Microsoft Defender for Identity nabízí zabezpečení na základě rolí, které chrání data podle konkrétních potřeb vaší organizace v oblasti zabezpečení a dodržování předpisů. Ke správě přístupu k Defenderu for Identity doporučujeme používat skupiny rolí, oddělit povinnosti napříč týmem zabezpečení a udělit jenom takový přístup, který uživatelé potřebují ke své práci.
Jednotné řízení přístupu na základě role (RBAC)
Uživatelé, kteří už jsou globálními správci nebo správci zabezpečení na Microsoft Entra ID vašeho tenanta, jsou také automaticky správci služby Defender for Identity. Microsoft Entra globální správci a správci zabezpečení nepotřebují pro přístup k Defenderu for Identity další oprávnění.
Pro ostatní uživatele povolte a použijte řízení přístupu na základě role (RBAC) v Microsoftu 365 k vytváření vlastních rolí a k podpoře dalších rolí Entra ID, jako je operátor zabezpečení nebo čtenář zabezpečení, ve výchozím nastavení ke správě přístupu k Defenderu for Identity.
Při vytváření vlastních rolí se ujistěte, že používáte oprávnění uvedená v následující tabulce:
Úroveň přístupu k Defenderu for Identity
Minimální požadovaná sjednocená oprávnění RBAC v Microsoftu 365
Správci
- Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions - Security operations/Security data/Alerts (manage) -Security operations/Security data /Security data basics (Read) - Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read
Uživatelé
- Security operations/Security data /Security data basics (Read) - Authorization and settings/System settings/Read - Authorization and settings/Security settings/Read - Security operations/Security data/Alerts (manage) - microsoft.xdr/configuration/security/manage
Uživatelé s oprávněními k prohlížení
- Security operations/Security data /Security data basics (Read) - Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions)
Informace obsažené v protokolu aktivit Defender for Cloud Apps můžou stále obsahovat data služby Defender for Identity. Tento obsah se řídí stávajícími oprávněními Defender for Cloud Apps.
Výjimka: Pokud jste v Microsoft Defender for Cloud Apps nakonfigurovali nasazení s vymezeným oborem pro výstrahy Microsoft Defender for Identity, nebudou se tato oprávnění přenášet a budete muset příslušným uživatelům portálu explicitně udělit oprávnění Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení).
Požadovaná oprávnění Defender for Identity v Microsoft Defender XDR
Následující tabulka podrobně popisuje konkrétní oprávnění vyžadovaná pro aktivity defenderu for Identity v Microsoft Defender XDR.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Activity
Nejméně požadovaná oprávnění
Onboarding Defenderu for Identity (vytvoření pracovního prostoru)
Jedna z následujících Microsoft Entra rolí:
-
Správce zabezpečení
-
Operátor zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions
Správa výstrah zabezpečení a aktivit zabezpečení služby Defender for Identity
Jedna z následujících Microsoft Entra rolí:
-
Operátor zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Security operations/Security data/Alerts (Manage) - Security operations/Security data /Security data basics (Read)
Zobrazení posouzení zabezpečení Defenderu for Identity (nyní součástí Microsoft Secure Score)
Oprávnění pro přístup ke službě Microsoft Secure Score A Následující sjednocená oprávnění RBAC: Security operations/Security data /Security data basics (Read)
Vlastní role definovaná s oprávněními pro odpověď (správa) Nebo Jedna z následujících Microsoft Entra rolí:
-
Operátor zabezpečení
Skupiny zabezpečení defenderu for Identity
Defender for Identity poskytuje následující skupiny zabezpečení, které vám pomůžou se správou přístupu k prostředkům Defenderu for Identity:
Správci Azure ATP (název pracovního prostoru)
Uživatelé Azure ATP (název pracovního prostoru)
Prohlížeče Azure ATP (název pracovního prostoru)
Následující tabulka uvádí aktivity dostupné pro jednotlivé skupiny zabezpečení:
Activity
Správci Azure ATP (název pracovního prostoru)
Uživatelé Azure ATP (název pracovního prostoru)
Prohlížeče Azure ATP (název pracovního prostoru)
Změna stavu problému
Dostupná
Není k dispozici
Není k dispozici
Změna stavu výstrahy zabezpečení (opětovné otevření, zavření, vyloučení, potlačení)
Dostupná
Dostupná
Není k dispozici
Odstranit pracovní prostor
Dostupná
Není k dispozici
Není k dispozici
Stažení sestavy
Dostupná
Dostupná
Dostupná
Přihlášení
Dostupná
Dostupná
Dostupná
Sdílení nebo export výstrah zabezpečení (prostřednictvím e-mailu, získání odkazu, podrobností o stažení)
Dostupná
Dostupná
Dostupná
Aktualizace konfigurace Defenderu pro identitu (aktualizace)
Dostupná
Není k dispozici
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (značky entit, včetně citlivých i honeytokenů)
Dostupná
Dostupná
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (vyloučení)
Dostupná
Dostupná
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (jazyk)
Dostupná
Dostupná
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (oznámení, včetně e-mailu i syslogu)
Dostupná
Dostupná
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (detekce ve verzi Preview)
Dostupná
Dostupná
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (naplánované sestavy)
Dostupná
Dostupná
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (zdroje dat, včetně adresářových služeb, SIEM, VPN, Defender for Endpoint)
Dostupná
Není k dispozici
Není k dispozici
Aktualizace konfigurace Defenderu pro identitu (správa senzorů, včetně stahování softwaru, opětovného vygenerování klíčů, konfigurace, odstranění)
Dostupná
Není k dispozici
Není k dispozici
Zobrazení profilů entit a výstrah zabezpečení
Dostupná
Dostupná
Dostupná
Přidání a odebrání uživatelů
Defender for Identity používá Microsoft Entra skupiny zabezpečení jako základ pro skupiny rolí.
Skupiny rolí můžete spravovat na stránce správy Skupiny na Azure Portal. Ze skupin zabezpečení je možné přidávat nebo odebírat jenom Microsoft Entra uživatele.