在多租户管理中查看和管理Microsoft Defender事件和警报

Microsoft Defender XDR的多租户管理和Microsoft统一的安全运营平台使安全运营中心 (SOC) 分析师能够在一个位置访问和分析来自多个租户的数据,使他们能够快速识别和响应威胁。 跨安全信息和事件管理 (SIEM) 会审事件和警报, (XDR) 将Microsoft Sentinel工作区加入统一安全操作平台的租户的扩展检测和响应数据。

在“事件 & 警报”下管理来自多个租户 的事件 & 警报

查看和调查事件

查看或调查事件:

  1. 转到Microsoft Defender多租户管理中的“事件”页。 “ 租户名称” 列显示事件源自哪个租户:

    Microsoft Defender多租户事件页的屏幕截图。

  2. 选择要查看的事件。 此时会打开浮出控件面板,其中包含事件详细信息页:

    Microsoft Defender多租户事件详细信息页的屏幕截图。

  3. 在事件详细信息页中,可以:

  • 选择“打开事件页”,在Microsoft Defender门户中特定租户的新选项卡中查看此事件。
  • 选择“ 管理事件 ”以分配事件、设置事件标记、设置事件状态并对事件进行分类。

若要了解详细信息,请参阅 调查事件

管理多个事件

若要跨多个租户管理事件,请执行以下操作:

  1. 转到Microsoft Defender多租户管理中的“事件”页

  2. 从事件列表中选择要管理的事件,然后选择“ 管理事件”。

    突出显示多租户管理中“事件”页上的“Microsoft Defender 管理事件”选项的屏幕截图。

在事件浮出控件上,可以分配事件、分配事件标记、设置事件状态以及同时为多个租户对多个事件进行分类。

注意

目前,只能从同一租户分配多个事件。

若要在 Microsoft Defender 门户中了解有关事件的详细信息,请参阅管理事件

查看和调查警报

若要查看或调查警报,请执行以下操作:

  1. 转到多租户管理的 “警报”页 ,然后选择要查看的警报。 此时会打开浮出控件面板,其中包含警报详细信息页:

    Microsoft Defender多租户管理中警报的警报详细信息页的屏幕截图。

  2. 在警报详细信息页中,可以:

  • 选择“打开警报”页“查看时间线”和“优化警报”等操作,以便在Microsoft Defender门户中特定租户的新选项卡中查看此警报。
  • 选择“ 管理警报 ”以分配警报、设置警报状态并对警报进行分类。

若要了解详细信息,请参阅 调查警报

管理多个警报

若要跨多个租户管理警报,请执行以下操作:

  1. 转到Microsoft Defender多租户管理中的“警报”页

  2. 从警报列表中选择要管理的警报,然后选择“ 管理警报”。

    突出显示Microsoft Defender多租户管理中所选警报的管理警报选项的屏幕截图。

在警报浮出控件上,可以同时分配警报、设置警报状态和对多个租户的警报进行分类。

注意

目前,只能分配来自同一租户的多个警报。 若要详细了解Microsoft Defender门户中的警报,请参阅管理警报