Gestione multi-tenant di Microsoft Defender

La gestione multi-tenant per Microsoft Defender XDR e Microsoft Sentinel nel portale di Defender offre ai team delle operazioni di sicurezza un'unica visualizzazione unificata di tutti i tenant gestiti. Questa visualizzazione consente ai team di analizzare rapidamente gli eventi imprevisti ed eseguire ricerche avanzate tra i dati di più tenant, migliorando le operazioni di sicurezza.

Supporto di Microsoft Sentinel

Per ogni tenant, il portale di Defender consente di connettersi a un'area di lavoro primaria e a più aree di lavoro secondarie per Microsoft Sentinel. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro di Log Analytics in cui Microsoft Sentinel è abilitato.

Se disponi di tenant con workspace di Microsoft Sentinel integrati nel portale Defender, puoi:

  • Gestire il triage degli incidenti e degli avvisi nei dati di Security Information and Event Management (SIEM) e di eXtended Detection and Response (XDR).
  • Cercare in modo proattivo i dati SIEM e XDR tra più tenant.
  • Gestire i casi tra più tenant.

Ogni area di lavoro deve essere registrata nel portale Defender separatamente per ciascun tenant, come avverrebbe in uno scenario a tenant singolo.

Per altre informazioni, vedere:

Disponibilità delle funzionalità

La gestione multi-tenant è disponibile anche per i clienti del governo degli Stati Uniti. Fare riferimento alla tabella seguente per scenari specifici per i clienti GCC, GCC High, DoD e Commercial.

Scenario Disponibilità
Gestione multi-tenant Disponibile per tutti i clienti GCC, GCC High, DoD e Commercial.
Collaborazione tra cloud - Sia i clienti DoD che quelli GCC High possono gestire i tenant nei rispettivi cloud.

- I clienti GCC possono gestire i tenant nel cloud commerciale.

Vantaggi della gestione multi-tenant

Alcuni dei vantaggi principali che si ottengono con la gestione multi-tenant per Defender XDR e Microsoft Sentinel nel portale di Defender includono:

  • Un luogo centralizzato per gestire eventi imprevisti e casi tra tenant: una visualizzazione unificata fornisce agli analisti soc tutte le informazioni necessarie per analizzare gli eventi imprevisti e i casi in più tenant, eliminando la necessità di accedere e uscire da ognuno di essi.

  • Ricerca semplificata delle minacce: il supporto multi-tenancy consente ai team SOC di usare le funzionalità avanzate di ricerca di Microsoft Defender XDR per creare query KQL (Kusto Query Language) che cercano in modo proattivo le minacce tra più tenant.

  • Gestione di più clienti per i partner: i partner MSSP (Managed Security Service Provider) possono ora ottenere visibilità su casi, eventi imprevisti di sicurezza, avvisi e ricerca delle minacce tra più clienti tramite un unico riquadro di vetro.

Che cosa comprende la gestione multitenant?

Le funzionalità chiave seguenti sono disponibili per ogni tenant a cui si ha accesso nella gestione multi-tenant per Microsoft Defender XDR e Microsoft Sentinel nel portale di Defender:

Funzionalità Descrizione
Eventi imprevisti & avvisi>Incidenti Gestire gli incidenti provenienti da più tenant.
Eventi imprevisti & avvisi>Avvisi Gestire gli avvisi provenienti da più tenant.
Casi Gestire i casi provenienti da più tenant.
Caccia>Ricerca avanzata Cercare in modo proattivo i tentativi di intrusione e l'attività di violazione tra più tenant contemporaneamente.
Caccia>Regole di rilevamento personalizzate Visualizzare e gestire regole di rilevamento personalizzate tra più tenant.
Asset>Dispositivi>Inquilini Per tutti i tenant e a livello di singolo tenant, esplora i conteggi dei dispositivi in base a diversi valori, ad esempio il tipo di dispositivo, il valore del dispositivo, lo stato di onboarding e lo stato di rischio.
Endpoint>Gestione delle vulnerabilità>Dashboard Il dashboard gestione delle vulnerabilità di Microsoft Defender fornisce sia agli amministratori della sicurezza che ai team delle operazioni di sicurezza informazioni aggregate sulla gestione delle vulnerabilità tra più tenant.
Endpoint>Gestione delle vulnerabilità>Tenant Per ogni tenant e a livello di singolo tenant, esplora le informazioni sulla gestione delle vulnerabilità tra diversi ambiti, quali dispositivi esposti, raccomandazioni di sicurezza, debolezze e CVE critici.
Configurazione>Impostazioni Elenca i tenant a cui hai accesso. Usa questa pagina per visualizzare e gestire i tuoi tenant.
Gestione multi-tenant>Gruppi di tenant Organizza i tenant che gestisci in gruppi con nome e passa da un gruppo all'altro nella visualizzazione multi-tenant.

Limitazioni

La gestione di Mutitenant supporta aree di lavoro singole multi-tenant. Ciò significa che è possibile interrogare più tenant e i rispettivi spazi di lavoro primari tramite Ricerca avanzata senza Lighthouse. Azure Lighthouse è necessario quando si vuole eseguire query su un'area di lavoro secondaria in un tenant diverso (da Ricerca avanzata, regole analitiche, cartelle di lavoro e così via). Per queste query, usare l'operatore workspace() del portale di gestione multi-tenant o security.microsoft.com.

Passaggi successivi