Bereitstellen von MSSP-Zugriff (Managed Security Service Provider)
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Gilt für:
Führen Sie die folgenden Schritte aus, um eine mehrinstanzenfähige Lösung für delegierten Zugriff zu implementieren:
Aktivieren Sie die rollenbasierte Zugriffssteuerung für Defender für Endpunkt über das Microsoft Defender-Portal, und stellen Sie eine Verbindung mit Microsoft Entra Gruppen her.
Konfigurieren Sie die Berechtigungsverwaltung für externe Benutzer innerhalb Microsoft Entra ID Governance, um Zugriffsanforderungen und -bereitstellungen zu ermöglichen.
Verwalten von Zugriffsanforderungen und Überwachungen in Microsoft Myaccess.
Aktivieren der rollenbasierten Zugriffssteuerung in Microsoft Defender for Endpoint in Microsoft Defender Portal
Create auf Gruppen für MSSP-Ressourcen in Customer Microsoft Entra ID: Groups
Diese Gruppen werden mit den Rollen verknüpft, die Sie in Defender für Endpunkt in Microsoft Defender Portal erstellen. Erstellen Sie dazu im AD-Mandanten des Kunden drei Gruppen. In unserem Beispielansatz erstellen wir die folgenden Gruppen:
- Analyst der Ebene 1
- Tier 2 Analyst
- Genehmigende Personen des MSSP-Analysten
Create Defender für Endpunkt-Rollen für geeignete Zugriffsebenen in Customer Defender for Endpoint in Microsoft Defender Portalrollen und -gruppen.
Um RBAC im Kundenportal Microsoft Defender zu aktivieren, greifen Sie auf Berechtigungen > Endpunktrollen zu, & Rollen > mit einem Benutzerkonto mit globalen Administrator- oder Sicherheitsadministratorrechten zu.
Erstellen Sie dann RBAC-Rollen, um die Anforderungen der MSSP-SOC-Ebene zu erfüllen. Verknüpfen Sie diese Rollen über "Zugewiesene Benutzergruppen" mit den erstellten Benutzergruppen.
Zwei mögliche Rollen:
Analysten der Ebene 1
Führen Sie alle Aktionen mit Ausnahme der Liveantwort aus, und verwalten Sie Sicherheitseinstellungen.Analysten der Ebene 2
Funktionen der Ebene 1 mit der Ergänzung zur Liveantwort.
Weitere Informationen finden Sie unter Verwalten des Portalzugriffs mithilfe der rollenbasierten Zugriffssteuerung.
Konfigurieren von Governancezugriffspaketen
Hinzufügen von MSSP als verbundene Organisation in Customer Microsoft Entra ID: Identity Governance
Das Hinzufügen des MSSP als verbundenes organization ermöglicht es dem MSSP, Anforderungen anzufordern und zugriffe bereitzustellen.
Greifen Sie dazu im AD-Mandanten des Kunden auf Identity Governance: Connected organization zu. Fügen Sie eine neue organization hinzu, und suchen Sie über Mandanten-ID oder Domäne nach Ihrem MSSP Analyst-Mandanten. Es wird empfohlen, einen separaten AD-Mandanten für Ihre MSSP-Analysten zu erstellen.
Create eines Ressourcenkatalogs in Customer Microsoft Entra ID: Identity Governance
Ressourcenkataloge sind eine logische Sammlung von Zugriffspaketen, die im AD-Mandanten des Kunden erstellt werden.
Greifen Sie dazu im AD-Mandanten des Kunden auf Identity Governance: Catalogs zu, und fügen Sie Neuen Katalog hinzu. In unserem Beispiel nennen wir es MSSP-Zugriffe.
Weitere Informationen finden Sie unter Create einem Ressourcenkatalog.
Create zugriffspakete für MSSP-Ressourcen Customer Microsoft Entra ID: Identity Governance
Zugriffspakete sind die Sammlung von Rechten und Zugriffen, die einem Anforderer nach genehmigung gewährt werden.
Greifen Sie dazu im AD-Mandanten des Kunden auf Identity Governance: Zugriffspakete zu, und fügen Sie neues Zugriffspaket hinzu. Create ein Zugriffspaket für die MSSP-genehmigenden Personen und jede Analystenebene. Die folgende Konfiguration des Analysts der Ebene 1 erstellt z. B. ein Zugriffspaket, das:
- Erfordert, dass ein Mitglied der AD-Gruppe MSSP Analyst Approvers neue Anforderungen autorisiert.
- Verfügt über jährliche Zugriffsüberprüfungen, bei denen die SOC-Analysten eine Zugriffserweiterung anfordern können.
- Kann nur von Benutzern im MSSP SOC-Mandanten angefordert werden
- Access läuft automatisch nach 365 Tagen ab
Weitere Informationen finden Sie unter Create eines neuen Zugriffspakets.
Bereitstellen eines Zugriffsanforderungslinks für MSSP-Ressourcen von Customer Microsoft Entra ID: Identity Governance
Der Link "Mein Zugriff"-Portal wird von MSSP SOC-Analysten verwendet, um Zugriff über die erstellten Zugriffspakete anzufordern. Der Link ist dauerhaft, was bedeutet, dass derselbe Link im Laufe der Zeit für neue Analysten verwendet werden kann. Die Analystanforderung wird in eine Warteschlange eingereiht, um sie von den MSSP-Analysten genehmigenden Personen zu genehmigen.
Der Link befindet sich auf der Übersichtsseite jedes Zugriffspakets.
Zugriff verwalten
Überprüfen und autorisieren Sie Zugriffsanforderungen in Customer und/oder MSSP myaccess.
Zugriffsanforderungen werden im Kunden "Mein Zugriff" von Mitgliedern der MsSP-Gruppe "Analyst Approvers" verwaltet.
Greifen Sie dazu mithilfe von auf myaccess des Kunden zu.
https://myaccess.microsoft.com/@<Customer Domain>Beispiel:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Genehmigen oder verweigern Sie Anforderungen im Abschnitt Genehmigungen der Benutzeroberfläche.
An diesem Punkt wurde Der Zugriff auf Analysten bereitgestellt, und jeder Analyst sollte auf das Microsoft Defender Portal des Kunden zugreifen können:
https://security.microsoft.com/?tid=<CustomerTenantId>mit den Berechtigungen und Rollen, denen sie zugewiesen wurden.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für