Rollgrupper för Microsoft Defender
Microsoft Defender for Identity erbjuder rollbaserad säkerhet för att skydda data enligt organisationens specifika säkerhets- och efterlevnadsbehov. Vi rekommenderar att du använder rollgrupper för att hantera åtkomst till Defender for Identity, dela upp ansvarsområden i säkerhetsteamet och endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb.
Enhetlig rollbaserad åtkomstkontroll (RBAC)
Användare som redan är globala administratörer eller säkerhetsadministratörer på klientorganisationens Microsoft Entra ID är också automatiskt Defender för identitetsadministratör. Microsoft Entra globala administratörer och säkerhetsadministratörer behöver inte extra behörigheter för att få åtkomst till Defender for Identity.
För andra användare aktiverar och använder du rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) för att skapa anpassade roller och för att stödja fler Entra-ID-roller som säkerhetsoperatör eller säkerhetsläsare som standard för att hantera åtkomst till Defender för identitet.
När du skapar dina anpassade roller kontrollerar du att du tillämpar de behörigheter som anges i följande tabell:
| Åtkomstnivå för Defender for Identity | Minsta nödvändiga Microsoft 365-enhetliga RBAC-behörigheter |
|---|---|
| Administratörer | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Användare | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Tittare | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Mer information finns i Anpassade roller i rollbaserad åtkomstkontroll för Microsoft Defender XDR och Skapa anpassade roller med Microsoft Defender XDR Unified RBAC.
Obs!
Information som ingår i Defender for Cloud Apps aktivitetsloggen kan fortfarande innehålla Defender for Identity-data. Det här innehållet följer befintliga Defender for Cloud Apps behörigheter.
Undantag: Om du har konfigurerat omfångsdistribution för Microsoft Defender for Identity aviseringar i Microsoft Defender for Cloud Apps, överförs inte dessa behörigheter och du måste uttryckligen bevilja behörigheterna Security operations \ Security data \ Security data basics (read) för relevanta portalanvändare.
Nödvändiga behörigheter för Defender för identitet i Microsoft Defender XDR
I följande tabell beskrivs de specifika behörigheter som krävs för Defender för identitetsaktiviteter i Microsoft Defender XDR.
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
| Aktivitet | Minst nödvändiga behörigheter |
|---|---|
| Registrera Defender för identitet (skapa arbetsyta) | Säkerhetsadministratör |
| Konfigurera Inställningar för Defender för identitet | En av följande Microsoft Entra roller: - Säkerhetsadministratör - Säkerhetsoperatör Eller Följande enhetliga RBAC-behörigheter: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Visa Inställningar för Defender för identitet | En av följande Microsoft Entra roller: - Global läsare - Säkerhetsläsare Eller Följande enhetliga RBAC-behörigheter: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Hantera säkerhetsaviseringar och aktiviteter för Defender for Identity | En av följande Microsoft Entra roller: - Säkerhetsoperatör Eller Följande enhetliga RBAC-behörigheter: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Visa säkerhetsutvärderingar för Defender for Identity (nu en del av Microsoft Secure Score) |
Behörigheter för att få åtkomst till Microsoft Secure Score Och Följande enhetliga RBAC-behörigheter: Security operations/Security data /Security data basics (Read) |
| Visa sidan Tillgångar/identiteter |
Behörigheter för att komma åt Defender for Cloud Apps Eller En av de Microsoft Entra roller som krävs av Microsoft Defender XDR |
| Utföra svarsåtgärder för Defender for Identity | En anpassad roll som definierats med behörigheter för Svar (hantera) Eller En av följande Microsoft Entra roller: - Säkerhetsoperatör |
Säkerhetsgrupper för Defender för identiteter
Defender for Identity tillhandahåller följande säkerhetsgrupper för att hantera åtkomst till Defender for Identity-resurser:
- Administratörer för Azure ATP (arbetsytans namn)
- Azure ATP-användare (arbetsytans namn)
- Visningsprogram för Azure ATP (arbetsytans namn)
I följande tabell visas de aktiviteter som är tillgängliga för varje säkerhetsgrupp:
| Aktivitet | Administratörer för Azure ATP (arbetsytans namn) | Azure ATP-användare (arbetsytenamn) | Visningsprogram för Azure ATP (arbetsytans namn) |
|---|---|---|---|
| Ändra status för hälsoproblem | Tillgänglig | Inte tillgängligt | Inte tillgängligt |
| Ändra säkerhetsaviseringsstatus (öppna igen, stäng, exkludera, ignorera) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Ta bort arbetsyta | Tillgänglig | Inte tillgängligt | Inte tillgängligt |
| Ladda ned en rapport | Tillgänglig | Tillgänglig | Tillgänglig |
| Logga in | Tillgänglig | Tillgänglig | Tillgänglig |
| Dela/exportera säkerhetsaviseringar (via e-post, hämta länk, ladda ned information) | Tillgänglig | Tillgänglig | Tillgänglig |
| Uppdatera Defender för identitetskonfiguration (uppdateringar) | Tillgänglig | Inte tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (entitetstaggar, inklusive både känslig och honeytoken) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (undantag) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (språk) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (meddelanden, inklusive både e-post och syslog) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (förhandsgranskningsidentifieringar) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (schemalagda rapporter) | Tillgänglig | Tillgänglig | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (datakällor, inklusive katalogtjänster, SIEM, VPN, Defender för Endpoint) | Tillgänglig | Inte tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (sensorhantering, inklusive nedladdning av programvara, återskapa nycklar, konfigurera, ta bort) | Tillgänglig | Inte tillgängligt | Inte tillgängligt |
| Visa entitetsprofiler och säkerhetsaviseringar | Tillgänglig | Tillgänglig | Tillgänglig |
Lägga till och ta bort användare
Defender for Identity använder Microsoft Entra säkerhetsgrupper som grund för rollgrupper.
Hantera dina rollgrupper från Grupper hanteringssida på Azure Portal. Endast Microsoft Entra användare kan läggas till eller tas bort från säkerhetsgrupper.