Microsoft Defender多租户管理
Microsoft Defender XDR的多租户管理和Microsoft统一安全运营平台为安全运营团队提供了你管理的所有租户的单一统一视图。 此视图使团队能够快速调查事件,并跨多个租户的数据执行高级搜寻,从而改进安全操作。
如果租户已将Microsoft Sentinel工作区载入到统一安全操作平台,则可以:
- 跨安全信息和事件管理对事件和警报进行会审, (SIEM) 以及 XDR) 数据的扩展检测和响应 (。
- 跨多个租户主动搜索 SIEM 和 XDR 数据。
统一安全操作平台目前仅支持每个租户一个Microsoft Sentinel工作区。 因此,在Microsoft Defender多租户管理中,每个租户都有一个Microsoft Sentinel工作区的 SIEM 数据。
有关更多信息,请参阅:
美国政府客户也可以使用多租户管理。 有关 GCC、GCC High、DoD 和商业客户的特定方案,请参阅下表。
| 应用场景 | 可用性 |
|---|---|
| 多租户管理 | 适用于所有 GCC、GCC High、DoD 和商业客户。 |
| 跨云协作 | - DoD 和 GCC High 客户都可以管理彼此云中的租户。
- GCC 客户可以管理商业云中的租户。 |
多租户管理的优点
多租户管理Defender XDR和Microsoft统一安全操作平台的一些主要优势包括:
跨租户集中管理事件的位置:统一视图为 SOC 分析师提供了调查跨多个租户的事件所需的所有信息,无需登录和注销每个租户。
简化的威胁搜寻:多租户支持使 SOC 团队能够使用Microsoft Defender XDR高级搜寻功能来创建Kusto 查询语言 (KQL) 查询,以主动搜寻跨多个租户的威胁。
合作伙伴的多客户管理:托管安全服务提供商 (MSSP) 合作伙伴现在可以通过单一管理平台了解多个客户的安全事件、警报和威胁搜寻。
多租户管理中包含的内容
在多租户管理中,Microsoft Defender XDR和Microsoft统一安全操作平台中,你有权访问的每个租户都可以使用以下关键功能:
| 功能 | 说明 |
|---|---|
| 事件 & 警报>事件 | 管理源自多个租户的事件。 |
| 事件 & 警报>警报 | 管理来自多个租户的警报。 |
| 狩猎>高级搜寻 | 同时主动搜寻跨多个租户的入侵尝试和违规活动。 |
| 狩猎>自定义检测规则 | 跨多个租户查看和管理自定义检测规则。 |
| 资产>设备>租户 | 对于所有租户和特定于租户的级别,浏览不同值(例如设备类型、设备值、载入状态和风险状态)的设备计数。 |
| 端点>漏洞管理>挡泥板 | Microsoft Defender 漏洞管理 仪表板为安全管理员和安全运营团队提供跨多个租户的聚合漏洞管理信息。 |
| 端点>漏洞管理>租户 | 对于所有租户和特定于租户的级别,浏览不同值(例如公开的设备、安全建议、弱点和关键 CVE)的漏洞管理信息。 |
| 配置>设置 | Lists有权访问的租户。 使用此页可以查看和管理租户。 |