Поделиться через

Расширенная охота в Microsoft Defender мультитенантном управлении

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Расширенная охота в Microsoft Defender мультитенантном управлении позволяет заблаговременно искать попытки вторжения и действия нарушения в электронной почте, данных, устройствах и учетных записях в нескольких клиентах одновременно. Если у вас есть клиенты с рабочей областью Microsoft Sentinel, подключенной к единой платформе операций безопасности Майкрософт, выполните поиск данных по управлению информационной безопасностью и событиями безопасности (SIEM) вместе с расширенными данными обнаружения и реагирования (XDR) в нескольких клиентах.

Выполнение межтенантных запросов

В мультитенантном управлении можно использовать любой из запросов, к которые у вас есть доступ. Они фильтруются по клиенту на вкладке Запросы . Выберите клиент, чтобы просмотреть запросы, доступные в каждом из них.

После загрузки запроса в редакторе запросов можно указать область запроса по клиенту, выбрав Клиент область:

Снимок экрана: страница запроса расширенной охоты на Microsoft Defender XDR между клиентами

Это действие открывает боковую панель, в которой можно указать арендаторов для включения в запрос:

Снимок экрана: боковая область Microsoft Defender XDR расширенной охоты на запросы между клиентами область

Выберите арендаторов, которые нужно включить в запрос. Выберите Применить, а затем — Выполнить запрос.

Результаты запроса содержат идентификатор клиента:

Снимок экрана: столбец расширенного запроса Microsoft Defender XDR ross tenants область

Дополнительные сведения о расширенной охоте в Microsoft Defender XDR см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

Правила настраиваемого обнаружения

Аналогичным образом можно управлять настраиваемыми правилами обнаружения из нескольких клиентов на странице настраиваемых правил обнаружения.

Просмотр настраиваемых правил обнаружения по клиенту

  1. Чтобы просмотреть настраиваемые правила обнаружения, перейдите на страницу Настраиваемые правила обнаружения в Microsoft Defender мультитенантного управления.

  2. Просмотрите столбец Имя клиента , чтобы узнать, из какого клиента поступает правило обнаружения:

    Снимок экрана: страница пользовательского обнаружения Microsoft Defender XDR с несколькими клиентами

Чтобы просмотреть только настраиваемые правила обнаружения определенного клиента, выберите Фильтр, выберите клиент или арендаторы и нажмите кнопку Применить.

Дополнительные сведения о пользовательских правилах обнаружения см. в статье Общие сведения о пользовательских обнаружениях.

Управление настраиваемыми правилами обнаружения

Вы можете выполнять, выключать и удалять правила обнаружения из Microsoft Defender мультитенантного управления.

Чтобы управлять правилами обнаружения, выполните следующие действия.

  1. Перейдите на страницу Настраиваемые правила обнаружения в Microsoft Defender мультитенантном управлении
  2. Выберите правило обнаружения, которым вы хотите управлять

При выборе одного правила обнаружения откроется всплывающий элемент со сведениями о правиле обнаружения:

Снимок экрана: страница сведений о пользовательском правиле обнаружения Microsoft Defender XDR

Выберите Открыть правила обнаружения, чтобы просмотреть это правило на новой вкладке для конкретного клиента на портале Microsoft Defender. Дополнительные сведения см. в разделе Настраиваемые правила обнаружения.

Связанные материалы