Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление несколькими клиентами для Microsoft Defender XDR и Microsoft Sentinel на портале Defender предоставляет группам по операциям с безопасностью единое представление всех клиентов, которыми вы управляете. Это представление позволяет командам быстро исследовать инциденты и выполнять расширенный поиск данных из нескольких клиентов, что повышает эффективность операций безопасности.
поддержка Microsoft Sentinel
Для каждого клиента портал Defender позволяет подключиться к одной основной рабочей области и нескольким дополнительным рабочим областям для Microsoft Sentinel. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.
Если у вас есть клиенты с Microsoft Sentinel рабочими областями, подключенными к порталу Defender, вы можете:
- Рассмотрение инцидентов и оповещений в данных управления информационной безопасностью и событиями безопасности (SIEM) и eXtended Detection and Response (XDR).
- Упреждающий поиск данных SIEM и XDR в нескольких клиентах.
- Управление делами в нескольких клиентах.
Каждая рабочая область должна быть подключена к порталу Defender для каждого клиента отдельно, как в сценарии с одним клиентом.
Дополнительные сведения см. в разделе:
- Подключение Microsoft Sentinel к Microsoft Defender XDR
- Документация по мультитенантным организациям
- Несколько рабочих областей Microsoft Sentinel на портале Defender
Доступность функций
Управление мультитенантными клиентами также доступно для государственных организаций США. Конкретные сценарии для GCC, GCC High, DoD и коммерческих клиентов см. в следующей таблице.
| Сценарий | Доступность |
|---|---|
| Управление несколькими клиентами | Доступно для всех клиентов GCC, GCC High, DoD и коммерческих клиентов. |
| Совместная работа в нескольких облаках | — Клиенты DoD и GCC High могут управлять клиентами в облаках друг друга.
— Клиенты GCC могут управлять клиентами в коммерческом облаке. |
Преимущества мультитенантного управления
Некоторые из основных преимуществ, которые вы получаете при управлении мультитенантными клиентами для Defender XDR и Microsoft Sentinel на портале Defender:
Централизованное место для управления инцидентами и случаями в разных клиентах. Единое представление предоставляет аналитикам SOC всю необходимую информацию для расследования инцидентов и случаев в нескольких клиентах, устраняя необходимость входа и выхода из них.
Упрощенная охота на угрозы. Поддержка нескольких клиентов позволяет командам SOC использовать Microsoft Defender XDR расширенные возможности охоты для создания запросов язык запросов Kusto (KQL), которые упреждающе ищут угрозы в нескольких клиентах.
Управление несколькими клиентами для партнеров. Партнеры с управляемым поставщиком служб безопасности (MSSP) теперь могут получать представление о случаях, инцидентах безопасности, оповещениях и охоте на угрозы для нескольких клиентов с помощью одной панели.
Что включает в себя мультитенантное управление?
Для каждого клиента, к который у вас есть доступ, доступны следующие ключевые возможности в мультитенантном управлении для Microsoft Defender XDR и Microsoft Sentinel на портале Defender:
| Возможность | Описание |
|---|---|
| Оповещения >об инцидентах &Инцидентов | Управление инцидентами, происходящими из нескольких клиентов. |
| Оповещения >об инцидентах &Оповещения | Управление оповещениями, исходящими от нескольких клиентов. |
| Случаях | Управление обращениями, исходящими из нескольких клиентов. |
| Охота>Расширенная охота | Упреждающее поиск попыток вторжения и действий нарушения безопасности в нескольких клиентах одновременно. |
| Охота>Настраиваемые правила обнаружения | Просмотр настраиваемых правил обнаружения и управление ими в нескольких клиентах. |
| Активов>Устройств>Арендаторов | Для всех клиентов и на уровне конкретного клиента изучите количество устройств по разным значениям, таким как тип устройства, значение устройства, состояние подключения и состояние риска. |
| Конечные точки>Управление> уязвимостямиПанели мониторинга | Панель мониторинга Управление уязвимостями Microsoft Defender предоставляет администраторам безопасности и группам по управлению безопасностью агрегированные сведения об управлении уязвимостями в нескольких клиентах. |
| Конечные точки>Управление уязвимостями>Арендаторов | Для всех клиентов и на уровне конкретного клиента изучите сведения об управлении уязвимостями в разных значениях, таких как открытые устройства, рекомендации по безопасности, слабые места и критические CSP. |
| Конфигурации>Параметры | Выводит список клиентов, к которых у вас есть доступ. Используйте эту страницу для просмотра клиентов и управления ими. |
Ограничения
Управление mutitenant поддерживает мультитенантные отдельные рабочие области. Это означает, что вы можете запрашивать несколько клиентов и их основную рабочую область с помощью Расширенной охоты без Lighthouse.
Azure Lighthouse требуется, если требуется запросить вспомогательную рабочую область в другом клиенте (от расширенной охоты, правил аналитики, книг и т. д.). Для этих запросов используйте оператор workspace() с портала управления несколькими клиентами или security.microsoft.com.