Arbeta med incidenter på många arbetsytor samtidigt
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
För att dra full nytta av Microsoft Sentinel-funktionerna rekommenderar Microsoft att du använder en miljö med en arbetsyta. Det finns dock vissa användningsfall som kräver att det finns flera arbetsytor, i vissa fall, till exempel en hanterad tjänstleverantör (MSSP) och dess kunder, i flera klientorganisationsklienter. Med vyn Flera arbetsytor kan du se och arbeta med säkerhetsincidenter på flera arbetsytor samtidigt, även mellan klienter, så att du kan behålla fullständig synlighet och kontroll över organisationens säkerhetssvarstid.
Anteckning
Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).
Ange vy för flera arbetsytor
När du öppnar Microsoft Sentinel visas en lista över alla arbetsytor som du har åtkomstbehörighet till för alla valda klienter och prenumerationer. Till vänster om varje arbetsytenamn finns en kryssruta. Om du klickar på namnet på en enskild arbetsyta kommer du till den arbetsytan. Om du vill välja flera arbetsytor klickar du på alla motsvarande kryssrutor och klickar sedan på knappen Visa flera arbetsytor överst på sidan.
Viktigt
Flera arbetsytevyer stöder för närvarande högst 10 arbetsytor som visas samtidigt.
Om du markerar fler än 10 arbetsytor visas ett varningsmeddelande.
Observera att i listan över arbetsytor kan du se den katalog, prenumeration, plats och resursgrupp som är associerad med varje arbetsyta. Katalogen motsvarar klienten.
Arbeta med incidenter
I vyn Flera arbetsytor är endast skärmen Incidenter tillgänglig för tillfället. Den ser ut och fungerar på de flesta sätt som den vanliga skärmen Incidenter. Det finns dock några viktiga skillnader:
Räknarna överst på sidan – Öppna incidenter, Nya incidenter, Pågår osv. – visar siffrorna för alla valda arbetsytor tillsammans.
Du ser incidenter från alla valda arbetsytor och kataloger (klienter) i en enda enhetlig lista. Du kan filtrera listan efter arbetsyta och katalog, förutom filtren från den vanliga skärmen Incidenter.
Du måste ha läs- och skrivbehörighet för alla arbetsytor som du har valt incidenter från. Om du bara har läsbehörighet för vissa arbetsytor visas varningsmeddelanden om du väljer incidenter i dessa arbetsytor. Du kommer inte att kunna ändra dessa incidenter eller andra som du har valt tillsammans med dem (även om du har behörighet för de andra).
Om du väljer en enskild incident och klickar på Visa fullständig information eller Åtgärder Undersök kommer du därefter att vara i datakontexten för incidentens arbetsyta och > inga andra.
Nästa steg
I det här dokumentet har du lärt dig hur du visar och arbetar med incidenter på flera Microsoft Sentinel-arbetsytor samtidigt. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.