Defender 门户中Microsoft Defender XDR和Microsoft Sentinel的多租户管理为安全运营团队提供了你管理的所有租户的单一统一视图。 此视图使团队能够快速调查事件,并跨多个租户的数据执行高级搜寻,从而改进安全作。
Microsoft Sentinel支持
对于每个租户,Defender 门户允许连接到一个主工作区和多个辅助工作区,以便Microsoft Sentinel。 在本文的上下文中,工作区是启用了 Microsoft Sentinel 的 Log Analytics 工作区。
如果租户已将Microsoft Sentinel工作区载入到 Defender 门户,则可以:
- 跨安全信息和事件管理的会审事件和警报, (SIEM) 和 eXtended 检测和响应 (XDR) 数据。
- 跨多个租户主动搜索 SIEM 和 XDR 数据。
- 跨多个租户管理案例。
每个工作区必须分别载入每个租户的 Defender 门户,就像在单租户方案中一样。
有关更多信息,请参阅:
功能可用性
美国政府客户也可以使用多租户管理。 有关 GCC、GCC High、DoD 和商业客户的特定方案,请参阅下表。
| 应用场景 | 可用性 |
|---|---|
| 多租户管理 | 适用于所有 GCC、GCC High、DoD 和商业客户。 |
| 跨云协作 | - DoD 和 GCC High 客户都可以管理彼此云中的租户。
- GCC 客户可以管理商业云中的租户。 |
多租户管理的优点
多租户管理Defender XDR和 Defender 门户中Microsoft Sentinel的一些主要优势包括:
跨租户集中管理事件和案例的位置:统一视图为 SOC 分析师提供了调查跨多个租户的事件和案例所需的所有信息,无需登录和注销每个租户。
简化的威胁搜寻:多租户支持使 SOC 团队能够使用Microsoft Defender XDR高级搜寻功能来创建Kusto 查询语言 (KQL) 查询,以主动搜寻跨多个租户的威胁。
合作伙伴的多客户管理:托管安全服务提供商 (MSSP) 合作伙伴现在可以通过单一管理平台了解多个客户的案例、安全事件、警报和威胁搜寻。
多租户管理中包含的内容
以下关键功能适用于你有权在多租户管理中访问的每个租户,这些租户在 Defender 门户中Microsoft Defender XDR和Microsoft Sentinel:
| 功能 | 说明 |
|---|---|
| 事件 & 警报>事件 | 管理源自多个租户的事件。 |
| 事件 & 警报>警报 | 管理来自多个租户的警报。 |
| 例 | 管理源自多个租户的案例。 |
| 狩猎>高级搜寻 | 同时主动搜寻跨多个租户的入侵尝试和违规活动。 |
| 狩猎>自定义检测规则 | 跨多个租户查看和管理自定义检测规则。 |
| 资产>设备>租户 | 对于所有租户和特定于租户的级别,浏览不同值(例如设备类型、设备值、载入状态和风险状态)的设备计数。 |
| 端点>漏洞管理>挡泥板 | Microsoft Defender 漏洞管理 仪表板为安全管理员和安全运营团队提供跨多个租户的聚合漏洞管理信息。 |
| 端点>漏洞管理>租户 | 对于所有租户和特定于租户的级别,浏览不同值(例如公开的设备、安全建议、弱点和关键 CVE)的漏洞管理信息。 |
| 配置>设置 | Lists有权访问的租户。 使用此页可以查看和管理租户。 |