Como trabalhar com incidentes em muitos workspaces ao mesmo tempo

  • Artigo

Para aproveitar ao máximo os recursos do Microsoft Sentinel, a Microsoft recomenda usar um ambiente de espaço de trabalho único. No entanto, há alguns casos de uso que exigem ter vários workspaces, em alguns casos, por exemplo, de um provedor de serviços de segurança gerenciado (MSSP) e de seus clientes, em vários locatários. A exibição de vários workspaces permite ver e trabalhar com incidentes de segurança em vários workspaces ao mesmo tempo, mesmo entre locatários, permitindo que você mantenha a visibilidade e o controle totais da capacidade de resposta de segurança de sua organização.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Inserindo exibição de vários workspaces

Ao abrir o Microsoft Sentinel, você verá uma lista de todos os workspaces aos quais você tem direitos de acesso, em todos os locatários e assinaturas selecionados. À esquerda de cada nome de workspace está uma caixa de seleção. Selecionar o nome de um único workspace vai levá-lo a esse workspace. Para escolher vários workspaces, marque todas as caixas de seleção correspondentes e, em seguida, selecione o botão Ver incidentes na parte superior da página.

Importante

A exibição de vários workspaces agora dá suporte a um máximo de 100 workspaces exibidos simultaneamente.

Observe que na lista de workspaces, você pode ver o diretório, a assinatura, o local e o grupo de recursos associados a cada workspace. O diretório corresponde ao locatário.

Captura de tela da seleção de vários espaços de trabalho.

Trabalhando com incidentes

No momento, a exibição de vários workspaces está disponível apenas para incidentes. Esta página parece e funciona de forma semelhante à página normal de incidentes com as seguintes diferenças:

Captura de tela da exibição de incidentes em vários espaços de trabalho.

  • Os contadores na parte superior da página - Incidentes abertos, Novos incidentes, Incidentes ativos, etc. – mostram os números de todos os workspaces selecionados coletivamente.

  • Você verá incidentes de todos os workspaces e diretórios (locatários) selecionados em uma única lista unificada. Você pode filtrar a lista por workspace e diretório, além dos filtros da tela normalIncidentes.

  • Você precisará ter permissões de leitura e gravação em todos os workspaces dos quais selecionou incidentes. Se em alguns workspaces você tiver apenas permissão de leitura, você verá mensagens de aviso ao selecionar incidentes nesses workspaces. Você não poderá modificar esses incidentes ou quaisquer outros que tenha selecionado com eles (mesmo se você tiver permissões para os outros).

  • Se você escolher um único incidente e clicar em Exibir detalhes completos ou Ações>Investigar, você estará no contexto de dados do workspace desse incidente e nenhum outro.

Próximas etapas

Neste artigo, você aprendeu a exibir e trabalhar com incidentes em vários workspaces do Microsoft Sentinel simultaneamente. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos: