Auf Englisch lesen

Freigeben über


Bereitstellen von MSSP-Zugriff (Managed Security Service Provider)

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Wichtig

Verfahren in diesem Artikel verwenden Features, die mindestens Microsoft Entra ID P2 für jeden Benutzer im Verwaltungsbereich erfordern.

Gilt für:

Führen Sie die folgenden Schritte aus, um eine lösung für mehrinstanzenfähigen delegierten Zugriff zu implementieren:

  1. Aktivieren Sie die rollenbasierte Zugriffssteuerung für Defender für Endpunkt über das Microsoft Defender-Portal, und stellen Sie eine Verbindung mit Microsoft Entra Gruppen her.

  2. Konfigurieren Sie die Berechtigungsverwaltung für externe Benutzer innerhalb Microsoft Entra ID Governance, um Zugriffsanforderungen und -bereitstellungen zu ermöglichen.

  3. Verwalten von Zugriffsanforderungen und Überwachungen in Microsoft Myaccess.

Aktivieren der rollenbasierten Zugriffssteuerung in Microsoft Defender for Endpoint in Microsoft Defender Portal

  1. Erstellen von Zugriffsgruppen für MSSP-Ressourcen in Customer Microsoft Entra ID: Gruppen

    Diese Gruppen sind mit den Rollen verknüpft, die Sie in Defender für Endpunkt in Microsoft Defender Portal erstellen. Erstellen Sie dazu im AD-Mandanten des Kunden drei Gruppen. In unserem Beispielansatz erstellen wir die folgenden Gruppen:

    • Analyst der Ebene 1
    • Tier 2 Analyst
    • Genehmigende Personen des MSSP-Analysten
  2. Erstellen Sie Defender für Endpunkt-Rollen für geeignete Zugriffsebenen in Customer Defender for Endpoint in Microsoft Defender Portalrollen und -gruppen.

    Um RBAC im Kundenportal Microsoft Defender zu aktivieren, greifen Sie auf Berechtigungen > Endpunktrollen zu, & Rollen mit einem Benutzerkonto mit Sicherheitsadministratorrechten zu gruppieren>.

    Details zum MSSP-Zugriff im Microsoft Defender-Portal

    Erstellen Sie dann RBAC-Rollen, um die Anforderungen der MSSP-SOC-Ebene zu erfüllen. Verknüpfen Sie diese Rollen über "Zugewiesene Benutzergruppen" mit den erstellten Benutzergruppen.

    Zwei mögliche Rollen:

    • Analysten der Ebene 1
      Führen Sie alle Aktionen mit Ausnahme der Liveantwort aus, und verwalten Sie Sicherheitseinstellungen.

    • Analysten der Ebene 2
      Funktionen der Ebene 1 mit der Ergänzung zur Liveantwort.

    Weitere Informationen finden Sie unter Verwalten des Portalzugriffs mithilfe der rollenbasierten Zugriffssteuerung.

Konfigurieren von Governancezugriffspaketen

  1. Hinzufügen von MSSP als verbundene Organisation in Customer Microsoft Entra ID: Identity Governance

    Durch das Hinzufügen des MSSP als verbundene organization kann der MSSP Anfordern und Bereitstellen von Zugriffen erhalten.

    Greifen Sie dazu im AD-Mandanten des Kunden auf Identity Governance: Connected organization zu. Fügen Sie eine neue organization hinzu, und suchen Sie über Mandanten-ID oder Domäne nach Ihrem MSSP Analyst-Mandanten. Es wird empfohlen, einen separaten AD-Mandanten für Ihre MSSP-Analysten zu erstellen.

  2. Erstellen eines Ressourcenkatalogs in Customer Microsoft Entra ID: Identity Governance

    Ressourcenkataloge sind eine logische Sammlung von Zugriffspaketen, die im AD-Mandanten des Kunden erstellt werden.

    Greifen Sie dazu im AD-Mandanten des Kunden auf Identity Governance: Catalogs zu, und fügen Sie Neuen Katalog hinzu. In unserem Beispiel nennen wir es MSSP-Zugriffe.

    Ein neuer Katalog im Microsoft Defender-Portal

    Weitere Informationen finden Sie unter Erstellen eines Ressourcenkatalogs.

  3. Erstellen von Zugriffspaketen für MSSP-Ressourcen customer Microsoft Entra ID: Identity Governance

    Zugriffspakete sind die Sammlung von Rechten und Zugriffen, die ein Anforderer bei der Genehmigung gewährt.

    Greifen Sie dazu im AD-Mandanten des Kunden auf Identity Governance: Zugriffspakete zu, und fügen Sie neues Zugriffspaket hinzu. Erstellen Sie ein Zugriffspaket für die MSSP-genehmigenden Personen und jede Analystenebene. Die folgende Konfiguration des Analysts der Ebene 1 erstellt z. B. ein Zugriffspaket, das:

    • Erfordert, dass ein Mitglied der AD-Gruppe MSSP Analyst Approvers neue Anforderungen autorisiert.
    • Verfügt über jährliche Zugriffsüberprüfungen, bei denen die SOC-Analysten eine Zugriffserweiterung anfordern können.
    • Kann nur von Benutzern im MSSP SOC-Mandanten angefordert werden
    • Access läuft automatisch nach 365 Tagen ab

    Die Details eines neuen Zugriffspakets im Microsoft Defender-Portal

    Weitere Informationen finden Sie unter Erstellen eines neuen Zugriffspakets.

  4. Bereitstellen eines Zugriffsanforderungslinks für MSSP-Ressourcen von Customer Microsoft Entra ID: Identity Governance

    Der Link "Mein Zugriff"-Portal wird von MSSP SOC-Analysten verwendet, um Zugriff über die erstellten Zugriffspakete anzufordern. Der Link ist dauerhaft, was bedeutet, dass derselbe Link im Laufe der Zeit für neue Analysten verwendet werden kann. Die Analystanforderung wird in eine Warteschlange eingereiht, um sie von den MSSP-Analysten genehmigenden Personen zu genehmigen.

    Die Zugriffseigenschaften im Microsoft Defender-Portal

    Der Link befindet sich auf der Übersichtsseite jedes Zugriffspakets.

Zugriff verwalten

  1. Überprüfen und autorisieren Sie Zugriffsanforderungen in Customer und/oder MSSP myaccess.

    Zugriffsanforderungen werden im Kunden "Mein Zugriff" von Mitgliedern der MsSP-Gruppe "Analyst Approvers" verwaltet.

    Greifen Sie dazu mithilfe von auf myaccess des Kunden zu. https://myaccess.microsoft.com/@<Customer Domain>

    Beispiel: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Genehmigen oder verweigern Sie Anforderungen im Abschnitt Genehmigungen der Benutzeroberfläche.

    An diesem Punkt wurde Der Zugriff auf Analysten bereitgestellt, und jeder Analyst sollte auf das Microsoft Defender Portal des Kunden zugreifen können:

    https://security.microsoft.com/?tid=<CustomerTenantId> mit den Berechtigungen und Rollen, denen sie zugewiesen wurden.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.