Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Мультитенантное управление XDR в Microsoft Defender и Microsoft Sentinel на портале Defender предоставляет командам по управлению безопасностью единое представление всех управляемых клиентов. Это представление позволяет командам быстро исследовать инциденты и выполнять расширенный поиск данных из нескольких клиентов, что повышает эффективность операций безопасности.
Поддержка Microsoft Sentinel
Для каждого клиента портал Defender позволяет подключиться к одной основной рабочей области и нескольким дополнительным рабочим областям для Microsoft Sentinel. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.
Если у вас есть клиенты с рабочими областями Microsoft Sentinel, подключенными к порталу Defender, вы можете:
- Рассмотрение инцидентов и оповещений в данных управления информационной безопасностью и событиями безопасности (SIEM) и eXtended Detection and Response (XDR).
- Упреждающий поиск данных SIEM и XDR в нескольких клиентах.
- Управление делами в нескольких клиентах.
Каждая рабочая область должна быть подключена к порталу Defender для каждого клиента отдельно, как в сценарии с одним клиентом.
Дополнительные сведения см. в разделе:
- Подключение Microsoft Sentinel к Microsoft Defender XDR
- Документация по мультитенантным организациям
- Несколько рабочих областей Microsoft Sentinel на портале Defender
Доступность функций
Управление мультитенантными клиентами также доступно для государственных организаций США. Конкретные сценарии для GCC, GCC High, DoD и коммерческих клиентов см. в следующей таблице.
| Сценарий | Доступность |
|---|---|
| Управление несколькими клиентами | Доступно для всех клиентов GCC, GCC High, DoD и коммерческих клиентов. |
| Совместная работа в нескольких облаках | — Клиенты DoD и GCC High могут управлять клиентами в облаках друг друга.
— Клиенты GCC могут управлять клиентами в коммерческом облаке. |
Преимущества мультитенантного управления
Ниже перечислены некоторые из основных преимуществ, которые вы получаете с помощью мультитенантного управления для Defender XDR и Microsoft Sentinel на портале Defender:
Централизованное место для управления инцидентами и случаями в разных клиентах. Единое представление предоставляет аналитикам SOC всю необходимую информацию для расследования инцидентов и случаев в нескольких клиентах, устраняя необходимость входа и выхода из них.
Упрощенная охота на угрозы. Поддержка мультитенантности позволяет командам SOC использовать расширенные возможности охоты XDR в Microsoft Defender для создания запросов языка запросов Kusto (KQL), которые упреждающе ищут угрозы в нескольких клиентах.
Управление несколькими клиентами для партнеров. Партнеры с управляемым поставщиком служб безопасности (MSSP) теперь могут получать представление о случаях, инцидентах безопасности, оповещениях и охоте на угрозы для нескольких клиентов с помощью одной панели.
Что включает в себя мультитенантное управление?
Для каждого клиента, к который у вас есть доступ, доступны следующие ключевые возможности в мультитенантном управлении XDR в Microsoft Defender и Microsoft Sentinel на портале Defender:
| Возможность | Описание |
|---|---|
| Оповещения >об инцидентах &Инцидентов | Управление инцидентами, происходящими из нескольких клиентов. |
| Оповещения >об инцидентах &Оповещения | Управление оповещениями, исходящими от нескольких клиентов. |
| Случаях | Управление обращениями, исходящими из нескольких клиентов. |
| Охота>Расширенная охота | Упреждающее поиск попыток вторжения и действий нарушения безопасности в нескольких клиентах одновременно. |
| Охота>Настраиваемые правила обнаружения | Просмотр настраиваемых правил обнаружения и управление ими в нескольких клиентах. |
| Активов>Устройств>Арендаторов | Для всех клиентов и на уровне конкретного клиента изучите количество устройств по разным значениям, таким как тип устройства, значение устройства, состояние подключения и состояние риска. |
| Конечные точки>Управление> уязвимостямиПанели мониторинга | Панель мониторинга управления уязвимостями в Microsoft Defender предоставляет администраторам безопасности и группам по операциям безопасности агрегированные сведения об управлении уязвимостями в нескольких клиентах. |
| Конечные точки>Управление уязвимостями>Арендаторов | Для всех клиентов и на уровне конкретного клиента изучите сведения об управлении уязвимостями в разных значениях, таких как открытые устройства, рекомендации по безопасности, слабые места и критические CSP. |
| Конфигурации>Параметры | Выводит список клиентов, к которых у вас есть доступ. Используйте эту страницу для просмотра клиентов и управления ими. |
| Управление несколькими клиентами>Группы клиентов | Упорядочение управляемых клиентов в именованные группы и переключение мультитенантного представления между этими группами. |
Ограничения
Управление mutitenant поддерживает мультитенантные отдельные рабочие области. Это означает, что вы можете запрашивать несколько клиентов и их основную рабочую область с помощью Расширенной охоты без Lighthouse.
Azure Lighthouse требуется, если требуется запросить вспомогательную рабочую область в другом клиенте (от Расширенной охоты, правил аналитики, книг и т. д.). Для этих запросов используйте оператор workspace() с портала управления несколькими клиентами или security.microsoft.com.