Grupos de roles de Microsoft Defender for Identity
Microsoft Defender for Identity ofrece seguridad basada en roles para proteger los datos según las necesidades específicas de seguridad y cumplimiento de su organización. Se recomienda usar grupos de roles para administrar el acceso a Defender for Identity, segregar responsabilidades en todo el equipo de seguridad y conceder solo la cantidad de acceso que los usuarios necesitan para realizar su trabajo.
Control de acceso basado en rol unificado (RBAC)
Los usuarios que ya son administradores globales o administradores de seguridad en la Microsoft Entra ID del inquilino también son automáticamente administradores de Defender for Identity. Microsoft Entra los administradores globales y de seguridad no necesitan permisos adicionales para acceder a Defender for Identity.
Para otros usuarios, habilite y use el control de acceso basado en rol (RBAC) de Microsoft 365 para crear roles personalizados y admitir más roles de id. de entra, como el operador de seguridad o lector de seguridad, de forma predeterminada para administrar el acceso a Defender for Identity.
Al crear los roles personalizados, asegúrese de aplicar los permisos enumerados en la tabla siguiente:
| Nivel de acceso de Defender for Identity | Permisos RBAC unificados mínimos necesarios para Microsoft 365 |
|---|---|
| Administradores | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Usuarios | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Espectadores | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Para obtener más información, vea Roles personalizados en el control de acceso basado en roles para Microsoft Defender XDR y Creación de roles personalizados con Microsoft Defender XDR RBAC unificado.
Nota:
La información incluida en el registro de actividad de Defender for Cloud Apps todavía puede contener datos de Defender for Identity. Este contenido se adhiere a los permisos de Defender for Cloud Apps existentes.
Excepción: si ha configurado la implementación con ámbito para Microsoft Defender for Identity alertas en Microsoft Defender for Cloud Apps, estos permisos no se llevan a cabo y tendrá que conceder explícitamente los permisos Operaciones de seguridad \ Datos de seguridad \ Conceptos básicos de datos de seguridad (lectura) para los usuarios pertinentes del portal.
Permisos necesarios Defender for Identity en Microsoft Defender XDR
En la tabla siguiente se detallan los permisos específicos necesarios para las actividades de Defender for Identity en Microsoft Defender XDR.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
| Actividad | Permisos mínimos necesarios |
|---|---|
| Incorporación de Defender for Identity (creación de un área de trabajo) | Administrador de seguridad |
| Configuración de Defender for Identity | Uno de los siguientes roles de Microsoft Entra: - Administrador de seguridad - Operador de seguridad Or Los siguientes permisos de RBAC unificados: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Ver la configuración de Defender for Identity | Uno de los siguientes roles de Microsoft Entra: - Lector global - Lector de seguridad Or Los siguientes permisos de RBAC unificados: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Administración de alertas y actividades de seguridad de Defender for Identity | Uno de los siguientes roles de Microsoft Entra: - Operador de seguridad Or Los siguientes permisos de RBAC unificados: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Visualización de las evaluaciones de seguridad de Defender for Identity (ahora parte de la Puntuación de seguridad de Microsoft) |
Permisos para acceder a la puntuación de seguridad de Microsoft And Los siguientes permisos de RBAC unificados: Security operations/Security data /Security data basics (Read) |
| Ver la página Activos e identidades |
Permisos para acceder a Defender for Cloud Apps Or Uno de los roles de Microsoft Entra requeridos por Microsoft Defender XDR |
| Realizar acciones de respuesta de Defender for Identity | Un rol personalizado definido con permisos para Respuesta (administrar) Or Uno de los siguientes roles de Microsoft Entra: - Operador de seguridad |
Grupos de seguridad de Defender for Identity
Defender for Identity proporciona los siguientes grupos de seguridad para ayudar a administrar el acceso a los recursos de Defender for Identity:
- Administradores de Azure ATP (nombre del área de trabajo)
- Usuarios de Azure ATP (nombre del área de trabajo)
- Visores de Azure ATP (nombre del área de trabajo)
En la tabla siguiente se enumeran las actividades disponibles para cada grupo de seguridad:
| Actividad | Administradores de Azure ATP (nombre del área de trabajo) | Usuarios de Azure ATP (nombre del área de trabajo) | Visores de Azure ATP (nombre del área de trabajo) |
|---|---|---|---|
| Cambiar el estado del problema de mantenimiento | Disponible | No disponible | No disponible |
| Cambiar el estado de la alerta de seguridad (volver a abrir, cerrar, excluir, suprimir) | Disponible | Disponible | No disponible |
| Eliminar área de trabajo | Disponible | No disponible | No disponible |
| Descarga de un informe | Disponible | Disponible | Disponible |
| Iniciar sesión | Disponible | Disponible | Disponible |
| Compartir o exportar alertas de seguridad (por correo electrónico, obtener vínculo, detalles de descarga) | Disponible | Disponible | Disponible |
| Actualización de la configuración de Defender for Identity (actualizaciones) | Disponible | No disponible | No disponible |
| Actualización de la configuración de Defender for Identity (etiquetas de entidad, incluidas las etiquetas confidenciales y honeytoken) | Disponible | Disponible | No disponible |
| Actualización de la configuración de Defender for Identity (exclusiones) | Disponible | Disponible | No disponible |
| Actualización de la configuración de Defender for Identity (idioma) | Disponible | Disponible | No disponible |
| Actualización de la configuración de Defender for Identity (notificaciones, incluidos el correo electrónico y syslog) | Disponible | Disponible | No disponible |
| Actualización de la configuración de Defender for Identity (detecciones en versión preliminar) | Disponible | Disponible | No disponible |
| Actualización de la configuración de Defender for Identity (informes programados) | Disponible | Disponible | No disponible |
| Actualización de la configuración de Defender for Identity (orígenes de datos, incluidos servicios de directorio, SIEM, VPN, Defender para punto de conexión) | Disponible | No disponible | No disponible |
| Actualización de la configuración de Defender for Identity (administración de sensores, incluida la descarga de software, la regeneración de claves, la configuración y la eliminación) | Disponible | No disponible | No disponible |
| Visualización de perfiles de entidad y alertas de seguridad | Disponible | Disponible | Disponible |
Agregar y quitar usuarios
Defender for Identity usa Microsoft Entra grupos de seguridad como base para los grupos de roles.
Administre los grupos de roles desde Grupos página de administración en el Azure Portal. Solo Microsoft Entra usuarios se pueden agregar o quitar de los grupos de seguridad.