在多租户管理中查看和管理Microsoft Defender事件和警报
Microsoft Defender XDR的多租户管理和Microsoft统一的安全运营平台使安全运营中心 (SOC) 分析师能够在一个位置访问和分析来自多个租户的数据,使他们能够快速识别和响应威胁。 跨安全信息和事件管理 (SIEM) 会审事件和警报, (XDR) 将Microsoft Sentinel工作区加入统一安全操作平台的租户的扩展检测和响应数据。
在“事件 & 警报”下管理来自多个租户 的事件 & 警报。
查看和调查事件
查看或调查事件:
转到Microsoft Defender多租户管理中的“事件”页。 “ 租户名称” 列显示事件源自哪个租户:
选择要查看的事件。 此时会打开浮出控件面板,其中包含事件详细信息页:
在事件详细信息页中,可以:
- 选择“打开事件页”,在Microsoft Defender门户中特定租户的新选项卡中查看此事件。
- 选择“ 管理事件 ”以分配事件、设置事件标记、设置事件状态并对事件进行分类。
若要了解详细信息,请参阅 调查事件。
管理多个事件
若要跨多个租户管理事件,请执行以下操作:
转到Microsoft Defender多租户管理中的“事件”页。
从事件列表中选择要管理的事件,然后选择“ 管理事件”。
在事件浮出控件上,可以分配事件、分配事件标记、设置事件状态以及同时为多个租户对多个事件进行分类。
注意
目前,只能从同一租户分配多个事件。
若要在 Microsoft Defender 门户中了解有关事件的详细信息,请参阅管理事件。
查看和调查警报
若要查看或调查警报,请执行以下操作:
转到多租户管理的 “警报”页 ,然后选择要查看的警报。 此时会打开浮出控件面板,其中包含警报详细信息页:
在警报详细信息页中,可以:
- 选择“打开警报”页、“查看时间线”和“优化警报”等操作,以便在Microsoft Defender门户中特定租户的新选项卡中查看此警报。
- 选择“ 管理警报 ”以分配警报、设置警报状态并对警报进行分类。
若要了解详细信息,请参阅 调查警报。
管理多个警报
若要跨多个租户管理警报,请执行以下操作:
转到Microsoft Defender多租户管理中的“警报”页。
从警报列表中选择要管理的警报,然后选择“ 管理警报”。
在警报浮出控件上,可以同时分配警报、设置警报状态和对多个租户的警报进行分类。
注意
目前,只能分配来自同一租户的多个警报。 若要详细了解Microsoft Defender门户中的警报,请参阅管理警报。