マルチテナント管理Microsoft Defender高度なハンティングを使用すると、複数のテナントとワークスペース間の電子メール、データ、デバイス、アカウントの侵入試行と侵害アクティビティを事前に検出できます。 Microsoft Sentinel ワークスペースを持つ複数のテナントがMicrosoft Defender ポータルにオンボードされている場合は、セキュリティ情報とイベント管理 (SIEM) データと、複数のテナントとワークスペースにまたがる拡張検出と応答 (XDR) データを検索します。
マルチテナントの高度なハンティングでは、テナントごとに複数のワークスペースがプレビューとしてサポートされています。
クォータ
マルチテナント環境では、高度なハンティング クエリは、合計で最大 50,000 レコードを返すことができます。 個々のテナントからの結果セットは、50,000 を照会されたテナントの数で割った上限です。
高度なハンティングのサービス制限の詳細については、「高度 なハンティング クォータについて」を参照してください。
テナント間クエリを実行する
マルチテナント管理の [高度なハンティング ] ページで、既にアクセスできる任意のクエリを実行できます。
[クエリ] タブに一覧表示されている クエリ は、テナントによってフィルター処理されます。 テナントを選択して、各テナントで使用可能なクエリを表示します。
クエリ エディターでクエリを読み込み、テナント セレクターを選択して、クエリを実行するテナントとワークスペースを指定します。
開いたサイド ウィンドウで、クエリに含めるテナントを選択します。 各テナントは、1 つのワークスペースをサポートします。 テナントの Defender ポータルにオンボードされているワークスペースが複数ある場合は、[選択内容の 編集 ] を選択して、使用するワークスペースを選択します。
複数のテナントを選択すると、クエリは各テナントで個別に実行され、結合された結果が 1 つのテーブルに表示されます。 たとえば、以下のサンプル クエリ (
DeviceEvents | take 10) では、テナントごとに 10 個の結果が返され、合計は 10 に、選択したテナントの数が乗算されます。完了したら、[ 適用>クエリの実行] を選択します。
クエリ結果には TenantId という名前の列が含まれます。 複数のワークスペースを使用している場合、この列の値にはテナント ID ではなくワークスペース ID が表示されます。 このような場合は、クエリを使用して、結果の列の名前を TenantId から WorkspaceId に変更して、読みやすくすることをお勧めします。 例:
DeviceEvents | take 10 | project TenantId = WorkspaceID Or, to query multiple workspaces in the same tenant, use a query similar to the following: ```kusto Usage | union workspace("WorkpaceA").Usage | take 10
重要
adx(x) 演算子を使用して複数のテナント間でクエリを実行すると、テナントごとに個別の ADX クエリが実行され、集計され、重複した結果が返される可能性があります。 テナントの結果を ADX データと結合する必要がある場合にのみ、複数のテナントで adx(x) 演算子を使用します。 高度なハンティングでの ADX の詳細については、「Microsoft Sentinel関数、保存されたクエリ、およびカスタム ルールを使用する」を参照してください。
Microsoft Defender XDRでの高度なハンティングの詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
ワークスペース間クエリを実行する
同じテナント内の複数のワークスペース間でクエリを実行するには、 workspace( ) 式を使用し、ワークスペース識別子をクエリの引数として使用して、別のワークスペース内のテーブルを参照します。
Azure Lighthouse を使用して、他のテナント ワークスペースへのアクセス許可をテナントに付与する場合は、テナントとワークスペースの両方でクエリを実行することもできます。 これを行うには、 テナント スコープ セレクターでテナントを 1 つだけ選択します。 次に、クエリで workspace() 式を使用して、他のテナントでクエリを実行する他のワークスペースの名前を呼び出します。 たとえば、テナントとワークスペースの名前を次に示します。
- TenantA: WorkspaceA1、 WorkspaceA2
- TenantB: WorkspaceB1、 WorkspaceB2
また、WorkspaceA1 と WorkspaceB1 の両方でクエリを実行する場合は、[テナント スコープ] セレクターで [TenantA] と [WorkspaceA1] を選択します。 次に、クエリで workspace() 演算子を使用して WorkspaceB2 を呼び出します。 例:
union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId
WorkspaceA1 と WorkspaceB2 の両方から結果が表示されます。
詳細については、「複数の ワークスペースのクエリ」 および「 Azure Lighthouse を使用したテナント間のワークスペースの管理」を参照してください。
注:
複数のワークスペースに同じ名前の異なるスキーマを持つテーブルがあり、同じクエリで使用する場合は、ワークスペース演算子を使用して、必要なテーブルを一意に識別する必要があります。
スキーマ テーブルを表示する
[スキーマ] タブの [高度なハンティング ] ページ内の左側のウィンドウで、高度なハンティング スキーマ テーブルを 表示 します。
スキーマ リストは、右上のテナント セレクターで選択されているテナントに関係なく、すべてのテナントのすべてのテーブルの統合ビューです。
つまり、ここに表示される一部のテーブルは、カスタム Microsoft Sentinel テーブルなど、一部のテナントでのみクエリに使用できる可能性があります。
検出ルールの表示と管理
また、[カスタム検出ルール] ページで、複数のテナントからカスタム検出ルールを管理することもできます。
テナント別のカスタム検出ルールを表示する
カスタム検出ルールを表示するには、マルチテナント管理の [カスタム検出ルール] ページMicrosoft Defender移動します。
[テナント名] 列を表示して、検出規則の対象となるテナントを確認します。
特定のテナントのカスタム検出ルールのみを表示するには、[ フィルター] を選択し、テナントまたはテナントを選択し、[適用] を選択 します。
カスタム検出ルールの詳細については、「 カスタム検出の概要」を参照してください。
カスタム検出ルールを管理する
マルチテナント管理から検出ルールを実行、オフ、削除Microsoft Defenderできます。
検出ルールを管理するには:
マルチテナント管理の [カスタム検出ルール] ページMicrosoft Defender移動します。
管理する検出ルールを選択します。
1 つの検出ルールを選択すると、検出ルールの詳細が表示されたポップアップ パネルが開きます。
[検出ルールを開く] を選択して、Microsoft Defender ポータルの特定のテナントの新しいタブでこのルールを表示します。 詳細については、「 カスタム検出ルール」を参照してください。
