Planen von Rollen und Berechtigungen für Defender for Servers

  • Artikel

In diesem Artikel erfahren Sie, wie Sie den Zugriff auf Ihre Defender for Servers-Bereitstellung steuern.

Defender for Servers ist einer der kostenpflichtigen Pläne von Microsoft Defender for Cloud.

Voraussetzungen

Der vorliegende Artikel ist der dritte Teil der Reihe „Planungshandbuch für Defender for Servers“. Bevor Sie beginnen, lesen Sie sich die vorherigen Artikel durch:

  1. Beginnen der Planung der Bereitstellung
  2. Verstehen der Speicherorte Ihrer Daten und Anforderungen an den Log Analytics-Arbeitsbereich

Bestimmen von Besitz und Zugriff

In komplexen Unternehmen verwalten verschiedene Teams die unterschiedlichen Sicherheitsfunktionen in der Organisation.

Es ist von entscheidender Bedeutung, dass Sie den Besitz für die Server- und Endpunktsicherheit in Ihrem Unternehmen identifizieren. Ein nicht definierter oder in organisatorischen Silos verborgener Besitz erhöht das Risiko für die Organisation. Die Arbeit von Sicherheitsteams (SecOps), die Bedrohungen im gesamten Unternehmen identifizieren und verfolgen müssen, wird erheblich erschwert. Die Bereitstellung könnte sich verzögern oder bietet nicht die nötige Sicherheit.

Führungskräfte im Sicherheitsbereich sollten die Teams, Rollen und Personen identifizieren, die für das Treffen und Implementieren von Entscheidungen zur Serversicherheit verantwortlich sind.

Üblicherweise wird die Verantwortung zwischen einem zentralen IT-Team und einem Cloudinfrastruktur- und Endpunktsicherheitsteam geteilt. Personen in diesen Teams benötigen Azure-Zugriffsrechte für die Verwaltung und Verwendung von Defender for Cloud. Ermitteln Sie im Rahmen der Planung anhand des RBAC-Modells (Role-Based Access Control) von Defender for Cloud die richtige Zugriffsebene für Einzelpersonen.

Defender for Cloud-Rollen

Zusätzlich zu den integrierten Rollen „Besitzer“, „Mitwirkender“ und „Leser“ für ein Azure-Abonnement oder eine Azure-Ressourcengruppe bietet Defender for Cloud einige integrierte Rollen, die den Defender for Cloud-Zugriff steuern:

  • Sicherheitsleseberechtigter: Gewährt Anzeigerechte für Empfehlungen, Warnungen, Sicherheitsrichtlinien und Zustände in Defender for Cloud. Diese Rolle kann keine Änderungen an den Einstellungen von Defender for Cloud vornehmen.
  • Sicherheitsadministrator: Gewährt Rechte vom Typ „Sicherheitsleseberechtigter“ und ermöglicht es, Sicherheitsrichtlinien zu aktualisieren, Warnungen und Empfehlungen zu schließen und Empfehlungen anzuwenden.

Erfahren Sie mehr über zulässige Rollenaktionen.

Nächste Schritte

Nachdem Sie diese Planungsschritte durchgearbeitet haben, entscheiden Sie, welcher Defender for Servers-Plan für Ihre Organisation geeignet ist.