同时处理多个工作区中的事件

若要充分利用Microsoft Sentinel的功能，Microsoft建议使用单工作区环境。 但是，有些用例需要具有多个工作区，在某些情况下（例如， 托管安全服务提供商 (MSSP) 及其客户）跨多个租户。 使用多个工作区视图 ，可以同时查看和处理多个工作区（甚至跨租户）的安全事件，从而保持对组织安全响应能力的完整可见性和控制。

如果将Microsoft Sentinel载入到Microsoft Defender门户，请参阅：

• Defender 门户中的多个Microsoft Sentinel工作区
• Microsoft Defender多租户管理

输入多个工作区视图

打开Microsoft Sentinel时，会显示一个列表，其中包含所有所选租户和订阅中具有访问权限的所有工作区。 选择单个工作区的名称即可进入该工作区。 若要选择多个工作区，请选中所有相应的复选框，然后选择页面顶部的“ 查看事件 ”按钮。

在工作区列表中，可以看到与每个工作区关联的目录、订阅、位置和资源组。 目录对应于租户。

处理事件

多个工作区视图目前仅适用于事件。 此页面的外观和功能与常规 事件 页大致类似，并具有以下重要区别：

• 页面顶部的计数器（ 打开事件、 新事件、 活动事件等）共同显示所有所选工作区的数字。

• 在单个统一列表中，可以看到来自所有所选工作区和目录中的事件 (租户) 。 除了常规 事件 屏幕中的筛选器外，还可以按工作区和目录筛选列表。

• 你需要对已从中选择事件的所有工作区具有读取和写入权限。 如果仅对某些工作区具有读取权限，则如果在这些工作区中选择事件，则会看到警告消息。 即使你对其他事件具有) 的权限，你也无法修改这些事件或你选择的其他事件 (。

• 如果选择单个事件并选择“查看完整详细信息”或“操作调查”>，则从此之后，你将位于该事件工作区的数据上下文中，而不是其他事件。

后续步骤

本文介绍了如何在多个Microsoft Sentinel工作区中同时查看和使用事件。 若要详细了解Microsoft Sentinel，请参阅以下文章：

• 了解如何 了解数据和潜在威胁。
• 开始使用Microsoft Sentinel检测威胁。