Trabalhar com incidentes em muitas áreas de trabalho ao mesmo tempo

Para tirar o máximo partido das capacidades do Microsoft Sentinel, a Microsoft recomenda a utilização de um ambiente de área de trabalho única. No entanto, existem alguns casos de utilização que exigem ter várias áreas de trabalho, em alguns casos – por exemplo, a de um Fornecedor de Serviços de Segurança Gerida (MSSP) e respetivos clientes – em vários inquilinos. A vista de várias áreas de trabalho permite-lhe ver e trabalhar com incidentes de segurança em várias áreas de trabalho ao mesmo tempo, mesmo entre inquilinos, permitindo-lhe manter a visibilidade total e o controlo da capacidade de resposta de segurança da sua organização.

Nota

Para obter informações sobre a disponibilidade de funcionalidades em clouds do Governo dos EUA, veja as tabelas do Microsoft Sentinel na Disponibilidade de funcionalidades da Cloud para clientes do Governo dos EUA.

Introduzir a vista de várias áreas de trabalho

Quando abre o Microsoft Sentinel, é apresentada uma lista de todas as áreas de trabalho às quais tem direitos de acesso, em todos os inquilinos e subscrições selecionados. À esquerda de cada nome de área de trabalho encontra-se uma caixa de verificação. Selecionar o nome de uma única área de trabalho irá trazê-lo para essa área de trabalho. Para escolher várias áreas de trabalho, selecione todas as caixas de verificação correspondentes e, em seguida, selecione o botão Ver incidentes na parte superior da página.

Importante

A Vista de Área de Trabalho Múltipla suporta agora um máximo de 100 áreas de trabalho apresentadas em simultâneo.

Tenha em atenção que, na lista de áreas de trabalho, pode ver o diretório, a subscrição, a localização e o grupo de recursos associados a cada área de trabalho. O diretório corresponde ao inquilino.

Trabalhar com incidentes

A vista de várias áreas de trabalho está atualmente disponível apenas para incidentes. Esta página tem um aspeto e funciona da maioria das formas, como a página Incidentes normais, com as seguintes diferenças importantes:

• Os contadores na parte superior da página - Incidentes abertos, Novos incidentes, Incidentes ativos, etc. - mostram os números de todas as áreas de trabalho selecionadas coletivamente.

• Verá incidentes de todas as áreas de trabalho e diretórios (inquilinos) selecionados numa única lista unificada. Pode filtrar a lista por área de trabalho e diretório, além dos filtros do ecrã Incidentes regular.

• Terá de ter permissões de leitura e escrita em todas as áreas de trabalho a partir das quais selecionou incidentes. Se tiver apenas permissões de leitura em algumas áreas de trabalho, verá mensagens de aviso se selecionar incidentes nessas áreas de trabalho. Não poderá modificar esses incidentes ou quaisquer outros que tenha selecionado em conjunto com os mesmos (mesmo que tenha permissões para os outros).

• Se escolher um único incidente e clicar em Ver detalhes completos ou Ações>Investigar, a partir daí estará no contexto de dados da área de trabalho desse incidente e de outras pessoas.

Passos seguintes

Neste artigo, aprendeu a ver e trabalhar com incidentes em várias áreas de trabalho do Microsoft Sentinel em simultâneo. Para saber mais sobre o Microsoft Sentinel, veja os seguintes artigos:

• Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
• Introdução à deteção de ameaças com o Microsoft Sentinel.