Microsoft Defender 全面偵測回應 Defender 入口網站中的 Microsoft Sentinel 多租戶管理,為您的安全營運團隊提供一個統一且統一的視圖,涵蓋您管理的所有租戶。 此視圖使您的團隊能快速調查事件,並跨多租戶資料進行進階搜尋,提升資安運作。
Microsoft Sentinel 支援
對於每個租戶,Defender 入口網站允許你連接一個主要工作空間和多個 Microsoft Sentinel 的次要工作空間。 在本文中,工作空間是指啟用 Microsoft Sentinel 的日誌分析工作空間。
如果你的租戶已將 Microsoft Sentinel 工作空間接入 Defender 入口網站,你可以:
- 在安全資訊與事件管理領域 (SIEM) 及 XDR) 資料 (擴展偵測與回應)中,進行事件的分流與警示。
- 主動搜尋跨多個租戶的 SIEM 和 XDR 資料。
- 管理多個租戶間的案件。
每個工作區必須分別為每個租戶接入 Defender 入口,就像單租戶的情況一樣。
如需詳細資訊,請參閱:
- 將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應
- 多租戶組織文件
- Defender 入口網站中的多個 Microsoft Sentinel 工作空間
功能可用性
美國政府客戶也提供多租戶管理服務。 請參閱下表,了解GCC、GCC High、DoD及商業客戶的具體情境。
| 案例 | 可用性 |
|---|---|
| 多租戶管理 | 對所有GCC、GCC High、DoD及商業客戶開放。 |
| 跨雲協作 | - DoD 與 GCC High 的客戶都能管理彼此雲端的租戶。
- GCC 客戶可在商用雲端管理租戶。 |
多租戶管理的好處
在 Defender 入口網站中,使用 Defender 全面偵測回應與 Microsoft Sentinel 多租戶管理,可帶來的一些主要好處包括:
一個集中管理跨租戶事件與案件的平台:統一檢視為 SOC 分析師提供調查多個租戶事件與案件所需的所有資訊,免除每個租戶的登入與退出。
簡化威脅狩獵:多租戶支援使 SOC 團隊能利用Microsoft Defender 全面偵測回應先進的搜尋功能,建立Kusto 查詢語言 (KQL) 查詢,主動跨多租戶搜尋威脅。
合作夥伴多客戶管理:託管安全服務供應商 (MSSP) 合作夥伴現在能透過單一介面,掌握多客戶的案件、安全事件、警示及威脅搜尋。
多租戶管理包含哪些內容?
在 Defender 入口網站的多租戶管理中,Microsoft Defender 全面偵測回應與 Microsoft Sentinel 的每個租戶,皆可獲得以下主要功能:
| 功能 | 描述 |
|---|---|
| 事件 & 警報>事故 | 管理來自多個租戶的事件。 |
| 事件 & 警報>警報 | 管理來自多個租戶的警示。 |
| 案例 | 管理來自多個租戶的案件。 |
| 狩獵>進階狩獵 | 主動搜尋多個租戶間的入侵企圖與違規行為。 |
| 狩獵>自訂偵測規則 | 查看並管理跨多個租戶的自訂偵測規則。 |
| 資產>裝置>租戶 | 針對所有租戶,且在租戶特定層級,探索不同值的裝置計數,如裝置類型、裝置值、入職狀態及風險狀態。 |
| 終點>漏洞管理>儀表板 | Microsoft Defender 弱點管理儀表板為安全管理員和安全營運團隊提供跨多個租戶的整合漏洞管理資訊。 |
| 終點>漏洞管理>租戶 | 針對所有租戶,且在租戶特定層級,探索不同值的漏洞管理資訊,如暴露裝置、安全建議、弱點及關鍵 CVE。 |
| 配置>場景設定 | 列出你能存取的租戶。 使用此頁面查看並管理您的租戶。 |
限制
多租戶管理支援多租戶單一工作空間。 這表示你可以透過 Advanced Hunting 查詢多個租戶及其主要工作空間,無需 Lighthouse。
當你想查詢不同租戶 (的次要工作區時,Azure Lighthouse 是必不可少的,這些內容來自 Advanced Hunting、分析規則、工作簿等 ) 。 對於這些查詢, () 請使用多租戶管理入口網站 security.microsoft.com或 .