MSSP Microsoft Defender门户实施指南

Microsoft Defender门户是一个统一的安全操作平台，可将多个客户租户的事件管理、威胁搜寻和工作负载管理汇集在一起。 有关这些功能及其优势的全面概述，请参阅Microsoft Defender多租户管理。

本指南重点介绍为托管安全服务提供商 (MSSP) 实现租户管理。 它涵盖了从初始设置和客户加入到 MSSP 的高级操作工作流的整个过程。

& 区分器的主要功能

MSSP Microsoft Defender门户的主要功能包括：

• 统一事件管理：单个统一事件队列包括来自Microsoft Sentinel、Microsoft Defender和第三方源的数据。 有关详细信息，请参阅 跨租户管理安全操作

• 跨平台威胁搜寻：跨安全数据统一搜寻功能，无需在门户之间切换，并且允许分析师在整个客户群中轻松找到所需的数据。 有关详细信息，请参阅 高级搜寻。

• 主动攻击中断：攻击中断通过停止正在进行的攻击提供主动保护。 它适用于本机Microsoft Defender技术以及跨第三方环境，例如 SAP、AWS、Proofpoint 和 Okta。 Microsoft Defender通过自动撤销泄露的凭据、隔离恶意会话和消除攻击者的立足点，减少停留时间并防止横向移动。

• 攻击路径分析和暴露可视化：通过可视化网络攻击者如何利用漏洞在客户环境中公开的资产之间横向移动来分析攻击路径并减少暴露。 获取有关减少风险的引导性建议，并根据每个风险的潜在影响确定操作的优先级。 有关详细信息，请参阅 Microsoft 安全风险管理。

• 增强的检测准确性：通过将Microsoft Defender信号的深度与来自Microsoft Sentinel的日志源的灵活性相结合，快速准确地进行检测和调查。 这可以改善信噪比，增强警报关联。

• AI 支持的安全操作：利用智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®获取事件摘要和报告、引导式调查、自动生成Microsoft Teams 消息、代码分析等。 有关详细信息，请参阅 代理 AI 入门。

• 可缩放的多租户管理：获取租户警报、事件和资产的聚合视图，搜寻租户的所有数据，并使用自定义检测规则、终结点安全策略、分析规则、自动化规则等 内容管理和分发功能 跨租户维护一致的安全基线。

• 持续改进见解：接收有关防止类似或重复网络攻击的定制事后建议，这些建议直接与Microsoft 安全风险管理计划挂钩，以在操作完成时自动提高就绪情况分数。

若要在 Microsoft Defender 门户中生成安全操作，请阅读先决条件，然后按照以下步骤操作：

1. 步骤 1 - 准备环境：准备 MSSP 环境并将客户加入多租户配置

2. 步骤 2 - 内容管理：只需生成一次安全内容，并将其有效地部署到所有客户租户。

3. 步骤 3 - 多租户安全操作：跨客户租户运行每日事件响应、威胁搜寻和调查。

先决条件

将客户迁移到Microsoft Defender门户涉及迁移Microsoft Sentinel工作区并确保安全操作的连续性。

• 有关技术迁移过程，请参阅将Microsoft Sentinel连接到Microsoft Defender XDR。
• 在开始转换之前与客户建立明确的时间表和期望
• 查看多租户访问要求，并确保为每个客户租户配置了正确的委派
• 根据每个客户的环境和合规性要求，确定主要 (辅助) 的最佳工作区配置

步骤 1 - 准备环境

设置对多个客户租户的访问权限

MSSP 可以通过多种方法将访问权限委托给客户租户。 详细了解委派访问选项 ，以便你可以选择最适合组织需求和客户需求的方法。

注意

在某些情况下，MSSP 不应使用跨工作区规则。 例如，当同一规则应用于多个单独的工作区时，无需将数据关联在一起。 对于此方案，MSSP 应将相同的规则推送到它应用于的任何工作区。

高级自动化规则/playbook 方案

某些使用自动化规则和 playbook 的高级方案可能仍需要使用 Azure Lighthouse。 例如，当 playbook 需要在客户租户中执行操作时，保护合作伙伴租户中托管的 playbook 的知识产权。 另一个示例介绍了使用自动化规则在Microsoft Sentinel中自动响应威胁

统一 RBAC

在考虑使用统一 RBAC 管理Office 365客户的Microsoft Defender时，必须具有 Defender for Office 365 计划 2 许可证。 有关更多信息，请参阅：

• Email和协作权限映射
• Exchange Online权限映射

Azure B2B

Azure B2B 邀请的来宾不受以前Microsoft Exchange Online RBAC 体验的支持。 由于 Defender for Office 365 统一 RBAC 依赖于Exchange Online 管理员 API，所以在 Defender for Office 365 中执行的操作存在限制。 B2B 来宾管理员在尝试执行某些操作时可能会收到错误，例如：

• 管理垃圾邮件和钓鱼策略
• 管理 TABL
• 无法从隔离区释放电子邮件
• 导航窗格中缺少威胁资源管理器

管理权利

权利管理 是一项 标识治理 功能，它使组织能够通过自动执行访问请求工作流、访问分配、评审和过期来大规模管理标识和访问生命周期。

一些典型的权利管理配置包括：

• B2B 协作

  • 邀请外部用户作为来宾加入租户
  • 支持条件访问、MFA 和生命周期管理
  • 非常适合需要可治理的应用/资源访问权限的合作伙伴、供应商和承包商

• 跨租户访问设置

  • 对入站/出站协作的精细控制
  • 跨租户信任 MFA 和设备合规性声明
  • 配置默认策略或特定于组织的策略

• B2B Direct Connect

  • 在两个Microsoft Entra租户之间实现相互信任
  • 通过 Teams 共享频道无缝协作，无需添加来宾
  • 非常适合用户保留家庭凭据的持续合作关系

通常，B2B 协作和跨租户访问设置的组合是 MSSP 最相关的选择。

此图显示了客户租户中的 B2B 协作来宾表示形式。

有关不同 SOC 角色的示例角色分配，请参阅Microsoft Sentinel内置角色到Microsoft Defender统一 RBAC 角色的权限映射示例。

步骤 2 - 管理内容

管理和分发内容

在Microsoft Sentinel中，内容是指启用安全操作的构建基块。 它包括分析规则、数据连接器、搜寻查询、分析程序、playbook、监视列表和工作簿。 Microsoft Sentinel提供现成的内容，可以按原样使用，也可以对其进行自定义。 还可以创建和分发自定义内容以满足特定要求。 有效的内容管理和分发可确保跨客户租户实现一致的安全基线、快速威胁响应和可缩放的操作。

在 Microsoft Defender 门户中工作的 MSSP 具有多种工具来大规模管理和分发安全内容：

选项	最适用于	技术详细信息	关键功能	了解更多
本机多租户内容分发	跨多个租户快速部署标准内容	使用 Defender 门户的内置多租户管理。 适用于 OOB 内容或轻量自定义内容。	创建一次，在多个租户中随处部署 在目标范围 (设备、工作区) 上执行内容 集中跟踪以减少重复和错误	多租户管理中的内容分发
Microsoft Sentinel存储库将内容 (为代码)	结构化 DevOps 流程和适度的自定义需求	启用高级治理和生命周期管理。 快速配置并减少人为错误。	使用自动化管理 SIEM 内容 应用 CI/CD 做法进行版本控制、测试和部署 支持结合本机分发和 DevOps 的混合工作流	使用Microsoft Sentinel存储库 (公共预览版) 管理内容即代码
自定义 CI/CD 管道	跨租户的最大自定义和自动化	使用 Azure DevOps 或 GitHub Actions 生成。 需要自定义脚本和配置文件。 高级内容类型的当前方法。	复杂工作流的完全灵活性 自定义测试和集成	(公共预览版) 自定义存储库部署

提示

建议采用混合方法，将本机多租户管理内容分发功能与 CI/CD 工作流相结合，以满足即时部署需求，用于自定义内容开发、测试和高级自动化方案。

MSSP 的常见存储库体系结构模式

多客户 CI/CD 管道的一个关键考虑因素是选择最佳结构来为所有客户端提供服务。 虽然没有通用方法，但我们建议考虑以下三种模式：

模式 1：通用内容的中央存储库，定制内容的特定于客户的存储库

• 部署到所有客户的通用内容的一个中央存储库

• 特定于客户的自定义的单个存储库

• 每个客户工作区都连接到这两个存储库

• 最适合具有均衡的常见和定制内容需求的 MSSP

  

模式 2：具有自定义文件夹的单个存储库

• 一个存储库中的所有内容

• 基于共享数据源的文件夹结构（例如，Entra ID Analytics）或客户名称

• 每个客户连接自定义的部署管道

• 需要更多初始设置，但简化了存储库管理

  

模式 3：每个客户一个存储库

• 跨客户完成内容分离

• 每个客户的完全自定义灵活性

• 最适合具有独特内容要求的客户

• 更高的管理开销，但最大隔离

  

若要自定义 CI/CD 管道，请使用每个存储库分支中的配置文件来优先部署高优先级内容，排除不想部署的内容，并将参数文件映射到其相应的内容文件。 有关详细信息，请参阅 自定义连接配置。

有关如何在多租户方案中使用 Azure DevOps 的详细信息，请参阅使用 Azure DevOps 管理 MSSP 和多租户环境的Microsoft Sentinel。

共享内容管理注意事项

当 MSSP 和客户都管理内容时，可能会发生冲突，尤其是在同时使用内容即代码和门户进行内容管理时。 内容即代码存储库中的汇报通过门户覆盖对内容所做的任何更改。

若要防止此类冲突，我们建议：

• 仅限集中管理 - 限制权限，以便只有 MSSP 用户可以创建和更新内容。
• 具有清除标记的共享管理 - 使用命名约定为 MSSP 管理的项添加前缀。 这允许本地更新，但可以减少错误。

步骤 3 - 多租户安全操作

跨租户管理安全操作

Microsoft Defender门户提供所有相关信息，因此无需切换到其他门户或页面。 其统一的事件队列以及关联事件和警报的功能可以揭示更大、可能更全面的攻击，从而提供完整的攻击故事。 它还允许查看检测源和产品名称，并应用和共享这些筛选器，使事件和警报会审更加高效。

管理事件和警报

• 事件会审： 会审事件是 SOC 中的核心活动，从 Defender 门户中的调查和响应部分开始。 Microsoft Sentinel事件和警报与 Defender 的集成将所有相关信息合并到一个位置，无需在门户或页面之间切换。 这种简化的工作流可能需要对现有 SOC 流程进行一些分析师重新训练和更新。

  有关详细信息，请参阅 更新 Defender 门户的事件会审过程。

• 警报关联和事件合并： Defender 的相关引擎在识别不同事件中的警报之间的常见元素时合并事件。 当新警报满足 相关 条件时，Defender 会将它与来自所有检测源的其他相关警报聚合并关联到新事件中。 统一事件队列揭示了更全面的攻击，使分析师更高效，并提供完整的攻击故事。

  在多工作区方案中，只有主工作区中的警报与Microsoft Defender数据相关联。 在某些情况下，事件无法合并。

  有关详细信息，请参阅 了解如何在 Defender 门户中关联警报和合并事件。

• 多租户组织： 可以在统一队列中跨客户租户查看和管理事件、警报和案例。 每个分析师都可以使用他们管理的租户设置其多租户视图。 有关详细信息，请参阅Microsoft Defender多租户管理。

• 与外部票证系统集成： 如果外部票证系统提取并同步你管理的警报和事件，我们建议使用 Microsoft Graph REST API v1.0 ，以确保跨不同系统无缝集成和高效管理事件和警报。

  如果使用 Microsoft Sentinel SecurityInsights API 与Microsoft Sentinel事件交互，则可能需要更新自动化条件和触发条件，因为响应正文发生了更改。

  有关详细信息，请参阅 配置 API。

高级搜寻

高级搜寻允许在单个位置同时跨多个租户和工作区主动搜寻电子邮件、数据、设备和帐户中的入侵尝试和违规活动。 如果有多个租户，Microsoft Sentinel工作区载入到 Microsoft Defender 门户 (MTO) ，则可以使用查询中的工作区运算符查询Microsoft Sentinel数据，跨多个工作区和租户运行查询。

有关详细信息，请参阅Microsoft Defender多租户管理中的高级搜寻。

跨租户管理工作负荷

本部分介绍可以通过 MTO 或其他可用方法执行的各种操作以及可用于管理特定工作负荷的方法。

终结点

Defender 门户中的多租户视图为安全管理员提供了整个组织内所有安全策略（包括所有租户策略）的合并视图，而无需切换门户。 若要访问此页，请转到 终结点>配置管理>终结点安全策略。

将租户加入 Defender (MTO) 中的多租户管理后，可以通过 “设备 ”页管理所有已载入租户的终结点。 有关详细信息，请参阅 多租户管理中的设备。

重要

若要在 Defender 门户中的多租户视图中管理多个租户的安全设置，必须遵循所有先决条件，为每个租户配置单个租户的安全设置，包括以下 RBAC 要求：

• 对于Microsoft Defender，请使用安全管理员角色 (或自定义角色，其安全配置管理权限范围限定为所有设备)
• 对于Microsoft Intune，请使用终结点安全管理员角色
• 每个 Defender 租户中的设备必须与相应的Microsoft Entra租户关联

有关详细信息，请参阅使用 Intune 管理未使用 Intune 注册的设备上的Microsoft Defender设置。

注意

Defender (MTO) 中的多租户管理不支持Microsoft Defender 商业版租户。

Email和协作工具

在统一门户中管理电子邮件和协作工具时，需要注意的功能有一些重要区别，因为它们与通过 B2B 和粒度委派管理员特权 (GDAP) 管理客户相关。

身份

Defender 门户中的多租户视图为复杂组织提供了将区域和业务部门隔离为单个租户的方法，而不会失去对这些租户数据的访问权限。

在 Defender (MTO) 中将租户加入到多租户管理后，可以通过“标识”页管理所有已载入租户的标识。 有关详细信息，请参阅 多租户标识。

云应用程序

Microsoft Defender for Cloud Apps是一种软件即服务 (SaaS) 安全解决方案，附带相关许可证和预配许可证的租户的合规性边界。 由于此体系结构，只有 Microsoft 365 和 Azure 连接器引入活动并为这些租户中的用户触发警报。 但是，仍可以连接多个第三方连接器。

Defender for Cloud Apps本机与 Microsoft Defender 集成，并遵循相同的多租户功能。 虽然连接器仅限于特定租户，但从表中的每个 CloudAppEvents 租户引入的数据以及事件或警报可通过 MTO 获取。 可以跨租户搜寻事件和会审事件或源自Defender for Cloud Apps信号的事件。

有关详细信息，请参阅Microsoft Defender for Cloud Apps概述。

云

Microsoft Defender for Cloud 与 Microsoft Defender 集成。 通过此集成，可以在 Defender 门户中访问 Defender for Cloud 警报和事件，并为跨云资源、设备和标识的调查提供更丰富的上下文。 它允许安全团队全面了解攻击，包括云环境中发生的可疑和恶意事件。

有关详细信息，请参阅什么是云Microsoft Defender？。

曝光管理

Microsoft 安全风险管理是一种安全解决方案，可提供跨公司资产和工作负载的安全态势的统一视图。 它通过安全上下文丰富了资产信息，有助于主动管理攻击面、保护关键资产以及探索和缓解暴露风险。

有关详细信息，请参阅什么是Microsoft 安全风险管理？。

数据

Microsoft Purview 数据安全解决方案跨云、SaaS 和本地数据存储提供统一的数据发现、分类和保护。 它们通过将数据风险转换为可操作的安全信号来补充 Defender 和Microsoft Sentinel，帮助你了解敏感数据存在哪些内容、敏感数据所在的位置以及这些数据是如何被访问或共享的。 有关详细信息，请参阅 Microsoft Purview 数据安全解决方案。

关键集成包括：

• 警报和事件 (Defender 和 Sentinel) ：Microsoft Purview 数据丢失防护、预览体验成员风险管理和基于敏感度标签的检测将生成流入统一事件队列的警报。 这样可以与设备、标识、云应用程序和网络信号相关联，为分析师提供跨域攻击事件并减少上下文切换。 当Microsoft Purview 警报是事件的一部分时，统一门户会显示元数据，并且可以通过 Microsoft Graph 安全 API 在自动化规则和 playbook 中使用，就像其他 Defender 和 Sentinel 警报一样。

• 狩猎和调查 (高级狩猎) ： Microsoft Purview 事件，例如数据丢失防护 (DLP) 命中、文件访问异常和标签更改，都可以在 Defender 高级搜寻架构中使用。 可以在 MTO 门户中运行跨租户查询，以搜寻跨数据、标识和终结点信号的模式。 例如，从单个用户下载的高敏感度文件激增，随后出现异常登录行为。

• 上下文扩充：Purview 的数据清单和分类通过将关键数据资产映射到暴露见解和攻击路径来丰富安全风险管理故事。 这有助于根据公开数据的业务影响确定缓解措施的优先级。

管理案例

统一的安全操作门户提供本机案例管理，以消除对外部票证系统的依赖，并在 Defender 门户中维护安全上下文。 有关案例功能、工作流、链接事件和 IoC、RBAC 要求和自定义选项的完整指南，请参阅 案例概述。 有关多租户案例管理，请参阅 在 MTO 中管理案例。

注意： 案例管理支持自定义工作流、任务分配、丰富的协作和证据链接。

Microsoft Sentinel数据湖入门

Microsoft Sentinel包括一个统一的安全数据湖，旨在帮助优化成本、简化数据管理，并加速在安全运营中采用 AI。 此数据湖是Microsoft Sentinel平台的基础。 它具有云原生体系结构，将所有安全数据汇集在一起，以提高可见性、更深入的安全分析和上下文感知。 它提供经济实惠的长期保留，使组织能够维护可靠的安全性，同时不影响成本。

Microsoft Sentinel平台允许你通过专业服务、托管服务和代理解决方案扩展 MSSP 产品/服务：

• 提供有关湖体系结构的咨询、咨询和战略指导，在部署、配置和成本优化方面提供高价值的机会。

• 持续管理Microsoft Sentinel数据湖平台和 SOC 运营，帮助客户降低数据引入和保留成本，同时通过增强的安全保护机会扩大经常性收入流。

• 开发 AI 代理解决方案，用于自动威胁扩充和响应、构建分析，并将 SOAR 演变为基于代理的工作流。

代理 AI 入门

当涉及到Microsoft Defender门户中的代理 AI 方案时，你有多个机会与客户互动并实现 MSSP 产品/服务多样化。 我们将这些权益分解为 “销售”、“ 生成”和 “使用 ”存储桶。

卖

你可以与客户合作，销售咨询服务，这些咨询服务可教育、启用、配置和实施代理解决方案，例如：

• 合作伙伴开发的咨询服务 - 通过 Microsoft市场提供的传统咨询服务。 提供培训研讨会、实施活动、评估、概念证明或价值证明交付。 这些服务是提高客户环境安全成熟度、提高员工技能和准备情况以及通过实际用例方案展示产品投资回报的绝佳机会。

• 合作伙伴开发的安全服务 – Microsoft安全存储中提供了传统安全服务产品，例如合作伙伴托管的安全服务、合作伙伴管理的 XDR 解决方案和其他合作伙伴开发 的安全服务。

• Microsoft开发的Security Copilot代理 - Microsoft开发的Security Copilot代理，这些代理跨越 Defender 门户中提供的Microsoft Defender、Microsoft Sentinel和其他安全解决方案。

• 合作伙伴开发的Security Copilot代理 - 这些代理可通过 Microsoft 安全存储进行购买和部署。 可以将自己发布的Security Copilot代理或其他合作伙伴代理集成到客户的Microsoft Defender环境中。 有关详细信息，请参阅 合作伙伴代理。

内部版本

开发可通过Microsoft安全存储实现盈利的Security Copilot代理。 代理可以是一次性购买的、定期代理更新的基于订阅的模型，也可以免费提供。 合作伙伴开发的代理类型包括：

• 基于角色/角色的代理 - 设计具有执行特定类型角色或角色（如 L1 SOC 分析师）的技能
• 基于方案的代理 - 针对特定类型的方案（如网络钓鱼、内部威胁或高级持久性威胁 (ACT)
• 基于产品的代理 - 设计具有与特定产品/解决方案（如Microsoft Defender或第三方安全供应商）集成的技能

有关详细信息，请参阅 智能 Microsoft Security Copilot 副驾驶® 代理开发概述。

用途

合作伙伴在客户的Microsoft Defender环境中开发的代理，作为其合作伙伴管理的 SOC 产品/服务的一部分。 这包括代表客户在其租户中行事，以增强其内部团队，或从其租户执行 SOC 活动，并通过委派访问权限应用Microsoft Defender的多租户功能。

培训和社区资源

• 转换指南：将Microsoft Sentinel环境转换为 Defender 门户

• 如何：将Microsoft Sentinel连接到Microsoft Defender

• 文档：Microsoft的统一安全操作平台文档

• 博客：常见问题解答 | 2

• 功能差异：Microsoft Defender门户中的Microsoft Sentinel

• 警报关联和事件合并：Microsoft Defender门户中的警报关联和事件合并

• 新增功能：Microsoft的统一 SecOps 平台中的新增功能

• 将Microsoft Sentinel转换为Microsoft Defender 10 个视频系列：

• 录制的网络研讨会：

  • 过渡到统一 SOC 平台：面向 SOC 专业人员的深入探讨和交互式 Q&A

  • 使用Microsoft Sentinel最新功能的统一 SecOps 体验

  • Microsoft Sentinel和统一安全运营平台的新增功能

  • 解锁统一 SecOps 的强大功能：掌握多个工作区和租户

  • 案例管理：在统一 SecOps 平台中探索新的案例管理功能和案例管理

• 加入我们的安全社区： https://aka.ms/SecurityCommunity