Работа с инцидентами в нескольких рабочих областях одновременно

  • Статья

Чтобы получить все преимущества Microsoft Sentinel, корпорация Майкрософт рекомендует использовать среду с одной рабочей областью. В некоторых случаях все же требуется несколько рабочих областей, например для управляемого поставщика службы безопасности (MSSP), который работает с несколькими клиентами. В представлении с несколькими рабочими областями можно работать с инцидентами безопасности в нескольких рабочих областях одновременно, даже в разных клиентах. Так вы получаете полную видимость и реагируете на проблемы с безопасностью в вашей организации.

Примечание

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Вход в представление с несколькими рабочими областями

При открытии Microsoft Sentinel вы увидите список всех рабочих областей, к которым у вас есть права доступа, во всех выбранных клиентах и подписках. Слева от имени каждой рабочей области есть флажок. Выберите имя рабочей области, чтобы перейти в нее. Чтобы выбрать несколько рабочих областей, установите флажки для всех из низ и нажмите кнопку View incidents (Просмотр инцидентов) в верхней части страницы.

Важно!

В настоящее время в этом представлении одновременно показывается не более 100 рабочих областей.

Обратите внимание, что в списке рабочих областей можно увидеть каталог, подписку, расположение и группу ресурсов, которые связаны с каждой рабочей областью. Каталог соответствует клиенту.

Снимок экрана: выбор нескольких рабочих областей.

Работа с инцидентами

Представление с несколькими рабочими областями в настоящее время доступно только для инцидентов. Эта страница внешнее и по поведению очень похожа на обычную страницу Инциденты, но имеет следующие важные отличия.

Снимок экрана: просмотр инцидентов в нескольких рабочих областях.

  • В счетчиках в верхней части страницы — Открытые инциденты, Новые инциденты, Active incidents (Активные инциденты) и т. д. — отображаются числа для всех выбранных рабочих областей в совокупности.

  • Вы увидите инциденты из всех выбранных рабочих областей и каталогов (клиентов) в едином списке. Список можно отфильтровать по рабочей области и каталогу в дополнение к фильтрам на обычном экране Инциденты.

  • Необходимо иметь разрешения на чтение и запись для всех рабочих областей, из которых выбраны инциденты. Если для некоторых рабочих областях есть только разрешения на чтение, то при выборе инцидентов в этих рабочих областях появятся предупреждающие сообщения. Вы не сможете изменить эти инциденты и любые другие, которые вы выбрали вместе с ними (даже если у вас есть разрешения для других пользователей).

  • Если выбрать один инцидент и щелкнуть Смотреть все сведения или Действия>Сведения, то вы перейдете в контекст данных рабочей области этого инцидента.

Дальнейшие действия

В этой статье вы узнали, как просматривать инциденты в нескольких рабочих областях Microsoft Sentinel и работать с ними одновременно. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: