Arbeta med incidenter på många arbetsytor samtidigt

För att dra full nytta av Microsoft Sentinels funktioner rekommenderar Microsoft att du använder en miljö med en enda arbetsyta. Det finns dock vissa användningsfall som kräver flera arbetsytor, i vissa fall – till exempel för en hanterad säkerhetstjänstleverantör (MSSP) och dess kunder – i flera klientorganisationer. Med flera arbetsytevyer kan du se och arbeta med säkerhetsincidenter på flera arbetsytor samtidigt, även mellan klientorganisationer, så att du kan upprätthålla fullständig synlighet och kontroll över organisationens säkerhetsresponsivitet.

Anteckning

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabeller i molnfunktionstillgänglighet för amerikanska myndighetskunder.

Ange flera arbetsytevyer

När du öppnar Microsoft Sentinel visas en lista över alla arbetsytor som du har åtkomstbehörighet till, för alla valda klienter och prenumerationer. Till vänster om varje arbetsytenamn finns en kryssruta. Om du väljer namnet på en enda arbetsyta kommer du till den arbetsytan. Om du vill välja flera arbetsytor markerar du alla motsvarande kryssrutor och väljer sedan knappen Visa incidenter överst på sidan.

Viktigt

Vyn Flera arbetsytor stöder nu högst 100 arbetsytor som visas samtidigt.

Observera att du i listan över arbetsytor kan se den katalog, prenumeration, plats och resursgrupp som är associerad med varje arbetsyta. Katalogen motsvarar klientorganisationen.

Arbeta med incidenter

Vyn Flera arbetsytor är för närvarande endast tillgänglig för incidenter. Den här sidan ser ut och fungerar på de flesta sätt som den vanliga sidan Incidenter , med följande viktiga skillnader:

• Räknarna överst på sidan – Öppna incidenter, Nya incidenter, Aktiva incidenter osv. – visar siffrorna för alla valda arbetsytor kollektivt.

• Du ser incidenter från alla valda arbetsytor och kataloger (klientorganisationer) i en enda enhetlig lista. Du kan filtrera listan efter arbetsyta och katalog, förutom filtren från skärmen Vanliga incidenter .

• Du måste ha läs- och skrivbehörighet för alla arbetsytor som du har valt incidenter från. Om du bara har läsbehörighet på vissa arbetsytor visas varningsmeddelanden om du väljer incidenter på dessa arbetsytor. Du kommer inte att kunna ändra dessa incidenter eller andra som du har valt tillsammans med dem (även om du har behörighet för de andra).

• Om du väljer en enskild incident och klickar på Visa fullständig information eller Åtgärder>undersök, kommer du från och med då att vara i datakontexten för incidentens arbetsyta och inga andra.

Nästa steg

I den här artikeln har du lärt dig hur du visar och arbetar med incidenter på flera Microsoft Sentinel-arbetsytor samtidigt. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.