Microsoft Defender 多租戶管理中的進階狩獵

Microsoft Defender 多租戶管理中的進階獵捕功能，讓你能主動搜尋多個租戶與工作空間中電子郵件、資料、裝置及帳號的入侵企圖與入侵活動。 如果你有多個租戶，Microsoft Sentinel工作空間已接入 Microsoft Defender 入口網站，請搜尋安全資訊與事件管理 (SIEM) 資料，以及跨多租戶與工作空間 (XDR) 資料的延伸偵測與回應。

多租戶高級搜尋預覽版支援每個租戶多個工作空間。

配額

在多租戶環境中，進階狩獵查詢最多可回傳 50,000 筆紀錄。 每個租戶的結果上限為50,000，除以詢問的租戶數量。

欲了解更多關於高級狩獵服務限制的資訊，請閱讀 《了解高級狩獵配額》。

執行跨租戶查詢

你可以在多租戶管理的 進階狩獵 頁面執行任何你已經能存取的查詢。

1. 查詢標籤上的查詢會依租戶篩選。 選擇租戶以查看每個租戶可用的查詢。

2. 在查詢編輯器載入查詢，選擇租戶選擇器來指定你想要執行查詢的租戶和工作空間。

   

3. 在開啟的側窗格中，選擇你想包含在查詢中的租戶。 每個租戶支援單一工作空間。 如果你在租戶的 Defender 入口網站內建了多個工作區，請選擇編輯 選取 ，選擇你想使用的工作區。

   

   當你選擇多個租戶時，查詢會在每個租戶中獨立執行，合併後的結果會顯示在同一個表格中。 例如，下方的範例查詢 (DeviceEvents | take 10) 每個租戶回傳 10 個結果，總結果等於 10 乘以所選租戶數量。

4. 完成後，選擇 「套用>執行查詢」。

   

   查詢結果中包含一個名為 TenantID 的欄位。 如果你使用多個工作區，這欄的值顯示的是工作區 ID，而不是租戶 ID。 在這種情況下，我們建議你用查詢將結果中的欄位名稱從 TenantID 改為 WorkspaceId ，讓閱讀更方便。 例如：

   DeviceEvents
   | take 10
   | project TenantId = WorkspaceID
   

   或者，要查詢同一租戶中的多個工作空間，請使用類似以下的查詢：

   Usage
   | union workspace("WorkpaceA").Usage
   | take 10
   

重要事項

使用 adx(x) 該營運商在多個租戶間執行查詢時，每個租戶會執行獨立的 ADX 查詢並彙整，這可能會回傳重複的結果。 只有當你需要用 ADX 資料加入租戶結果時，才用 adx(x) 多租戶的 operator。 欲了解更多關於進階狩獵中的 ADX 資訊，請參閱使用 Microsoft Sentinel 函式、已儲存查詢及自訂規則。

想了解更多關於 Microsoft Defender 全面偵測回應的進階狩獵，請閱讀「主動搜尋 Microsoft Defender 全面偵測回應的進階狩獵威脅」。

執行跨工作空間查詢

要在同一租戶中跨多個工作空間執行查詢，請使用 workspace ( ) 表達式，並將工作區識別碼作為查詢中的參數，以指向不同工作空間中的資料表。

如果你使用 Azure Lighthouse 授權租戶使用其他租戶的工作空間，你也可以跨租戶和工作空間查詢。 要做到這點，請在 租戶範圍 選擇器中只選擇一個租戶。 然後在查詢中，使用 workspace() 表達式呼叫你想查詢的其他租戶工作區名稱。 例如，如果你的租戶和工作空間名稱如下：

• TenantA： 工作區A1、 工作區A2
• TenantB： 工作區B1、 工作區B2

如果你想跨 WorkspaceA1 和 WorkspaceB1 查詢，請在租戶範圍選擇器中選擇 TenantA 和 WorkspaceA1。 然後在查詢中，使用 workspace() 操作員呼叫 WorkspaceB2。 例如：

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

結果同時顯示在 WorkspaceA1 和 WorkspaceB2。

欲了解更多資訊，請參閱使用 Azure Lighthouse 查詢多個工作空間及跨租戶管理工作空間。

注意事項

如果你有同名但結構不同的資料表，且想在同一查詢中使用，應該使用 workspace 運算子來唯一識別你需要的資料表。

檢視結構表

在進階狩獵頁面的「架構」標籤下，左側窗格查看進階狩獵圖譜表。

結構清單是所有租戶資料表的統一視圖，無論你在右上角租戶選擇器中選擇哪個租戶。

這可能代表這裡出現的某些表格可能只在某些租戶中可供查詢，例如自訂的 Microsoft Sentinel 表格。

檢視並管理自訂偵測規則

你也可以在自訂偵測規則頁面管理多個租戶的自訂偵測規則。

依租戶查看自訂偵測規則

1. 要查看自訂偵測規則，請前往 Microsoft Defender 多租戶管理中的自訂偵測規則頁面。

2. 查看 租戶名稱 欄位，以了解偵測規則來自哪個租戶：

   

若要僅查看特定租戶的自訂偵測規則，請選擇 篩選，選擇租戶或租戶，然後選擇 套用。

想了解更多關於自訂偵測規則的資訊，請閱讀 自訂偵測概覽。

管理自訂偵測規則

你可以執行、關閉並刪除 Microsoft Defender 多租戶管理中的偵測規則。

管理偵測規則：

1. 請前往 Microsoft Defender 多租戶管理中的自訂偵測規則頁面。

2. 選擇你想管理的偵測規則。

   當你選擇單一偵測規則時，會開啟一個飛出面板，顯示偵測規則細節：

   

3. 選擇「開啟偵測規則」，可在 Microsoft Defender 入口網站中針對特定租戶的新分頁查看此規則。 欲了解更多，請參閱 自訂偵測規則。

相關內容

• 設定 Microsoft Defender 多租戶管理
• 將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應
• 檢視和管理事件和警示
• Defender 入口網站中的多個 Microsoft Sentinel 工作空間