Defender ポータルでのMicrosoft Defender XDRとMicrosoft Sentinelのマルチテナント管理により、セキュリティ運用チームは、管理するすべてのテナントの単一の統合ビューを提供します。 このビューを使用すると、チームはインシデントをすばやく調査し、複数のテナントからのデータ間で高度なハンティングを実行できるため、セキュリティ操作が向上します。
Microsoft Sentinelサポート
テナントごとに、Defender ポータルを使用すると、Microsoft Sentinelの 1 つのプライマリ ワークスペースと複数のセカンダリ ワークスペースに接続できます。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinelが有効になっている Log Analytics ワークスペースです。
Microsoft Sentinel ワークスペースを持つテナントが Defender ポータルにオンボードされている場合は、次のことができます。
- セキュリティ情報とイベント管理 (SIEM) データと eXtended Detection and Response (XDR) データ全体のインシデントとアラートをトリアージします。
- 複数のテナント間で SIEM データと XDR データを事前に検索します。
- 複数のテナント間でケースを管理します。
各ワークスペースは、シングルテナント シナリオと同様に、テナントごとに Defender ポータルに個別にオンボードする必要があります。
詳細については、以下を参照してください:
- Microsoft Sentinel を Microsoft Defender XDR に接続する
- マルチテナント組織のドキュメント
- Defender ポータルの複数のMicrosoft Sentinel ワークスペース
機能の可用性
マルチテナント管理は、米国政府のお客様にも利用できます。 GCC、GCC High、DoD、および Commercial のお客様の特定のシナリオについては、次の表を参照してください。
| シナリオ | Availability |
|---|---|
| マルチテナント管理 | GCC、GCC High、DoD、および商用のすべての顧客が利用できます。 |
| クラウド間コラボレーション | - DoD と GCC High の両方のお客様は、お互いのクラウド内のテナントを管理できます。
- GCC のお客様は、商用クラウドでテナントを管理できます。 |
マルチテナント管理の利点
Defender XDRと Defender ポータルのMicrosoft Sentinelのマルチテナント管理で得られる主な利点には、次のようなものがあります。
テナント間でインシデントとケースを一元管理する場所: 統合ビューを使用すると、SOC アナリストは、複数のテナント間でインシデントとケースを調査するために必要なすべての情報を提供し、サインインとサインアウトを行う必要がなくなります。
合理化された脅威ハンティング: マルチテナント サポートにより、SOC チームはMicrosoft Defender XDR高度なハンティング機能を使用して、複数のテナント間で脅威を事前に検出するKusto 照会言語 (KQL) クエリを作成できます。
パートナー向けの複数顧客管理: マネージド セキュリティ サービス プロバイダー (MSSP) パートナーは、1 つのウィンドウを通じて、複数の顧客のケース、セキュリティ インシデント、アラート、脅威ハンティングを可視化できるようになりました。
マルチテナント管理には何が含まれますか?
Defender ポータルのMicrosoft Defender XDRとMicrosoft Sentinelのマルチテナント管理でアクセスできるテナントごとに、次の主要な機能を使用できます。
| 機能 | 説明 |
|---|---|
| インシデント & アラート>事件 | 複数のテナントから発生したインシデントを管理します。 |
| インシデント & アラート>アラート | 複数のテナントから発生したアラートを管理します。 |
| 場合 | 複数のテナントから発生したケースを管理します。 |
| ハンティング>高度なハンティング | 複数のテナント間での侵入試行と侵害アクティビティを同時に事前に検出します。 |
| ハンティング>カスタム検出ルール | 複数のテナント間でカスタム検出ルールを表示および管理します。 |
| アセット>デバイス>テナント | すべてのテナントとテナント固有のレベルで、デバイスの種類、デバイスの値、オンボード状態、リスクの状態など、さまざまな値のデバイス数を調べることができます。 |
| エンドポイント>脆弱性管理>ダッシュ ボード | Microsoft Defender 脆弱性の管理 ダッシュボードでは、セキュリティ管理者とセキュリティ運用チームの両方に、複数のテナントにわたる集約された脆弱性管理情報が提供されます。 |
| エンドポイント>脆弱性管理>テナント | すべてのテナントとテナント固有のレベルで、公開されているデバイス、セキュリティに関する推奨事項、弱点、重要な CVEs など、さまざまな値にわたる脆弱性管理情報を調べる。 |
| 構成>設定 | アクセス権を持つテナントを一覧表示します。 このページを使用して、テナントを表示および管理します。 |
制限事項
Mutitenant 管理では、マルチテナントの単一ワークスペースがサポートされます。 つまり、Lighthouse を使用せずに Advanced Hunting を使用して、複数のテナントとそのプライマリ ワークスペースに対してクエリを実行できます。
Azure Lighthouse は、別のテナント (高度なハンティング、分析ルール、ブックなど) のセカンダリ ワークスペースに対してクエリを実行する場合に必要です。 これらのクエリでは、マルチテナント管理ポータルまたは security.microsoft.comから workspace() 演算子を使用します。