Rollengruppen von Microsoft Defender for Identity
Microsoft Defender for Identity bietet rollenbasierte Sicherheit, um Daten gemäß den spezifischen Sicherheits- und Complianceanforderungen Ihrer Organisation zu schützen. Es wird empfohlen, Rollengruppen zu verwenden, um den Zugriff auf Defender for Identity zu verwalten, die Verantwortlichkeiten in Ihrem Sicherheitsteam zu trennen und ausschließlich den Zugriff zu gewähren, den Benutzer für ihre Aufgaben benötigen.
Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)
Benutzer, die bereits globale Administratoren oder Sicherheitsadministratoren für Microsoft Entra ID Ihres Mandanten sind, sind automatisch auch Microsoft Defender for Identity-Administratoren. Globale Microsoft Entra- und Sicherheitsadministratoren benötigen keine zusätzlichen Berechtigungen für den Zugriff auf Defender for Identity.
Aktivieren und verwenden Sie für andere Benutzer die rollenbasierte Zugriffssteuerung (RBAC) von Microsoft 365, um um benutzerdefinierte Rollen zu erstellen und weitere Entra ID-Rollen wie Sicherheitsoperator oder Sicherheitsleser standardmäßig zu unterstützen und den Zugriff auf Defender for Identity zu verwalten.
Stellen Sie beim Erstellen ihrer benutzerdefinierten Rollen sicher, dass Sie die in der folgenden Tabelle aufgeführten Berechtigungen anwenden:
| Defender for Identity-Zugriffsstufe | Mindestens erforderliche Microsoft 365 Unified RBAC-Berechtigungen |
|---|---|
| Administratoren | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Benutzer | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Besucher | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Weitere Informationen finden Sie unter Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft Defender XDR und Erstellen benutzerdefinierter Rollen mit Microsoft Defender XDR Unified RBAC.
Hinweis
Informationen aus dem Microsoft Defender für Cloud Apps-Aktivitätsprotokoll können weiterhin Defender for Identity-Daten enthalten. Diese Inhalte entsprechen vorhandenen Defender for Cloud Apps-Berechtigungen.
Ausnahme: Wenn Sie die Bereichsbezogene Bereitstellung für Microsoft Defender for Identity-Warnungen im Microsoft Defender for Cloud Apps-Portal konfiguriert haben, werden diese Berechtigungen nicht übernommen, und Sie müssen den relevanten Portalbenutzern explizit die Berechtigungen für Sicherheitsvorgänge \ Sicherheitsdaten \ Sicherheitsdatengrundlagen (Leserechte) erteilen.
Erforderliche Berechtigungen für Defender für Identity in Microsoft Defender XDR
In der folgenden Tabelle sind die spezifischen Berechtigungen aufgeführt, die für Defender for Identity-Aktivitäten in Microsoft Defender XDR erforderlich sind.
Wichtig
Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.
| Aktivität | Am wenigsten benötigte Berechtigungen |
|---|---|
| Onboarding von Defender for Identity (Arbeitsbereich erstellen) | Sicherheitsadministrator |
| Konfigurieren der Defender for Identity-Einstellungen | Eine der folgenden Microsoft Entra-Rollen: - Sicherheitsadministrator - Sicherheitsoperator Oder Die folgenden Unified RBAC-Berechtigungen: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Anzeigen von Defender for Identity-Einstellungen | Eine der folgenden Microsoft Entra-Rollen: - Globaler Leser - Sicherheitsleseberechtigter Oder Die folgenden Unified RBAC-Berechtigungen: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Verwalten von Defender for Identity-Sicherheitswarnungen und -aktivitäten | Eine der folgenden Microsoft Entra-Rollen: - Sicherheitsoperator Oder Die folgenden Unified RBAC-Berechtigungen: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Anzeigen von Defender for Identity-Sicherheitsbewertungen (jetzt Teil der Microsoft-Sicherheitsbewertung) |
Berechtigungen für den Zugriff auf die Microsoft-Sicherheitsbewertung And Die folgenden Unified RBAC-Berechtigungen: Security operations/Security data /Security data basics (Read) |
| Anzeigen der Seite „Objekte/Identitäten“ | Berechtigungen für den Zugriff auf Defender for Cloud-Apps Oder Eine der Microsoft Entra-Rollen, die für Microsoft Defender XDR erforderlich sind |
| Ausführen von Defender for Identity-Antwortaktionen | Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antworten (verwalten) definiert ist Oder Eine der folgenden Microsoft Entra-Rollen: - Sicherheitsoperator |
Defender for Identity-Sicherheitsgruppen
Defender for Identity bietet die folgenden Sicherheitsgruppen, um den Zugriff auf Defender for Identity-Ressourcen zu verwalten:
- Azure ATP-Administratoren (Arbeitsbereichsname)
- Azure ATP (Arbeitsbereichsname) Benutzer
- Azure ATP (Arbeitsbereichsname) Viewer
In der folgenden Tabelle sind die für jede Sicherheitsgruppe verfügbaren Aktivitäten aufgelistet:
| Aktivität | Azure ATP-Administratoren (Arbeitsbereichsname) | Azure ATP (Arbeitsbereichsname) Benutzer | Azure ATP (Arbeitsbereichsname) Viewer |
|---|---|---|---|
| Ändern des des Integritätsproblemstatus | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Ändern des Status der Sicherheitswarnung (erneutes Öffnen, Schließen, Ausschließen, Unterdrücken) | Verfügbar | Verfügbar | Nicht verfügbar |
| Löschen des Arbeitsbereichs | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Herunterladen eines Berichts | Verfügbar | Verfügbar | Verfügbar |
| Anmelden | Verfügbar | Verfügbar | Verfügbar |
| Freigabe-/Exportsicherheitswarnungen (per E-Mail, Link abrufen, Downloaddetails) | Verfügbar | Verfügbar | Verfügbar |
| Update Defender for Identity Configuration (Updates) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Entitätstags, einschließlich vertraulicher und Honeytoken) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity Konfiguration (Ausschlüsse) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Sprache) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Benachrichtigungen, einschließlich E-Mail und Syslog) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Vorschauerkennungen) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity Konfiguration (geplante Berichte) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Microsoft Defender for Identity-Konfiguration (Datenquellen, einschließlich Verzeichnisdienste, SIEM, VPN, Defender für Endpunkt) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Sensorverwaltung, einschließlich Herunterladen von Software, Generieren von Schlüsseln, Konfigurieren, Löschen) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Anzeigen von Entitätsprofilen und Sicherheitswarnungen | Verfügbar | Verfügbar | Verfügbar |
Hinzufügen und Entfernen von Benutzern
Defender for Identity verwendet Microsoft Entra-Sicherheitsgruppen als Grundlage für Rollengruppen.
Verwalten Sie Ihre Rollengruppen auf der Seite Gruppenverwaltung im Azure-Portal. Nur Microsoft Entra-Benutzer können aus Sicherheitsgruppen hinzugefügt oder daraus entfernt werden.