Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы получить все преимущества Microsoft Sentinel, корпорация Майкрософт рекомендует использовать среду с одной рабочей областью. Однако в некоторых случаях требуется несколько рабочих областей, например, для управляемого поставщика услуг безопасности (MSSP) и его клиентов – в разных арендаторах. В представлении с несколькими рабочими областями можно работать с инцидентами безопасности в нескольких рабочих областях одновременно, даже в разных клиентах. Так вы получаете полную видимость и реагируете на проблемы с безопасностью в вашей организации.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Если подключить Microsoft Sentinel к порталу Microsoft Defender, см. следующее:
- Несколько рабочих областей Microsoft Sentinel на портале Defender
- управление несколькими клиентами Microsoft Defender
Вход в представление с несколькими рабочими областями
При открытии Microsoft Sentinel отображается список всех рабочих областей, к которым у вас есть права доступа для всех выбранных клиентов и подписок. Выбор имени одной рабочей области приводит вас в эту рабочую область. Чтобы выбрать несколько рабочих областей, установите флажки для всех из них, а затем нажмите кнопку View incidents (Просмотр инцидентов) в верхней части страницы.
Внимание
Поддержка нескольких рабочих областей теперь позволяет отображать до 100 рабочих областей одновременно.
В списке рабочих областей можно увидеть каталог, подписку, расположение и группу ресурсов, связанную с каждой рабочей областью. Каталог соответствует арендатору.
Работа с инцидентами
Просмотр нескольких рабочих областей в настоящее время доступен только для инцидентов. Эта страница внешнее и по поведению очень похожа на обычную страницу Инциденты, но имеет следующие важные отличия.
В счетчиках в верхней части страницы — Открытые инциденты, Новые инциденты, Active incidents (Активные инциденты) и т. д. — отображаются числа для всех выбранных рабочих областей в совокупности.
Инциденты отображаются во всех выбранных рабочих областях и каталогах (клиентах) в одном едином списке. Список можно отфильтровать по рабочей области и каталогу в дополнение к фильтрам на обычном экране Инциденты.
Необходимо иметь разрешения на чтение и запись для всех рабочих областей, из которых вы выбрали инциденты. Если у вас есть только разрешения на чтение в некоторых рабочих областях, при выборе инцидентов в этих рабочих областях отображаются предупреждения. Вы не можете изменить эти инциденты или любые другие, которые вы выбрали вместе с этими (даже если у вас есть разрешения для других).
Если вы выберете один инцидент и выберите Просмотреть полные сведения или Действия>Исследовать, вы будете находиться в контексте данных рабочей области этого инцидента и ни в какой другой.
Следующие шаги
В этой статье вы узнали, как просматривать инциденты в нескольких рабочих областях Microsoft Sentinel и работать с ними одновременно. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.