Поделиться через

Расширенная охота в Microsoft Defender мультитенантном управлении

  • Применяется к: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Расширенная охота в Microsoft Defender мультитенантном управлении позволяет заблаговременно искать попытки вторжения и действия нарушения в электронной почте, данных, устройствах и учетных записях в нескольких клиентах и рабочих областях одновременно. Если у вас есть несколько клиентов с Microsoft Sentinel рабочими областями, подключенными к порталу Microsoft Defender, выполните поиск данных по управлению информационной безопасностью и событиями безопасности (SIEM) вместе с расширенными данными обнаружения и реагирования (XDR) в нескольких клиентах и рабочих областях.

В мультитенантной расширенной охоте в режиме предварительной версии поддерживается несколько рабочих областей для каждого клиента.

Квоты

В мультитенантных средах расширенные запросы охоты могут возвращать не более 50 000 записей. Результирующий набор для каждого отдельного клиента ограничен 50 000, разделенных на количество запрашиваемых клиентов.

Дополнительные сведения об ограничениях служб в расширенной охоте см. в статье Общие сведения о квотах расширенной охоты.

Выполнение межтенантных запросов

Вы можете выполнить любой запрос, к которому у вас уже есть доступ, на странице Расширенное управление мультитенантными клиентами.

  1. Запросы, перечисленные на вкладке Запросы , фильтруются по клиенту. Выберите клиент, чтобы просмотреть запросы, доступные для каждого из них.

  2. Загрузите запрос в редакторе запросов и выберите селектор клиента, чтобы указать клиенты и рабочие области, с которыми вы хотите выполнить запрос.

    Снимок экрана: страница запроса расширенной охоты на Microsoft Defender XDR между клиентами

  3. В открывающейся боковой области выберите клиентов, которые нужно включить в запрос. Каждый клиент поддерживает одну рабочую область. Если у вас есть несколько рабочих областей, подключенных к порталу Defender в клиенте, выберите Изменить выбор , чтобы выбрать рабочую область, которую вы хотите использовать.

    Снимок экрана: боковая область Microsoft Defender XDR расширенной охоты на запросы между клиентами область

    При выборе нескольких клиентов запрос выполняется независимо в каждом клиенте, а объединенные результаты отображаются в одной таблице. Например, приведенный ниже пример запроса (DeviceEvents | take 10) возвращает 10 результатов для каждого клиента, в результате чего общее число клиентов равно 10, умноженное на количество выбранных клиентов.

  4. По завершении выберите Применить>выполнить запрос.

    Снимок экрана: столбец расширенного запроса Microsoft Defender XDR ross tenants область

    Результаты запроса содержат столбец с именем TenantId. Если вы используете несколько рабочих областей, значения в этом столбце показывают идентификатор рабочей области вместо идентификатора клиента. В таких случаях рекомендуется использовать запрос для переименования столбца в результатах с TenantId на WorkspaceId , чтобы упростить чтение. Например:

    DeviceEvents
| take 10
| project TenantId = WorkspaceID

    Или, чтобы запросить несколько рабочих областей в одном клиенте, используйте запрос, аналогичный следующему:

    Usage
| union workspace("WorkpaceA").Usage
| take 10

Важно!

Выполнение запросов в нескольких клиентах с помощью adx(x) оператора будет выполнять отдельные запросы ADX для каждого клиента и агрегировать их, что может возвращать повторяющиеся результаты. adx(x) Используйте оператор с несколькими клиентами только в том случае, если необходимо объединить результаты клиента с данными ADX. Дополнительные сведения о ADX в расширенной охоте см. в статье Использование функций Microsoft Sentinel, сохраненных запросов и пользовательских правил.

Дополнительные сведения о расширенной охоте в Microsoft Defender XDR см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

Выполнение запросов между рабочими областями

Чтобы выполнять запросы в нескольких рабочих областях в одном клиенте, используйте выражение workspace( ) с идентификатором рабочей области в качестве аргумента в запросе для ссылки на таблицу в другой рабочей области.

Если вы используете Azure Lighthouse, чтобы предоставить клиенту разрешения для других рабочих областей клиентов, вы также можете выполнять запросы как по арендаторам, так и по рабочим областям. Для этого выберите только один клиент в селекторе область клиента. Затем в запросе workspace() используйте выражение для вызова имен других рабочих областей, которые нужно запрашивать в других клиентах. Например, если у вас есть клиенты и рабочие области с именами следующим образом:

  • TenantA: WorkspaceA1, WorkspaceA2
  • TenantB: WorkspaceB1, WorkspaceB2

Если вы хотите выполнять запросы в рабочей областиA1 и WorkspaceB1, выберите TenantA и WorkspaceA1 в селекторе область клиента. Затем в запросе workspace() используйте оператор для вызова WorkspaceB2. Например:

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

Результаты отображаются как из WorkspaceA1 , так и из WorkspaceB2.

Дополнительные сведения см. в разделах Запрос нескольких рабочих областей и Управление рабочими областями между клиентами с помощью Azure Lighthouse.

Примечание.

Если в нескольких рабочих областях есть таблицы с одинаковыми именами, но разными схемами и вы хотите использовать их в одном запросе, следует использовать оператор рабочей области для уникальной идентификации нужной таблицы.

Просмотр таблиц схемы

Просмотрите таблицы схем расширенной охоты на левой панели на странице расширенной охоты на вкладке Схема .

Список схем представляет собой единое представление всех таблиц из всех ваших клиентов, независимо от того, какой клиент выбран в правом верхнем селекторе клиента.

Это может означать, что некоторые таблицы, которые здесь отображаются, могут быть доступны только для запросов в некоторых клиентах, например пользовательские Microsoft Sentinel таблицы.

Просмотр настраиваемых правил обнаружения и управление ими

Вы также можете управлять настраиваемыми правилами обнаружения из нескольких клиентов на странице настраиваемых правил обнаружения.

Просмотр настраиваемых правил обнаружения по клиенту

  1. Чтобы просмотреть настраиваемые правила обнаружения, перейдите на страницу Настраиваемые правила обнаружения в Microsoft Defender мультитенантного управления.

  2. Просмотрите столбец Имя клиента , чтобы узнать, из какого клиента поступает правило обнаружения:

    Снимок экрана: страница пользовательского обнаружения Microsoft Defender XDR мультитенантных пользователей.

Чтобы просмотреть только настраиваемые правила обнаружения определенного клиента, выберите Фильтр, выберите клиент или арендаторы и нажмите кнопку Применить.

Дополнительные сведения о пользовательских правилах обнаружения см. в статье Общие сведения о пользовательских обнаружениях.

Управление настраиваемыми правилами обнаружения

Вы можете выполнять, выключать и удалять правила обнаружения из Microsoft Defender мультитенантного управления.

Чтобы управлять правилами обнаружения, выполните следующие действия.

  1. Перейдите на страницу Настраиваемые правила обнаружения в Microsoft Defender мультитенантном управлении.

  2. Выберите правило обнаружения, которым вы хотите управлять.

    При выборе одного правила обнаружения откроется всплывающий элемент со сведениями о правиле обнаружения:

    Снимок экрана: страница сведений о пользовательском правиле обнаружения Microsoft Defender XDR

  3. Выберите Открыть правила обнаружения, чтобы просмотреть это правило на новой вкладке для конкретного клиента на портале Microsoft Defender. Дополнительные сведения см. в разделе Настраиваемые правила обнаружения.

Связанные материалы

  • Last updated on