
In de weergave Meerdere werkruimten is op dit moment alleen het scherm Incidenten beschikbaar. Het ziet er op de meeste manieren uit en werkt zoals het normale scherm Incidenten. Er zijn echter enkele belangrijke verschillen:
De tellers boven aan de pagina - Open incidents, New incidents, In progress, enzovoort - geven de getallen voor alle geselecteerde werkruimten gezamenlijk weer.
U ziet incidenten uit alle geselecteerde werkruimten en directories (tenants) in één uniforme lijst. U kunt de lijst filteren op werkruimte en map, naast de filters van het normale scherm Incidenten.
U moet lees- en schrijfmachtigingen hebben voor alle werkruimten waaruit u incidenten hebt geselecteerd. Als u voor sommige werkruimten alleen leesmachtigingen hebt, ziet u waarschuwingsberichten als u incidenten in die werkruimten selecteert. U kunt deze incidenten of andere incidenten die u samen met deze incidenten hebt geselecteerd, niet wijzigen (zelfs niet als u machtigingen voor de andere incidenten hebt).
Als u één incident kiest en op Volledige details weergeven of Acties onderzoeken klikt, bent u vanaf dan in de gegevenscontext van de werkruimte van dat incident en geen > andere.
Volgende stappen
In dit document hebt u geleerd hoe u gelijktijdig incidenten in meerdere Microsoft Sentinel-werkruimten kunt bekijken en bewerken. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.