Управление мультитенантными клиентами в Microsoft Defender

Мультитенантное управление XDR в Microsoft Defender и Microsoft Sentinel на портале Defender предоставляет командам по управлению безопасностью единое представление всех управляемых клиентов. Это представление позволяет командам быстро исследовать инциденты и выполнять расширенный поиск данных из нескольких клиентов, что повышает эффективность операций безопасности.

Поддержка Microsoft Sentinel

Для каждого клиента портал Defender позволяет подключиться к одной основной рабочей области и нескольким дополнительным рабочим областям для Microsoft Sentinel. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.

Если у вас есть клиенты с рабочими областями Microsoft Sentinel, подключенными к порталу Defender, вы можете:

  • Рассмотрение инцидентов и оповещений в данных управления информационной безопасностью и событиями безопасности (SIEM) и eXtended Detection and Response (XDR).
  • Упреждающий поиск данных SIEM и XDR в нескольких клиентах.
  • Управление делами в нескольких клиентах.

Каждая рабочая область должна быть подключена к порталу Defender для каждого клиента отдельно, как в сценарии с одним клиентом.

Дополнительные сведения см. в разделе:

Доступность функций

Управление мультитенантными клиентами также доступно для государственных организаций США. Конкретные сценарии для GCC, GCC High, DoD и коммерческих клиентов см. в следующей таблице.

Сценарий Доступность
Управление несколькими клиентами Доступно для всех клиентов GCC, GCC High, DoD и коммерческих клиентов.
Совместная работа в нескольких облаках — Клиенты DoD и GCC High могут управлять клиентами в облаках друг друга.

— Клиенты GCC могут управлять клиентами в коммерческом облаке.

Преимущества мультитенантного управления

Ниже перечислены некоторые из основных преимуществ, которые вы получаете с помощью мультитенантного управления для Defender XDR и Microsoft Sentinel на портале Defender:

  • Централизованное место для управления инцидентами и случаями в разных клиентах. Единое представление предоставляет аналитикам SOC всю необходимую информацию для расследования инцидентов и случаев в нескольких клиентах, устраняя необходимость входа и выхода из них.

  • Упрощенная охота на угрозы. Поддержка мультитенантности позволяет командам SOC использовать расширенные возможности охоты XDR в Microsoft Defender для создания запросов языка запросов Kusto (KQL), которые упреждающе ищут угрозы в нескольких клиентах.

  • Управление несколькими клиентами для партнеров. Партнеры с управляемым поставщиком служб безопасности (MSSP) теперь могут получать представление о случаях, инцидентах безопасности, оповещениях и охоте на угрозы для нескольких клиентов с помощью одной панели.

Что включает в себя мультитенантное управление?

Для каждого клиента, к который у вас есть доступ, доступны следующие ключевые возможности в мультитенантном управлении XDR в Microsoft Defender и Microsoft Sentinel на портале Defender:

Возможность Описание
Оповещения >об инцидентах &Инцидентов Управление инцидентами, происходящими из нескольких клиентов.
Оповещения >об инцидентах &Оповещения Управление оповещениями, исходящими от нескольких клиентов.
Случаях Управление обращениями, исходящими из нескольких клиентов.
Охота>Расширенная охота Упреждающее поиск попыток вторжения и действий нарушения безопасности в нескольких клиентах одновременно.
Охота>Настраиваемые правила обнаружения Просмотр настраиваемых правил обнаружения и управление ими в нескольких клиентах.
Активов>Устройств>Арендаторов Для всех клиентов и на уровне конкретного клиента изучите количество устройств по разным значениям, таким как тип устройства, значение устройства, состояние подключения и состояние риска.
Конечные точки>Управление> уязвимостямиПанели мониторинга Панель мониторинга управления уязвимостями в Microsoft Defender предоставляет администраторам безопасности и группам по операциям безопасности агрегированные сведения об управлении уязвимостями в нескольких клиентах.
Конечные точки>Управление уязвимостями>Арендаторов Для всех клиентов и на уровне конкретного клиента изучите сведения об управлении уязвимостями в разных значениях, таких как открытые устройства, рекомендации по безопасности, слабые места и критические CSP.
Конфигурации>Параметры Выводит список клиентов, к которых у вас есть доступ. Используйте эту страницу для просмотра клиентов и управления ими.
Управление несколькими клиентами>Группы клиентов Упорядочение управляемых клиентов в именованные группы и переключение мультитенантного представления между этими группами.

Ограничения

Управление mutitenant поддерживает мультитенантные отдельные рабочие области. Это означает, что вы можете запрашивать несколько клиентов и их основную рабочую область с помощью Расширенной охоты без Lighthouse. Azure Lighthouse требуется, если требуется запросить вспомогательную рабочую область в другом клиенте (от Расширенной охоты, правил аналитики, книг и т. д.). Для этих запросов используйте оператор workspace() с портала управления несколькими клиентами или security.microsoft.com.

Дальнейшие действия