Microsoft Defender多租户管理中的高级搜寻
Microsoft Defender多租户管理中的高级搜寻允许你同时跨多个租户主动搜寻电子邮件、数据、设备和帐户中的入侵尝试和泄露活动。 如果有Microsoft Sentinel工作区的租户载入到Microsoft统一安全操作平台,请搜索安全信息和事件管理 (SIEM) 数据,以及跨多个租户 (XDR) 数据的扩展检测和响应。
运行跨租户查询
在多租户管理中,可以使用当前有权访问的任何查询。 它们在“ 查询 ”选项卡中按租户进行筛选。选择一个租户以查看每个租户下可用的查询。
在查询编辑器中加载查询后,可以通过选择“租户范围”,按租户指定查询 范围:
此操作将打开一个侧窗格,可从中指定要包含在查询中的租户:
选择要包含在查询中的租户。 选择 “应用”,然后选择 “运行查询”。
查询结果包含租户 ID:
若要详细了解Microsoft Defender XDR中的高级搜寻,请阅读使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁。
自定义检测规则
同样,可以在“自定义检测规则”页中管理多个租户的自定义检测规则。
按租户查看自定义检测规则
若要查看自定义检测规则,请转到Microsoft Defender多租户管理中的“自定义检测规则”页。
查看 “租户名称” 列,查看检测规则来自哪个租户:
若要仅查看特定租户的自定义检测规则,请选择“ 筛选”,选择租户或租户,然后选择“ 应用”。
若要详细了解自定义检测规则,请阅读 自定义检测概述。
管理自定义检测规则
可以从多租户管理Microsoft Defender运行、关闭和删除检测规则。
管理检测规则:
- 转到Microsoft Defender多租户管理中的“自定义检测规则”页
- 选择要管理的检测规则
选择单个检测规则时,将打开一个浮出控件面板,其中包含检测规则详细信息:
选择“打开检测规则”,在Microsoft Defender门户中特定租户的新选项卡中查看此规则。 若要了解详细信息,请参阅 自定义检测规则。