Del via

Avanceret jagt i Microsoft Defender multitenant management

  • Gælder for: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Avanceret jagt i Microsoft Defender multitenant administration giver dig mulighed for proaktivt at jage efter forsøg på indtrængen og brudaktivitet i mail, data, enheder og konti på tværs af flere lejere og arbejdsområder på samme tid. Hvis du har flere lejere med Microsoft Sentinel arbejdsområder, der er onboardet på Microsoft Defender-portalen, skal du søge efter SIEM-data (security information and event management) sammen med XDR-data (extended detection and response) på tværs af flere lejere og arbejdsområder.

Flere arbejdsområder pr. lejer understøttes i multitenant avanceret jagt som prøveversion.

Kvoter

I miljøer med flere brugere kan avancerede jagtforespørgsler maksimalt returnere 50.000 poster i alt. Resultatsættet fra hver enkelt lejer er begrænset til 50.000 divideret med antallet af forespurgte lejere.

Du kan finde flere oplysninger om tjenestegrænser i avanceret jagt under Forstå avancerede jagtkvoter.

Kør forespørgsler på tværs af lejere

Du kan køre en hvilken som helst forespørgsel, som du allerede har adgang til, på siden avanceret jagt i multitenant administration.

  1. Forespørgsler, der er angivet under fanen Forespørgsler , filtreres efter lejer. Vælg en lejer for at få vist de forespørgsler, der er tilgængelige for hver enkelt.

  2. Indlæs en forespørgsel i forespørgselseditoren, og vælg lejervælgeren for at angive de lejere og arbejdsområder, du vil køre forespørgslen mod.

    Skærmbillede af siden med avanceret jagtforespørgsel på tværs af Microsoft Defender XDR lejere

  3. Vælg de lejere, du vil medtage i forespørgslen, i den siderude, der åbnes. Hver lejer understøtter et enkelt arbejdsområde. Hvis du har flere arbejdsområder, der er onboardet til Defender-portalen i din lejer, skal du vælge Rediger valg for at vælge det arbejdsområde, du vil bruge.

    Skærmbillede af det Microsoft Defender XDR område på tværs af lejere i ruden avanceret jagtforespørgsel

    Når du vælger flere lejere, kører forespørgslen uafhængigt af hinanden i hver lejer, og de kombinerede resultater vises i en enkelt tabel. Eksempelforespørgslen nedenfor (DeviceEvents | take 10) returnerer f.eks. 10 resultater pr. lejer, hvilket resulterer i en total, der er lig med 10 ganget med antallet af valgte lejere.

  4. Når du er færdig, skal du vælge Anvend>kørselsforespørgsel.

    Skærmbillede af kolonnen med avanceret jagtforespørgselsområde for Microsoft Defender XDR Ross-lejere

    Forespørgselsresultaterne indeholder en kolonne med navnet TenantId. Hvis du bruger flere arbejdsområder, viser værdierne i denne kolonne arbejdsområde-id'et i stedet for lejer-id'et. I sådanne tilfælde anbefaler vi, at du bruger din forespørgsel til at omdøbe kolonnen i dine resultater fra TenantId til WorkspaceId for at gøre det nemmere at læse den. Det kan f.eks. være:

    DeviceEvents
| take 10
| project TenantId = WorkspaceID

Or, to query multiple workspaces in the same tenant, use a query similar to the following:

```kusto
Usage
| union workspace("WorkpaceA").Usage
| take 10

Vigtigt!

Kørsel af forespørgsler på tværs af flere lejere ved hjælp af operatoren adx(x) kører separate ADX-forespørgsler pr. lejer og samler dem, hvilket kan returnere duplikerede resultater. Brug kun operatoren adx(x) med flere lejere, hvis du har brug for at forbinde lejerresultater med ADX-data. Du kan finde flere oplysninger om ADX i Avanceret jagt under Brug Microsoft Sentinel funktioner, gemte forespørgsler og brugerdefinerede regler.

Hvis du vil vide mere om avanceret jagt i Microsoft Defender XDR, kan du læse Proaktivt jagt efter trusler med avanceret jagt i Microsoft Defender XDR.

Kør forespørgsler på tværs af arbejdsområder

Hvis du vil køre forespørgsler på tværs af flere arbejdsområder i den samme lejer, skal du bruge udtrykket workspace( ) med arbejdsområde-id'et som argumentet i din forespørgsel til at referere til en tabel i et andet arbejdsområde.

Hvis du bruger Azure Lighthouse til at tildele din lejer tilladelser til andre lejerarbejdsområder, kan du også forespørge på tværs af både lejere og arbejdsområder. Det gør du ved kun at vælge én lejer i lejerområdevælgeren . Brug derefter udtrykket i forespørgslen til at kalde navnene på andre arbejdsområder, workspace() du vil forespørge i andre lejere. Hvis du f.eks. har lejere og arbejdsområder, der er navngivet på følgende måde:

  • TenantA: WorkspaceA1, WorkspaceA2
  • TenantB: WorkspaceB1, WorkspaceB2

Og du vil forespørge på tværs af både WorkspaceA1 og WorkspaceB1, skal du vælge TenantA og WorkspaceA1 i lejeromfangsvælgeren . Brug derefter operatoren workspace() i din forespørgsel til at kalde WorkspaceB2. Det kan f.eks. være:

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

Resultater vises fra både WorkspaceA1 og WorkspaceB2.

Du kan få flere oplysninger under Forespørg om flere arbejdsområder og Administrer arbejdsområder på tværs af lejere ved hjælp af Azure Lighthouse.

Bemærk!

Hvis du har tabeller med samme navn, men forskellige skemaer i flere arbejdsområder, og du vil bruge dem i den samme forespørgsel, skal du bruge arbejdsområdeoperatoren til entydigt at identificere den tabel, du har brug for.

Vis skematabeller

Få vist de avancerede jagtskematabeller i venstre rude på siden avanceret jagt under fanen Skema .

Skemalisten er en samlet visning af alle tabeller fra alle dine lejere, uanset hvilken lejer der er valgt i lejervælgeren øverst til højre.

Det kan betyde, at nogle tabeller, der vises her, muligvis kun er tilgængelige for forespørgsler i nogle lejere, f.eks. brugerdefinerede Microsoft Sentinel tabeller.

Få vist og administrer regler for brugerdefineret registrering

Du kan også administrere regler for brugerdefineret registrering fra flere lejere på siden med regler for brugerdefineret registrering.

Få vist regler for brugerdefineret registrering efter lejer

  1. Hvis du vil have vist regler for brugerdefineret registrering, skal du gå til siden Regler for brugerdefineret registrering i Microsoft Defender administration med flere brugere.

  2. Vis kolonnen Lejernavn for at se, hvilken lejer registreringsreglen kommer fra:

    Skærmbillede af siden Microsoft Defender XDR brugerdefineret registrering med flere brugere.

Hvis du kun vil have vist en bestemt lejers regler for brugerdefineret registrering, skal du vælge Filter, vælge lejeren eller lejerne og vælge Anvend.

Hvis du vil vide mere om regler for brugerdefineret registrering, skal du læse Oversigt over brugerdefinerede registreringer.

Administrer regler for brugerdefineret registrering

Du kan køre, deaktivere og slette regler for registrering fra Microsoft Defender multitenant administration.

Sådan administrerer du regler for registrering:

  1. Gå til siden Regler for brugerdefineret registrering i Microsoft Defender administration af flere brugere.

  2. Vælg den registreringsregel, du vil administrere.

    Når du vælger en enkelt registreringsregel, åbnes der et pop op-panel med oplysninger om registreringsreglen:

    Skærmbillede af siden med oplysninger om Microsoft Defender XDR brugerdefineret registreringsregel

  3. Vælg Åbn registreringsregler for at få vist denne regel på en ny fane for den specifikke lejer på Microsoft Defender-portalen. Du kan få mere at vide under Regler for brugerdefineret registrering.

Relateret indhold