Forutsetninger og støtte
Denne artikkelen beskriver kravene og forutsetningene for å bruke Microsoft Security Exposure Management.
Tillatelser
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Behandle tillatelser med Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC)
Microsoft Defender XDR unified role-based access control (RBAC) kan du opprette egendefinerte roller med bestemte tillatelser for exposure management. Disse tillatelsene er plassert under security posture-kategorien i Defender XDR Unified RBAC-tillatelsesmodell og kalles:
- Exposure Management (lese) for skrivebeskyttet tilgang
- Exposure Management (administrere) for tilgang til å administrere opplevelser for eksponeringsbehandling
For mer sensitive handlinger i Eksponeringsbehandling trenger brukerne tillatelsen Kjernesikkerhetsinnstillinger (administrer) som er plassert under kategorien Autorisasjon og innstillinger .
For å få tilgang til data og handlinger for eksponeringsbehandling skal en egendefinert rolle i Defender XDR Unified RBAC med noen av tillatelsene som nevnes her, tilordnes til den Microsoft Security Exposure Management datakilden.
Hvis du vil lære mer om hvordan du bruker Microsoft Defender XDR Unified RBAC til å administrere tillatelsene for sikker poengsum, kan du se Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC).
Tabellen nedenfor uthever hva en bruker har tilgang til eller kan utføre med hver av tillatelsene:
Navn på tillatelse | Handlinger |
---|---|
Exposure Management (lest) | Tilgang til alle opplevelser for eksponeringsbehandling og lesetilgang til alle tilgjengelige data |
Exposure Management (administrer) | I tillegg til lesetilgangen kan brukeren angi målpoengsum for initiativ, redigere metriske verdier, administrere anbefalinger (kan kreve flere tillatelser relatert til de spesifikke handlingene som må utføres) |
Kjernesikkerhetsinnstillinger (administrer) | Koble eller endre leverandør til initiativet External Attack Surface Management |
Hvis du vil ha full Microsoft Security Exposure Management tilgang, trenger brukerroller tilgang til alle Enhetsgrupper for Defender for Endpoint. Brukere med begrenset tilgang til noen av organisasjonens enhetsgrupper kan:
- Få tilgang til data om global eksponeringsinnsikt.
- Vis berørte ressurser under måledata, anbefalinger, hendelser og initiativhistorikk bare innenfor omfanget.
- Vis enheter i angrepsbaner som er innenfor deres omfang.
- Få tilgang til det Security Exposure Management angrepsoverflatekartet og avanserte jaktskjemaer (ExposureGraphNodes og ExposureGraphEdges) for enhetsgruppene de har tilgang til.
Obs!
Tilgang med administreringstillatelser til kritisk ressursadministrasjon, under Systeminnstillinger>> Microsoft Defender XDR krever at brukere har tilgang til alle Defender for Endpoint-enhetsgrupper.
Tilgang med Microsoft Entra ID roller
Et alternativ til å administrere tilgang med Microsoft Defender XDR Unified RBAC-tillatelser, tilgang til Microsoft Security Exposure Management data og handlinger er også mulig med Microsoft Entra ID roller. Du trenger en leier med minst én global Admin eller sikkerhets-Admin for å opprette et Security Exposure Management arbeidsområde.
For full tilgang trenger brukerne én av følgende Microsoft Entra ID roller:
- Global Admin (lese- og skrivetillatelser)
- Sikkerhets Admin (lese- og skrivetillatelser)
- Sikkerhetsoperatør (lese- og begrensede skrivetillatelser)
- Global leser (lesetillatelser)
- Sikkerhetsleser (lesetillatelser)
Tilgangsnivåer summeres i tabellen.
Handling | Global Admin | Global leser | Sikkerhets Admin | Sikkerhetsoperator | Sikkerhetsleser |
---|---|---|---|---|---|
Gi tillatelser til andre | ✔ | - | - | - | - |
Ta organisasjonen i Microsoft Defender-administrasjon for ekstern angrepsoverflate (AFEA) initiativ | ✔ | ✔ | ✔ | ✔ | ✔ |
initiativ som favoritt | ✔ | ✔ | ✔ | ✔ | ✔ |
Angi målpoengsum for initiativ | ✔ | - | ✔ | - | - |
Vis generelle initiativer | ✔ | ✔ | ✔ | ✔ | ✔ |
Del måledata/anbefalinger | ✔ | ✔ | ✔ | ✔ | ✔ |
Rediger metrisk vekt | ✔ | - | ✔ | - | - |
Eksportmetrikk (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
Vis måledata | ✔ | ✔ | ✔ | ✔ | ✔ |
Eksporter ressurser (metrisk/anbefaling) | ✔ | ✔ | ✔ | ✔ | ✔ |
Administrer anbefalinger | ✔ | - | ✔ | - | - |
Vis anbefalinger | ✔ | ✔ | ✔ | ✔ | ✔ |
Eksporter hendelser | ✔ | ✔ | ✔ | ✔ | ✔ |
Endre kritiskhetsnivå | ✔ | - | ✔ | ✔ | - |
Angi kritisk aktivaregel | ✔ | - | ✔ | - | - |
Opprett kritiskhetsregel | ✔ | - | ✔ | - | - |
Aktivere/deaktivere kritiskhetsregel | ✔ | - | ✔ | ✔ | - |
Kjøre en spørring på eksponeringsdiagramdata | ✔ | ✔ | ✔ | ✔ | ✔ |
Konfigurer datakoblinger | ✔ | ✔ | ✔ | ||
Vis datakoblinger | ✔ | ✔ | ✔ | ✔ | ✔ |
Nettleserkrav
Du kan få tilgang til Security Exposure Management i Microsoft Defender-portalen ved hjelp av Microsoft Edge, Internet Explorer 11 eller en hvilken som helst HTML 5-kompatibel nettleser.
Kritisk aktivaklassifisering
Før du begynner, kan du lære om kritisk ressursstyring i Security Exposure Management.
Se gjennom nødvendige tillatelser for å arbeide med de kritiske ressursene.
Når vi klassifiserer kritiske ressurser, støtter vi enheter som kjører versjon 10.3740.XXXX av Defender for Endpoint-sensoren eller nyere. Vi anbefaler at du kjører en nyere sensorversjon, som oppført på Nyheter-siden i Defender for Endpoint.
Du kan kontrollere hvilken sensorversjon en enhet kjører på følgende måte:
Bla til MsSense.exe-filen i C:\Programfiler\Windows Defender Advanced Threat Protection på en bestemt enhet. Høyreklikk filen, og velg Egenskaper. Kontroller filversjonen på Detaljer-fanen .
For flere enheter er det enklere å kjøre en avansert jakt Kusto-spørring for å sjekke enhetssensorversjoner, som følger:
DeviceInfo | project DeviceName, ClientVersion
Dataoppdatering, oppbevaring og relatert funksjonalitet
Vi inntar og behandler for øyeblikket støttede data fra førsteparts Microsoft-produkter, noe som gjør det tilgjengelig i bedriftens eksponeringsgraf og gjeldende Microsoft Security Exposure Management opplevelser bygget på toppen av grafdata innen 72 timer etter produksjonen på kildeproduktet.
Microsofts produktdata beholdes i ikke mindre enn 14 dager i bedriftens eksponeringsgraf og/eller Microsoft Security Exposure Management. Bare det nyeste øyeblikksbildet av data som mottas fra Microsoft-produkter, beholdes. vi lagrer ikke historiske data.
Noen virksomhetseksponeringsgrafer og/eller Microsoft Security Exposure Management opplevelsesdata er tilgjengelige for spørring via Avansert jakt og er underlagt begrensninger for advanced hunting-tjenesten.
Vi forbeholder oss retten til å endre noen av eller alle disse parameterne i fremtiden, inkludert:
- Datainntaksfrekvens og -oppdatering: Vi kan øke den gjeldende ventetiden på 72 timer (redusere hyppigheten av datainntak) for noen eller alle Microsoft-datakilder.
- Dataoppbevaringsperiode: Vi kan redusere gjeldende 14-dagers dataoppbevaringsperiode.
- Tjenestefunksjoner og -funksjonalitet: Vi kan endre, begrense eller avvikle bestemte funksjoner, funksjoner eller funksjonalitet i tjenesten som er bygd oppå bedriftens eksponeringsgraf og/eller Microsoft Security Exposure Management data.
- Dataspørringsgrenser: Vi kan innføre begrensninger på antallet, hyppigheten eller typen dataspørringer som kan utføres mot virksomhetseksponeringsgrafen eller Microsoft Security Exposure Management data.
Vi vil gjøre rimelige anstrengelser for å gi forhåndsvarsel om eventuelle betydelige endringer i tjenesten. Du bekrefter imidlertid og godtar at du er alene ansvarlig for å overvåke slike varsler.
Få støtte
Hvis du vil ha støtte, velger du spørsmålstegnikonet for Hjelp på verktøylinjen for Microsoft Sikkerhet.
Du kan også kommunisere med Microsoft Tech-fellesskapet.