Microsoft Defender for Identity skupin rolí
Microsoft Defender for Identity nabízí zabezpečení na základě rolí, které chrání data podle konkrétních potřeb vaší organizace v oblasti zabezpečení a dodržování předpisů. Ke správě přístupu k Defenderu for Identity doporučujeme používat skupiny rolí, oddělit povinnosti napříč týmem zabezpečení a udělit jenom takový přístup, který uživatelé potřebují ke své práci.
Jednotné řízení přístupu na základě role (RBAC)
Uživatelé, kteří už jsou globálními správci nebo správci zabezpečení na Microsoft Entra ID vašeho tenanta, jsou také automaticky správci služby Defender for Identity. Microsoft Entra globální správci a správci zabezpečení nepotřebují pro přístup k Defenderu for Identity další oprávnění.
Pro ostatní uživatele povolte a použijte řízení přístupu na základě role (RBAC) v Microsoftu 365 k vytváření vlastních rolí a k podpoře dalších rolí Entra ID, jako je operátor zabezpečení nebo čtenář zabezpečení, ve výchozím nastavení ke správě přístupu k Defenderu for Identity.
Při vytváření vlastních rolí se ujistěte, že používáte oprávnění uvedená v následující tabulce:
| Úroveň přístupu k Defenderu for Identity | Minimální požadovaná sjednocená oprávnění RBAC v Microsoftu 365 |
|---|---|
| Správci | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Uživatelé | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Uživatelé s oprávněními k prohlížení | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Další informace najdete v tématech Vlastní role v řízení přístupu na základě role pro Microsoft Defender XDR a Vytváření vlastních rolí pomocí Microsoft Defender XDR Unified RBAC.
Poznámka
Informace obsažené v protokolu aktivit Defender for Cloud Apps můžou stále obsahovat data služby Defender for Identity. Tento obsah se řídí stávajícími oprávněními Defender for Cloud Apps.
Výjimka: Pokud jste v Microsoft Defender for Cloud Apps nakonfigurovali nasazení s vymezeným oborem pro výstrahy Microsoft Defender for Identity, nebudou se tato oprávnění přenášet a budete muset příslušným uživatelům portálu explicitně udělit oprávnění Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení).
Požadovaná oprávnění Defender for Identity v Microsoft Defender XDR
Následující tabulka podrobně popisuje konkrétní oprávnění vyžadovaná pro aktivity defenderu for Identity v Microsoft Defender XDR.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
| Activity | Nejméně požadovaná oprávnění |
|---|---|
| Onboarding Defenderu for Identity (vytvoření pracovního prostoru) | Správce zabezpečení |
| Konfigurace nastavení Defenderu for Identity | Jedna z následujících Microsoft Entra rolí: - Správce zabezpečení - Operátor zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Zobrazení nastavení Defenderu for Identity | Jedna z následujících Microsoft Entra rolí: - Globální čtenář - Čtenář zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Správa výstrah zabezpečení a aktivit zabezpečení služby Defender for Identity | Jedna z následujících Microsoft Entra rolí: - Operátor zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Zobrazení posouzení zabezpečení Defenderu for Identity (nyní součástí Microsoft Secure Score) |
Oprávnění pro přístup ke službě Microsoft Secure Score A Následující sjednocená oprávnění RBAC: Security operations/Security data /Security data basics (Read) |
| Zobrazení stránky Prostředky / Identity |
Oprávnění pro přístup k Defender for Cloud Apps Nebo Jedna z Microsoft Entra rolí vyžadovaných Microsoft Defender XDR |
| Provádění akcí odpovědí v Defenderu for Identity |
Vlastní role definovaná s oprávněními pro odpověď (správa) Nebo Jedna z následujících Microsoft Entra rolí: - Operátor zabezpečení |
Skupiny zabezpečení defenderu for Identity
Defender for Identity poskytuje následující skupiny zabezpečení, které vám pomůžou se správou přístupu k prostředkům Defenderu for Identity:
- Správci Azure ATP (název pracovního prostoru)
- Uživatelé Azure ATP (název pracovního prostoru)
- Prohlížeče Azure ATP (název pracovního prostoru)
Následující tabulka uvádí aktivity dostupné pro jednotlivé skupiny zabezpečení:
| Activity | Správci Azure ATP (název pracovního prostoru) | Uživatelé Azure ATP (název pracovního prostoru) | Prohlížeče Azure ATP (název pracovního prostoru) |
|---|---|---|---|
| Změna stavu problému | Dostupná | Není k dispozici | Není k dispozici |
| Změna stavu výstrahy zabezpečení (opětovné otevření, zavření, vyloučení, potlačení) | Dostupná | Dostupná | Není k dispozici |
| Odstranit pracovní prostor | Dostupná | Není k dispozici | Není k dispozici |
| Stažení sestavy | Dostupná | Dostupná | Dostupná |
| Přihlášení | Dostupná | Dostupná | Dostupná |
| Sdílení nebo export výstrah zabezpečení (prostřednictvím e-mailu, získání odkazu, podrobností o stažení) | Dostupná | Dostupná | Dostupná |
| Aktualizace konfigurace Defenderu pro identitu (aktualizace) | Dostupná | Není k dispozici | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (značky entit, včetně citlivých i honeytokenů) | Dostupná | Dostupná | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (vyloučení) | Dostupná | Dostupná | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (jazyk) | Dostupná | Dostupná | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (oznámení, včetně e-mailu i syslogu) | Dostupná | Dostupná | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (detekce ve verzi Preview) | Dostupná | Dostupná | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (naplánované sestavy) | Dostupná | Dostupná | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (zdroje dat, včetně adresářových služeb, SIEM, VPN, Defender for Endpoint) | Dostupná | Není k dispozici | Není k dispozici |
| Aktualizace konfigurace Defenderu pro identitu (správa senzorů, včetně stahování softwaru, opětovného vygenerování klíčů, konfigurace, odstranění) | Dostupná | Není k dispozici | Není k dispozici |
| Zobrazení profilů entit a výstrah zabezpečení | Dostupná | Dostupná | Dostupná |
Přidání a odebrání uživatelů
Defender for Identity používá Microsoft Entra skupiny zabezpečení jako základ pro skupiny rolí.
Skupiny rolí můžete spravovat na stránce správy Skupiny na Azure Portal. Ze skupin zabezpečení je možné přidávat nebo odebírat jenom Microsoft Entra uživatele.