Del via

Avansert jakt i Microsoft Defender flertenant ledelse

  • Gjelder for: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Avansert jakt i Microsoft Defender flertenant ledelse lar deg proaktivt jakte på inntrengingsforsøk og bruddaktivitet i e-post, data, enheter og kontoer på tvers av flere leiere og arbeidsområder samtidig. Hvis du har flere leiere med Microsoft Sentinel arbeidsområder pålastet til Microsoft Defender-portalen, søker du etter siem-data (security information and event management) sammen med data for utvidet gjenkjenning og respons (XDR) på tvers av flere leiere og arbeidsområder.

Flere arbeidsområder per leier støttes i avansert jakt med flere enheter som forhåndsversjon.

Kvoter

I miljøer med flere enheter kan avanserte jaktspørringer returnere maksimalt 50 000 poster totalt. Resultatsettet fra hver enkelt leier begrenses til 50 000 delt på antallet leiere som spørres.

Hvis du vil ha mer informasjon om tjenestegrenser i avansert jakt, kan du lese Forstå avanserte jaktkvoter.

Kjør spørringer på tvers av leier

Du kan kjøre alle spørringer som du allerede har tilgang til på siden avansert jakt for flertenantbehandling.

  1. Spørringer som er oppført på Spørringer-fanen, filtreres etter leier . Velg en leier for å vise spørringene som er tilgjengelige for hver av dem.

  2. Last inn en spørring i redigeringsprogrammet for spørring, og velg leiervelgeren for å angi leierne og arbeidsområdene du vil kjøre spørringen mot.

    Skjermbilde av siden for avansert jakt på Microsoft Defender XDR på tvers av leiere

  3. Velg leierne du vil inkludere i spørringen, i sideruten som åpnes. Hver leier støtter ett enkelt arbeidsområde. Hvis du har flere arbeidsområder innebygd i Defender-portalen i leieren, velger du Rediger valg for å velge arbeidsområdet du vil bruke.

    Skjermbilde av Microsoft Defender XDR område for avansert jaktspørring på tvers av leiere

    Når du velger flere leiere, kjøres spørringen uavhengig i hver leier, og de kombinerte resultatene vises i én enkelt tabell. Eksempelspørringen nedenfor (DeviceEvents | take 10) returnerer for eksempel 10 resultater per leier, noe som resulterer i totalt 10 multiplisert med antall leiere som er valgt.

  4. Når du er ferdig, velger du Bruk>kjør-spørring.

    Skjermbilde av kolonnen Microsoft Defender XDR for avansert jaktspørring for ross-leiere

    Spørringsresultatene inneholder en kolonne kalt TenantId. Hvis du bruker flere arbeidsområder, viser verdiene i denne kolonnen arbeidsområde-ID-en i stedet for leier-ID-en. I slike tilfeller anbefaler vi at du bruker spørringen til å gi nytt navn til kolonnen i resultatene fra TenantId til WorkspaceId for å gjøre det enklere å lese. Eksempel:

    DeviceEvents
| take 10
| project TenantId = WorkspaceID

    Hvis du vil spørre flere arbeidsområder i samme leier, kan du også bruke en spørring som ligner på følgende:

    Usage
| union workspace("WorkpaceA").Usage
| take 10

Viktig

Hvis du kjører spørringer på tvers av flere leiere som bruker operatoren adx(x) , kjøres separate ADX-spørringer per leier og aggregerer dem, noe som kan returnere dupliserte resultater. Bruk operatoren adx(x) med flere leiere bare hvis du trenger å bli med i leierresultater med ADX-data. Hvis du vil ha mer informasjon om ADX i avansert jakt, kan du se Bruke Microsoft Sentinel funksjoner, lagrede spørringer og egendefinerte regler.

For å lære mer om avansert jakt i Microsoft Defender XDR, les Proaktivt jakten på trusler med avansert jakt i Microsoft Defender XDR.

Kjør spørringer på tvers av arbeidsområder

Hvis du vil kjøre spørringer på tvers av flere arbeidsområder i samme leier, bruker du uttrykket workspace( ) med arbeidsområdeidentifikatoren som argument i spørringen for å referere til en tabell i et annet arbeidsområde.

Hvis du bruker Azure Lighthouse til å gi leieren din tillatelse til andre leieres arbeidsområder, kan du også spørre på tvers av både leiere og arbeidsområder. Dette gjør du ved å velge bare én leier i velgeren for leieromfang . Deretter bruker du uttrykket i spørringen workspace() til å kalle navnene på eventuelle andre arbeidsområder du vil spørre i andre leiere. Hvis du for eksempel har leiere og arbeidsområder som er navngitt som følger:

  • TenantA: WorkspaceA1, WorkspaceA2
  • TenantB: WorkspaceB1, WorkspaceB2

Og hvis du vil spørre på tvers av både WorkspaceA1 og WorkspaceB1, velger du TenantA og WorkspaceA1 i velgeren for leieromfang . Deretter bruker du operatoren i spørringen workspace() til å kalle WorkspaceB2. Eksempel:

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

Resultatene vises både fra WorkspaceA1 og WorkspaceB2.

Hvis du vil ha mer informasjon, kan du se Spørre flere arbeidsområder og Administrere arbeidsområder på tvers av leiere ved hjelp av Azure Lighthouse.

Obs!

Hvis du har tabeller med samme navn, men forskjellige skjemaer i flere arbeidsområder og vil bruke dem i samme spørring, bør du bruke arbeidsområdeoperatoren til å identifisere tabellen du trenger.

Vis skjematabeller

Vis skjematabellene for avansert jakt i ruten til venstre i siden for avansert jakt under skjemafanen .

Skjemalisten er en enhetlig visning av alle tabeller fra alle tenantene dine, uavhengig av hvilken leier som er valgt i leiervelgeren øverst til høyre.

Dette kan bety at noen tabeller som vises her, kanskje bare er tilgjengelige for spørring i enkelte leiere, for eksempel egendefinerte Microsoft Sentinel tabeller.

Vis og administrer egendefinerte gjenkjenningsregler

Du kan også behandle egendefinerte gjenkjenningsregler fra flere leiere på siden for egendefinerte gjenkjenningsregler.

Vis egendefinerte gjenkjenningsregler etter leier

  1. Hvis du vil vise egendefinerte gjenkjenningsregler, kan du gå til siden for egendefinerte gjenkjenningsregler i Microsoft Defender administrasjon av flere enheter.

  2. Vis kolonnen for leiernavn for å se hvilken leier gjenkjenningsregelen kommer fra:

    Skjermbilde av den Microsoft Defender XDR egendefinerte oppdagingssiden for flere enheter.

Hvis du bare vil vise en bestemt leiers egendefinerte gjenkjenningsregler, velger du Filter, velger tenanten eller tenantene og velger Bruk.

Hvis du vil lese mer om egendefinerte gjenkjenningsregler, kan du lese Oversikt over egendefinerte gjenkjenninger.

Behandle egendefinerte gjenkjenningsregler

Du kan kjøre, slå av og slette registreringsregler fra Microsoft Defender administrasjon av flere enheter.

Slik administrerer du gjenkjenningsregler:

  1. Gå til siden for egendefinerte gjenkjenningsregler i Microsoft Defender administrasjon av flere enheter.

  2. Velg gjenkjenningsregelen du vil administrere.

    Når du velger én enkelt gjenkjenningsregel, åpnes et undermenypanel med gjenkjenningsregeldetaljene:

    Skjermbilde av siden med detaljer om Microsoft Defender XDR egendefinerte gjenkjenningsregel

  3. Velg Åpne gjenkjenningsregler for å vise denne regelen i en ny fane for den bestemte leieren i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se egendefinerte gjenkjenningsregler.

Beslektet innhold

  • Last updated on