先决条件和支持
本文介绍使用Microsoft 安全风险管理的要求和先决条件。
权限
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
使用Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 管理权限
Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 允许你创建具有特定权限的公开管理自定义角色。 这些权限位于统一 RBAC 权限模型中Defender XDR安全态势类别下,命名为:
- 公开管理 (只读访问的读取)
- 曝光管理 (管理访问) ,以管理曝光管理体验
对于曝光管理中更敏感的操作,用户需要 核心安全设置 (管理位于 “授权和设置” 类别下的) 权限。
若要访问公开管理数据和操作,应向Microsoft 安全风险管理数据源分配Defender XDR统一 RBAC 中具有此处提及的任何权限的自定义角色。
若要详细了解如何使用 Microsoft Defender XDR Unified RBAC 管理安全功能分数权限,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 。
下表突出显示了用户可以使用每个权限访问或执行的操作:
| 权限名称 | 操作 |
|---|---|
| 公开管理 (读取) | 访问所有公开管理体验并读取所有可用数据的访问权限 |
| 曝光管理 (管理) | 除了读取访问权限,用户还可以设置计划目标分数、编辑指标值、管理建议 (可能需要与需要采取的特定操作相关的其他权限) |
| (管理) 的核心安全设置 | 将供应商连接到外部攻击面管理计划或将供应商更改为外部攻击面管理计划 |
若要获得完全Microsoft 安全风险管理访问权限,用户角色需要访问所有 Defender for Endpoint 设备组。 对某些组织设备组具有受限访问权限的用户可以:
- 访问全局曝光见解数据。
- 仅在其范围内的指标、建议、事件和计划历史记录下查看受影响的资产。
- 查看其范围内的设备的攻击路径。
- 访问他们有权访问的设备组 (ExposureGraphNodes 和 ExposureGraphEdges) 安全风险管理攻击面图和高级搜寻架构。
注意
在“系统>设置”Microsoft Defender XDR下,对“关键资产管理”>具有管理权限的访问权限要求用户有权访问所有 Defender for Endpoint 设备组。
使用Microsoft Entra ID角色进行访问
使用 Microsoft Defender XDR 统一 RBAC 权限管理访问权限的替代方法,Microsoft Entra ID 角色还可以访问Microsoft 安全风险管理数据和操作。 需要至少具有一个全局管理员或安全管理员的租户才能创建安全风险管理工作区。
若要获得完全访问权限,用户需要以下Microsoft Entra ID角色之一:
- 全局管理员 (读取和写入权限)
- 安全管理员 (读取和写入权限)
- 安全操作员 (读取权限,) 限制写入权限
- 全局读取者 (读取权限)
- 安全读取者 (读取权限)
表中汇总了权限级别。
| 操作 | Global Admin | 全局读取者 | 安全管理员 | 安全操作员 | 安全信息读取者 |
|---|---|---|---|---|---|
| 向其他人授予权限 | ✔ | - | - | - | - |
| 将组织加入Microsoft Defender 外部攻击面管理 (EASM) 计划 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 将计划标记为收藏夹 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 设置计划目标分数 | ✔ | - | ✔ | - | - |
| 查看常规计划 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 共享指标/建议 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 编辑指标权重 | ✔ | - | ✔ | - | - |
| 导出指标 (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
| 查看指标 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 导出资产 (指标/建议) | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理建议 | ✔ | - | ✔ | - | - |
| 查看建议 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 导出事件 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 更改严重性级别 | ✔ | - | ✔ | ✔ | - |
| 设置关键资产规则 | ✔ | - | ✔ | - | - |
| 创建严重性规则 | ✔ | - | ✔ | - | - |
| 打开/关闭严重性规则 | ✔ | - | ✔ | ✔ | - |
| 对暴露图数据运行查询 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 配置数据连接器 | ✔ | ✔ | ✔ | ||
| 查看数据连接器 | ✔ | ✔ | ✔ | ✔ | ✔ |
浏览器要求
可以使用 Microsoft Edge、Internet Explorer 11 或任何符合 HTML 5 的 Web 浏览器在 Microsoft Defender 门户中访问安全风险管理。
关键资产分类
在开始之前,请先了解安全风险管理中的关键资产管理。
查看使用关键资产所需的权限。
对关键资产进行分类时,我们支持运行 Defender for Endpoint 传感器版本 10.3740.XXXX 或更高版本的设备。 建议运行更新的传感器版本,如 Defender for Endpoint 新增功能页上所列。
可以检查设备运行的传感器版本,如下所示:
在特定设备上,浏览到 C:\Program Files\Windows Defender 高级威胁防护中的 MsSense.exe 文件。 右键单击该文件并选择“属性”。 在“详细信息”选项卡上,检查文件版本。
对于多个设备,可以更轻松地运行高级搜寻 Kusto 查询来检查设备传感器版本,如下所示:
DeviceInfo | project DeviceName, ClientVersion
获取支持
若要获取支持,请选择“Microsoft安全性”工具栏中的“帮助”问号图标。
你还可以与 Microsoft 技术社区互动。