配置托管的安全服务提供商集成

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

托管安全服务提供商合作关系机会

安全性被视为运行企业的关键组件;但是,某些组织可能没有能力或专业知识来拥有专门的安全运营团队来管理其终结点和网络的安全性,另一些组织可能希望有另一组眼睛来查看其网络中的警报。

为了满足这一需求,托管安全服务提供商 (MSSP) 提供托管检测和响应 (MDR) Defender for Endpoint 服务。

Defender for Endpoint 为此方案添加了合作机会,并允许 MSSP 执行以下作:

  • 获取对 MSSP 客户的Microsoft Defender门户的访问权限
  • 获取电子邮件通知
  • 通过安全信息和事件管理 (SIEM) 工具获取警报

注意

本文使用以下术语来区分服务提供商和服务使用者:

  • MSSP:为组织监视和管理安全设备的安全组织 (客户) 。
  • MSSP 客户:使用 MSSP 服务的组织。

MSSP 集成

若要启用 MSSP 集成,MSSP 客户需要向其 Defender for Endpoint 租户授予访问权限,以便 MSSP 可以访问其Microsoft Defender门户 (https://security.microsoft.com) 。

授予访问权限后,MSSP 或客户可以执行其他配置步骤。 通常,下表汇总了要完成的配置步骤:

步骤 谁来做
向 MSSP 授予对Microsoft Defender门户的访问权限。 此作授予 MSSP 访问 MSSP 客户的Microsoft Defender门户的权限。 MSSP 客户
配置发送到 MSSP 的警报通知。 此作可让 MSSP 知道他们需要为 MSSP 客户解决哪些警报。 MSSP 客户或 MSSP
将警报从 MSSP 客户的租户提取到 SIEM 系统。 此作允许 MSSP 在 SIEM 工具中提取警报。 MSSP
使用 API 从 MSSP 客户的租户提取警报。 此作允许 MSSP 使用 API 提取警报。 MSSP

MSSP 的多租户访问

有关如何实现多租户委托访问的信息,请参阅 托管安全服务提供商的多租户访问

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区