Pokročilé proaktivní vyhledávání ve správě Microsoft Defender s více tenanty

  • Platí pro: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Rozšířené proaktivní vyhledávání v Microsoft Defender s více tenanty umožňuje proaktivně vyhledávat pokusy o vniknutí a aktivity porušení zabezpečení v e-mailech, datech, zařízeních a účtech ve více tenantech a pracovních prostorech najednou. Pokud máte více tenantů s Microsoft Sentinel pracovními prostory nasazenými na portálu Microsoft Defender, vyhledejte data správy událostí a informací o zabezpečení (SIEM) společně s daty XDR (Extended Detection and Response) napříč několika tenanty a pracovními prostory.

Více pracovních prostorů na tenanta se podporuje ve víceklientských rozšířených proaktivních funkcích ve verzi Preview.

Kvóty

Ve víceklientských prostředích můžou rozšířené dotazy proaktivního vyhledávání vrátit celkem maximálně 50 000 záznamů. Sada výsledků z každého jednotlivého tenanta je omezena na 50 000 vyděleno počtem dotazovaných tenantů.

Další informace o limitech služeb v rozšířeném proaktivním vyhledávání najdete v tématu Vysvětlení kvót rozšířeného proaktivního vyhledávání.

Spouštění dotazů mezi tenanty

Na stránce Rozšířené proaktivní vyhledávání můžete spustit libovolný dotaz, ke kterému už máte přístup.

  1. Dotazy uvedené na kartě Dotazy se filtrují podle tenanta. Vyberte tenanta, aby se zobrazily dostupné dotazy pro každý z nich.

  2. Načtěte dotaz v editoru dotazů a výběrem selektoru tenanta určete tenanty a pracovní prostory, pro které chcete dotaz spustit.

    Snímek obrazovky se stránkou dotazu rozšířeného proaktivního proaktivního vyhledávání Microsoft Defender XDR mezi tenanty

  3. V bočním podokně, které se otevře, vyberte tenanty, které chcete zahrnout do dotazu. Každý tenant podporuje jeden pracovní prostor. Pokud máte na portálu Defender ve svém tenantovi nasazených více pracovních prostorů, vyberte Upravit výběr a vyberte pracovní prostor, který chcete použít.

    Snímek obrazovky s oborem rozšířeného proaktivního vyhledávání dotazů Microsoft Defender XDR mezi tenanty na straně podokna

    Když vyberete více tenantů, dotaz se spustí nezávisle na každém tenantovi a kombinované výsledky se zobrazí v jedné tabulce. Například ukázkový dotaz níže (DeviceEvents | take 10) vrátí 10 výsledků na tenanta, takže celkový počet se rovná 10 vynásobeným počtem vybraných tenantů.

  4. Až budete hotovi, vyberte Použít>dotaz Spustit.

    Snímek obrazovky se sloupcem rozšířeného oboru dotazů proaktivního vyhledávání tenantů Microsoft Defender XDR Ross

    Výsledky dotazu obsahují sloupec s názvem TenantId. Pokud používáte více pracovních prostorů, hodnoty v tomto sloupci zobrazují ID pracovního prostoru místo ID tenanta. V takových případech doporučujeme, abyste pomocí dotazu přejmenovali sloupec ve výsledcích z TenantId na WorkspaceId , aby se snadněji četl. Příklady:

    DeviceEvents
| take 10
| project TenantId = WorkspaceID

    Nebo pokud chcete dotazovat více pracovních prostorů ve stejném tenantovi, použijte dotaz podobný následujícímu:

    Usage
| union workspace("WorkpaceA").Usage
| take 10

Důležité

Spouštění dotazů ve více tenantech pomocí operátoru adx(x) spustí samostatné dotazy ADX pro každého tenanta a agreguje je, což může vrátit duplicitní výsledky. adx(x) Operátor použijte s více tenanty pouze v případě, že potřebujete spojit výsledky tenanta s daty ADX. Další informace o ADX v rozšířeném proaktivního vyhledávání najdete v tématu Použití funkcí Microsoft Sentinel, uložených dotazů a vlastních pravidel.

Další informace o rozšířeném proaktivním vyhledávání v Microsoft Defender XDR najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání v Microsoft Defender XDR.

Spouštění dotazů mezi pracovními prostory

Pokud chcete spouštět dotazy ve více pracovních prostorech ve stejném tenantovi, použijte výraz workspace( ) s identifikátorem pracovního prostoru jako argumentem v dotazu, který odkazuje na tabulku v jiném pracovním prostoru.

Pokud používáte Azure Lighthouse k udělení oprávnění k dalším pracovním prostorům tenantů, můžete také dotazovat napříč tenanty i pracovními prostory. Uděláte to tak, že ve selektoru oboru tenanta vyberete jenom jednoho tenanta. Pak v dotazu použijte workspace() výraz k volání názvů všech ostatních pracovních prostorů, které chcete dotazovat v jiných tenantech. Pokud máte například tenanty a pracovní prostory pojmenované takto:

  • Tenanta: WorkspaceA1, WorkspaceA2
  • TenantB: WorkspaceB1, WorkspaceB2

A pokud chcete dotazovat v rámci pracovního prostoru A1 i Pracovního prostoruB1, vyberte v selektoru rozsahu tenantaTenantA a Pracovní prostorA1. Pak v dotazu pomocí operátoru workspace() zavolejte WorkspaceB2. Příklady:

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

Výsledky se zobrazují z WorkspaceA1 i WorkspaceB2.

Další informace najdete v tématech Dotazování na více pracovních prostorů a Správa pracovních prostorů napříč tenanty pomocí Azure Lighthouse.

Poznámka

Pokud máte tabulky se stejným názvem, ale různými schématy ve více pracovních prostorech a chcete je použít ve stejném dotazu, měli byste k jednoznačné identifikaci tabulky, kterou potřebujete, použít operátor pracovního prostoru.

Zobrazení tabulek schématu

V levém podokně na stránce rozšířeného proaktivního proaktivního vyhledávání na kartě Schéma si můžete prohlédnout tabulky schématu rozšířeného proaktivního vyhledávání.

Seznam schémat je sjednocené zobrazení všech tabulek ze všech vašich tenantů bez ohledu na tenanta vybraného v pravém horním selektoru tenanta.

To může znamenat, že některé tabulky, které se tady zobrazují, můžou být dostupné jenom pro dotazy v některých tenantech, jako jsou vlastní Microsoft Sentinel tabulky.

Zobrazení a správa vlastních pravidel detekce

Vlastní pravidla zjišťování můžete také spravovat z více tenantů na stránce vlastních pravidel detekce.

Zobrazení vlastních pravidel detekce podle tenanta

  1. Pokud chcete zobrazit vlastní pravidla zjišťování, přejděte na stránku Vlastní pravidla zjišťování v Microsoft Defender s více tenanty.

  2. Zobrazte sloupec Název tenanta a zjistěte, ze kterého tenanta pravidlo detekce pochází:

    Snímek obrazovky se stránkou Microsoft Defender XDR víceklientského vlastního zjišťování

Pokud chcete zobrazit jenom vlastní pravidla zjišťování konkrétního tenanta, vyberte Filtr, zvolte tenanta nebo tenanty a vyberte Použít.

Další informace o vlastních pravidlech zjišťování najdete v tématu Přehled vlastních detekcí.

Správa vlastních pravidel detekce

Můžete spustit, vypnout a odstranit pravidla detekce z Microsoft Defender správy s více tenanty.

Správa pravidel detekce:

  1. Přejděte na stránku Vlastní pravidla zjišťování ve správě Microsoft Defender s více tenanty.

  2. Zvolte pravidlo detekce, které chcete spravovat.

    Když vyberete jedno pravidlo detekce, otevře se panel s informačními rámečky s podrobnostmi o pravidle detekce:

    Snímek obrazovky se stránkou s podrobnostmi o Microsoft Defender XDR vlastních pravidel detekce

  3. Výběrem možnosti Otevřít pravidla zjišťování zobrazíte toto pravidlo na nové kartě pro konkrétního tenanta na portálu Microsoft Defender. Další informace najdete v tématu Vlastní pravidla zjišťování.

Související obsah

  • Last updated on