Microsoft Defender多租户管理中的高级搜寻

Microsoft Defender多租户管理中的高级搜寻允许你同时跨多个租户主动搜寻电子邮件、数据、设备和帐户中的入侵尝试和泄露活动。 如果有Microsoft Sentinel工作区的租户载入到Microsoft统一安全操作平台,请搜索安全信息和事件管理 (SIEM) 数据,以及跨多个租户 (XDR) 数据的扩展检测和响应。

运行跨租户查询

在多租户管理中,可以使用当前有权访问的任何查询。 它们在“ 查询 ”选项卡中按租户进行筛选。选择一个租户以查看每个租户下可用的查询。

在查询编辑器中加载查询后,可以通过选择“租户范围”,按租户指定查询 范围

跨租户Microsoft Defender XDR高级搜寻查询页的屏幕截图

此操作将打开一个侧窗格,可从中指定要包含在查询中的租户:

跨租户高级搜寻查询Microsoft Defender XDR窗格范围的屏幕截图

选择要包含在查询中的租户。 选择 “应用”,然后选择 “运行查询”。

查询结果包含租户 ID:

Microsoft Defender XDR ross 租户高级搜寻查询范围列的屏幕截图

若要详细了解Microsoft Defender XDR中的高级搜寻,请阅读使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁

自定义检测规则

同样,可以在“自定义检测规则”页中管理多个租户的自定义检测规则。

按租户查看自定义检测规则

  1. 若要查看自定义检测规则,请转到Microsoft Defender多租户管理中的“自定义检测规则”页

  2. 查看 “租户名称” 列,查看检测规则来自哪个租户:

    Microsoft Defender XDR多租户自定义检测页的屏幕截图

若要仅查看特定租户的自定义检测规则,请选择“ 筛选”,选择租户或租户,然后选择“ 应用”。

若要详细了解自定义检测规则,请阅读 自定义检测概述

管理自定义检测规则

可以从多租户管理Microsoft Defender运行关闭删除检测规则。

管理检测规则:

  1. 转到Microsoft Defender多租户管理中的“自定义检测规则”页
  2. 选择要管理的检测规则

选择单个检测规则时,将打开一个浮出控件面板,其中包含检测规则详细信息:

Microsoft Defender XDR自定义检测规则详细信息页的屏幕截图

选择“打开检测规则”,在Microsoft Defender门户中特定租户的新选项卡中查看此规则。 若要了解详细信息,请参阅 自定义检测规则