你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Teams(公共预览版)中协作

  • 项目

Microsoft Sentinel 支持直接与 Microsoft Teams 集成,使你可以就特定的事件直接展开团队合作。

重要

与 Microsoft Teams 的集成目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

概述

从 Microsoft Sentinel 直接与 Microsoft Teams 集成后,可在整个组织中以及与外部利益干系人无缝协作。

在 Microsoft Sentinel 事件团队中使用 Microsoft Teams 可以专注于与相关人员进行沟通和协调。 对于高严重性、持续性的事件,将事件团队用作专用会议桥特别有用。

已使用 Microsoft Teams 进行沟通和协作的组织可以使用 Microsoft Sentinel 集成将安全数据直接引入其对话和日常工作中。

Microsoft Sentinel 事件团队始终具有 Microsoft Sentinel 中的最新数据,确保团队随手可以获得最相关的数据。

所需的权限

若要从 Microsoft Sentinel 创建团队:

  • 创建团队的用户必须在 Microsoft Sentinel 中具有事件写入权限。 例如,Microsoft Sentinel 响应方角色是此特权的理想最小角色。

  • 创建团队的用户还必须有权在 Microsoft Teams 中创建团队。

  • 任何 Microsoft Sentinel 用户(包括具有读取者响应方参与者角色的用户)都可通过请求访问权限来访问创建的团队。

使用事件团队进行调查

通过直接从事件集成 Microsoft Teams,与事件团队一起进行调查。

若要创建事件团队,请执行以下操作:

  1. 在 Microsoft Sentinel 的“威胁管理”>“事件”网格中,选择当前正在调查的事件 。

  2. 在右侧显示的事件窗格底部,选择“操作”>“创建团队(预览)”。

    Create a team to collaborate in a incident team.

    右侧将打开“事件团队”窗格。 定义事件团队的以下设置:

    • 团队名称:自动定义为事件的名称。 根据需要修改名称,以便可以轻松识别该事件。

    • 团队说明:为事件团队输入有意义的说明。

    • 添加组和成员:选择一个或多个要添加到事件团队的 Microsoft Entra 用户和/或组。 选择用户和组时,它们将出现在“添加组和成员”列表下方的“选定的组和用户:”列表中。

      提示

      如果经常使用相同的用户和组,则可能需要在“选定的组和用户”列表中选择每个用户和组旁边的星标 以将它们保存为收藏项。

      下一次创建团队时,会自动选择收藏夹中的项。 如果要将收藏项从创建的下一个团队中删除,请选择“删除”,或者再次选择星标 将该团队完全从收藏夹中删除。

  3. 添加完用户和组后,选择“创建团队”以创建事件团队。

    事件窗格将会刷新,“团队名称”标题下提供了新事件团队的链接。

    Click the Teams integration link added to your incident.

  4. 选择“Teams 集成”链接切换到 Microsoft Teams,其中有关事件的所有数据都列在“事件页”选项卡上 。

    Incident page in Microsoft Teams.

根据需要,在 Teams 中继续展开有关调查的对话。 可以直接在团队中获得完整的事件详细信息。

提示

  • 如需将单个用户添加到团队,可以在 Microsoft Teams 中使用“帖子”选项卡上的“添加更多用户”按钮完成相应操作 。

  • 关闭事件时,在 Microsoft Teams 中创建的相关事件团队将会存档。 如果重新打开事件,则相关事件团队也会在 Microsoft Teams 中重新打开,使你可以在上次退出的位置继续对话。

后续步骤

有关详细信息,请参阅: