Группы ролей Microsoft Defender для удостоверений
Microsoft Defender для удостоверений обеспечивает безопасность на основе ролей для защиты данных в соответствии с конкретными потребностями вашей организации в области безопасности и соответствия требованиям. Рекомендуется использовать группы ролей для управления доступом к Defender для удостоверений, разделения обязанностей между группой безопасности и предоставления пользователям только того объема доступа, который необходим для выполнения своих задач.
Единое управление доступом на основе ролей (RBAC)
Пользователи, которые уже являются глобальными администраторами или администраторами безопасности на Microsoft Entra ID клиента, также автоматически становятся администраторами Defender для удостоверений. Microsoft Entra глобальные администраторы и администраторы безопасности не нуждаются в дополнительных разрешениях для доступа к Defender для удостоверений.
Для других пользователей включите и используйте управление доступом на основе ролей Microsoft 365 (RBAC) для создания пользовательских ролей и поддержки дополнительных ролей Entra ID, таких как оператор безопасности или читатель безопасности, по умолчанию для управления доступом к Defender для удостоверений.
При создании пользовательских ролей убедитесь, что вы применяете разрешения, перечисленные в следующей таблице:
| Уровень доступа Defender для удостоверений | Минимальные необходимые унифицированные разрешения RBAC в Microsoft 365 |
|---|---|
| Администраторы | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| пользователи; | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Наблюдатели | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Дополнительные сведения см. в разделах Настраиваемые роли в управлении доступом на основе ролей для Microsoft Defender XDR и Создание пользовательских ролей с помощью Microsoft Defender XDR Unified RBAC.
Примечание.
Сведения из журнала действий Defender for Cloud Apps могут по-прежнему содержать данные Defender для удостоверений. Это содержимое соответствует существующим разрешениям Defender for Cloud Apps.
Исключение. Если вы настроили развертывание с заданной областью для Microsoft Defender для удостоверений оповещений в Microsoft Defender for Cloud Apps, эти разрешения не переносятся и вам придется явно предоставить разрешения на операции безопасности \ Данные безопасности \ Основы данных безопасности (чтение) для соответствующих пользователи портала.
Необходимые разрешения Defender для удостоверений в Microsoft Defender XDR
В следующей таблице описаны конкретные разрешения, необходимые для действий Defender для удостоверений в Microsoft Defender XDR.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
| Действие | Минимальные необходимые разрешения |
|---|---|
| Подключение Defender для удостоверений (создание рабочей области) | Администратор безопасности |
| Настройка параметров Defender для удостоверений | Одна из следующих Microsoft Entra ролей: - Администратор безопасности - Оператор безопасности Or Следующие разрешения unified RBAC: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Просмотр параметров Defender для удостоверений | Одна из следующих Microsoft Entra ролей: - Глобальное средство чтения - Средство чтения безопасности Or Следующие разрешения unified RBAC: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Управление оповещениями и действиями системы безопасности Defender для удостоверений | Одна из следующих Microsoft Entra ролей: - Оператор безопасности Or Следующие разрешения unified RBAC: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Просмотр оценок безопасности Defender для удостоверений (теперь входит в microsoft Secure Score) |
Разрешения на доступ к оценке безопасности (Майкрософт) And Следующие разрешения unified RBAC: Security operations/Security data /Security data basics (Read) |
| Просмотр страницы Активы и удостоверения |
Разрешения на доступ к Defender for Cloud Apps Or Одна из Microsoft Entra ролей, необходимых Microsoft Defender XDR |
| Выполнение действий ответа Defender для удостоверений |
Настраиваемая роль, определенная с разрешениями для response (управление) Or Одна из следующих Microsoft Entra ролей: - Оператор безопасности |
Группы безопасности Defender для удостоверений
Defender для удостоверений предоставляет следующие группы безопасности для управления доступом к ресурсам Defender для удостоверений:
- Администраторы Azure ATP (имя рабочей области)
- Пользователи Azure ATP (имя рабочей области)
- Средства просмотра Azure ATP (имя рабочей области)
В следующей таблице перечислены действия, доступные для каждой группы безопасности.
| Действие | Администраторы Azure ATP (имя рабочей области) | Пользователи Azure ATP (имя рабочей области) | Средства просмотра Azure ATP (имя рабочей области) |
|---|---|---|---|
| Изменение состояния проблемы работоспособности | Доступно | Недоступно | Недоступно |
| Изменение состояния оповещения системы безопасности (повторное открытие, закрытие, исключение, подавление) | Доступно | Доступно | Недоступно |
| Удаление рабочей области | Доступно | Недоступно | Недоступно |
| Скачивание отчета | Доступно | Доступно | Доступно |
| Вход | Доступно | Доступно | Доступно |
| Предоставление общего доступа и экспорт оповещений системы безопасности (по электронной почте, получение ссылки, скачивание сведений) | Доступно | Доступно | Доступно |
| Обновление конфигурации Defender для удостоверений (обновления) | Доступно | Недоступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (теги сущностей, включая конфиденциальные и honeytoken) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (исключения) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (язык) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (уведомления, включая электронную почту и системный журнал) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (предварительные версии обнаружения) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (запланированные отчеты) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (источники данных, включая службы каталогов, SIEM, VPN, Defender для конечной точки) | Доступно | Недоступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (управление датчиками, включая скачивание программного обеспечения, повторное создание ключей, настройку, удаление) | Доступно | Недоступно | Недоступно |
| Просмотр профилей сущностей и оповещений системы безопасности | Доступно | Доступно | Доступно |
Добавление и удаление пользователей
Defender для удостоверений использует Microsoft Entra группы безопасности в качестве основы для групп ролей.
Управление группами ролей на странице управления Группы на портал Azure. Только Microsoft Entra пользователей можно добавлять или удалять из групп безопасности.