Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La ricerca avanzata in Microsoft Defender gestione multi-tenant consente di cercare in modo proattivo tentativi di intrusione e attività di violazione in posta elettronica, dati, dispositivi e account in più tenant e aree di lavoro contemporaneamente. Se sono presenti più tenant con Microsoft Sentinel aree di lavoro a cui è stato caricato il portale di Microsoft Defender, cercare informazioni di sicurezza e dati di gestione degli eventi (SIEM) insieme ai dati di rilevamento e risposta estesi (XDR) in più tenant e aree di lavoro.
Più aree di lavoro per tenant sono supportate nella ricerca avanzata multi-tenant come anteprima.
Quote
Negli ambienti multi-tenant, le query di ricerca avanzata possono restituire un massimo di 50.000 record in totale. Il set di risultati di ogni singolo tenant è limitato a 50.000 diviso per il numero di tenant sottoposti a query.
Per altre informazioni sui limiti dei servizi nella ricerca avanzata, vedere Informazioni sulle quote di ricerca avanzate.
Eseguire query tra tenant
È possibile eseguire qualsiasi query a cui si ha già accesso nella pagina Ricerca avanzata per la gestione multi-tenant.
Le query elencate nella scheda Query vengono filtrate in base al tenant. Selezionare un tenant per visualizzare le query disponibili per ognuna.
Caricare una query nell'editor di query e selezionare il selettore tenant per specificare i tenant e le aree di lavoro su cui eseguire la query.
Nel riquadro laterale visualizzato selezionare i tenant da includere nella query. Ogni tenant supporta una singola area di lavoro. Se nel tenant sono state caricate più aree di lavoro nel portale di Defender, selezionare Modifica selezione per selezionare l'area di lavoro da usare.
Quando si selezionano più tenant, la query viene eseguita in modo indipendente in ogni tenant e i risultati combinati vengono visualizzati in una singola tabella. Ad esempio, la query di esempio seguente (
DeviceEvents | take 10) restituisce 10 risultati per tenant, con un totale pari a 10 moltiplicato per il numero di tenant selezionati.Al termine, selezionare Applica>query di esecuzione.
I risultati della query contengono una colonna denominata TenantId. Se si usano più aree di lavoro, i valori in questa colonna mostrano l'ID dell'area di lavoro anziché l'ID tenant. In questi casi, è consigliabile usare la query per rinominare la colonna nei risultati da TenantId a WorkspaceId per semplificare la lettura. Ad esempio:
DeviceEvents | take 10 | project TenantId = WorkspaceID Or, to query multiple workspaces in the same tenant, use a query similar to the following: ```kusto Usage | union workspace("WorkpaceA").Usage | take 10
Importante
L'esecuzione di query tra più tenant tramite l'operatore adx(x) eseguirà query ADX separate per ogni tenant e le aggrega, il che potrebbe restituire risultati duplicati. Usare l'operatore adx(x) con più tenant solo se è necessario aggiungere i risultati del tenant con i dati ADX. Per altre informazioni su ADX in Ricerca avanzata, vedere Usare funzioni Microsoft Sentinel, query salvate e regole personalizzate.
Per altre informazioni sulla ricerca avanzata in Microsoft Defender XDR, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.
Eseguire query tra aree di lavoro
Per eseguire query in più aree di lavoro nello stesso tenant, usare l'espressione workspace( ), con l'identificatore dell'area di lavoro come argomento nella query per fare riferimento a una tabella in un'area di lavoro diversa.
Se si usa Azure Lighthouse per concedere al tenant le autorizzazioni per altre aree di lavoro tenant, è anche possibile eseguire query sia tra tenant che tra aree di lavoro. A tale scopo, selezionare un solo tenant nel selettore ambito tenant . Nella query usare quindi l'espressione workspace() per chiamare i nomi di qualsiasi altra area di lavoro su cui si vuole eseguire una query in altri tenant. Ad esempio, se sono presenti tenant e aree di lavoro denominati come indicato di seguito:
- TenantA: WorkspaceA1, WorkspaceA2
- TenantB: WorkspaceB1, WorkspaceB2
E si vuole eseguire query sia in WorkspaceA1 che in WorkspaceB1, selezionare TenantA e WorkspaceA1 nel selettore ambito tenant . Nella query usare quindi l'operatore workspace() per chiamare WorkspaceB2. Ad esempio:
union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId
I risultati vengono visualizzati sia da WorkspaceA1 che da WorkspaceB2.
Per altre informazioni, vedere Eseguire query su più aree di lavoro e Gestire aree di lavoro tra tenant usando Azure Lighthouse.
Nota
Se sono presenti tabelle con lo stesso nome ma schemi diversi in più aree di lavoro e si desidera usarle nella stessa query, è necessario usare l'operatore workspace per identificare in modo univoco la tabella necessaria.
Visualizzare le tabelle dello schema
Visualizzare le tabelle avanzate dello schema di ricerca nel riquadro sinistro all'interno della pagina ricerca avanzata nella scheda Schema .
L'elenco di schemi è una visualizzazione unificata di tutte le tabelle di tutti i tenant indipendentemente dal tenant selezionato nel selettore tenant in alto a destra.
Ciò potrebbe significare che alcune tabelle visualizzate qui potrebbero essere disponibili solo per le query in alcuni tenant, ad esempio tabelle Microsoft Sentinel personalizzate.
Visualizzare e gestire regole di rilevamento personalizzate
È anche possibile gestire regole di rilevamento personalizzate da più tenant nella pagina delle regole di rilevamento personalizzate.
Visualizzare le regole di rilevamento personalizzate per tenant
Per visualizzare le regole di rilevamento personalizzate, passare alla pagina Regole di rilevamento personalizzate in Microsoft Defender gestione multi-tenant.
Visualizzare la colonna Nome tenant per visualizzare il tenant da cui proviene la regola di rilevamento:
Per visualizzare solo le regole di rilevamento personalizzate di un tenant specifico, selezionare Filtro, scegliere il tenant o i tenant e selezionare Applica.
Per altre informazioni sulle regole di rilevamento personalizzate, vedere Panoramica dei rilevamenti personalizzati.
Gestire regole di rilevamento personalizzate
È possibile eseguire, disattivare ed eliminare regole di rilevamento da Microsoft Defender gestione multi-tenant.
Per gestire le regole di rilevamento:
Passare alla pagina Regole di rilevamento personalizzate in Microsoft Defender gestione multi-tenant.
Scegliere la regola di rilevamento da gestire.
Quando si seleziona una singola regola di rilevamento, viene aperto un riquadro a comparsa con i dettagli della regola di rilevamento:
Selezionare Apri regole di rilevamento per visualizzare questa regola in una nuova scheda per il tenant specifico nel portale di Microsoft Defender. Per altre informazioni, vedere Regole di rilevamento personalizzate.
