Freigeben über

Gewähren von MSSP-Zugriff (Managed Security Service Provider) (Vorschau)

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Führen Sie die folgenden Schritte aus, um eine lösung für mehrinstanzenfähigen delegierten Zugriff zu implementieren:

  1. Aktivieren Sie die rollenbasierte Zugriffssteuerung in Defender für Endpunkt, und stellen Sie eine Verbindung mit Microsoft Entra-ID-Gruppen her.

  2. Konfigurieren Sie Governance-Zugriffspakete für Die Zugriffsanforderung und -bereitstellung.

  3. Verwalten von Zugriffsanforderungen und Überwachungen in Microsoft MyAccess.

Aktivieren von rollenbasierten Zugriffssteuerungen in Microsoft Defender für Endpunkt

  1. Erstellen von Zugriffsgruppen für MSSP-Ressourcen in Customer Entra ID: Groups

    Diese Gruppen sind mit den Rollen verknüpft, die Sie in Defender für Endpunkt erstellen. Erstellen Sie dazu im Entra ID-Mandanten des Kunden drei Gruppen. In unserem Beispielansatz erstellen wir die folgenden Gruppen:

    • Analyst der Ebene 1
    • Tier 2 Analyst
    • Genehmigende Personen des MSSP-Analysten

  2. Erstellen Sie Defender für Endpunkt-Rollen für die entsprechenden Zugriffsebenen in Customer Defender für Endpunkt.

    Um RBAC im Microsoft Defender-Portal des Kunden zu aktivieren, wechseln Sie zu Einstellungen>Endpunkte>Berechtigungen>Rollen, und wählen Sie dann Rollen aktivieren aus.

    Erstellen Sie dann RBAC-Rollen, um die Anforderungen der MSSP-SOC-Ebene zu erfüllen. Verknüpfen Sie diese Rollen über zugewiesene Benutzergruppen mit den erstellten Benutzergruppen. Es gibt zwei mögliche Rollen: Tier 1 Analysts und Tier 2 Analysts.

    • Analysten der Ebene 1 : Führen Sie alle Aktionen mit Ausnahme von Liveantworten aus und verwalten Sie Sicherheitseinstellungen.

    • Tier 2 Analysts – Tier 1-Funktionen mit der Ergänzung zur Liveantwort

    Weitere Informationen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung.

Konfigurieren von Governancezugriffspaketen

  1. Hinzufügen von MSSP als verbundene Organisation in Customer Entra ID: Identity Governance

    Das Hinzufügen des MSSP als verbundene Organisation ermöglicht es dem MSSP, den Zugriff anzufordern und bereitzustellen.

    Greifen Sie dazu im Entra ID-Mandanten des Kunden auf Identity Governance: Connected organization (Identitätsgovernance: Verbundene Organisation) zu. Fügen Sie eine neue Organisation hinzu, und suchen Sie über Mandanten-ID oder Domäne nach Ihrem MSSP Analyst-Mandanten. Es wird empfohlen, einen separaten Entra ID-Mandanten für Ihre MSSP-Analysten zu erstellen.

  2. Erstellen eines Ressourcenkatalogs in Customer Entra ID: Identity Governance

    Ressourcenkataloge sind eine logische Sammlung von Zugriffspaketen, die im Entra ID-Mandanten des Kunden erstellt werden.

    Greifen Sie dazu im Entra ID-Mandanten des Kunden auf Identity Governance: Catalogs zu, und fügen Sie Neuen Katalog hinzu. In unserem Beispiel heißt es MSSP-Zugriffe.

    Die neue Katalogseite

    Weitere Informationen finden Sie unter Erstellen eines Ressourcenkatalogs.

  3. Erstellen von Zugriffspaketen für MSSP-Ressourcen Customer Entra ID: Identity Governance

    Zugriffspakete sind die Sammlung von Rechten und Zugriffen, die einem Anforderer nach genehmigung gewährt werden.

    Greifen Sie dazu im Entra ID-Mandanten des Kunden auf Identity Governance: Zugriffspakete zu, und fügen Sie neues Zugriffspaket hinzu. Erstellen Sie ein Zugriffspaket für die MSSP-genehmigenden Personen und jede Analystenebene. Die folgende Konfiguration des Analysts der Ebene 1 erstellt z. B. ein Zugriffspaket, das:

    • Erfordert ein Mitglied der Entra-ID-Gruppe MSSP Analyst Approvers , um neue Anforderungen zu autorisieren.
    • Verfügt über jährliche Zugriffsüberprüfungen, bei denen die SOC-Analysten eine Zugriffserweiterung anfordern können.
    • Kann nur von Benutzern im MSSP SOC-Mandanten angefordert werden
    • Access läuft automatisch nach 365 Tagen ab

    Seite

    Weitere Informationen finden Sie unter Erstellen eines neuen Zugriffspakets.

  4. Bereitstellen eines Zugriffsanforderungslinks für MSSP-Ressourcen von Customer Entra ID: Identity Governance

    Der Link "Mein Zugriff"-Portal wird von MSSP SOC-Analysten verwendet, um Zugriff über die erstellten Zugriffspakete anzufordern. Der Link ist dauerhaft, was bedeutet, dass derselbe Link im Laufe der Zeit für neue Analysten verwendet werden kann. Die Analystanforderung wird in eine Warteschlange eingereiht, um sie von den MSSP-Analysten genehmigenden Personen zu genehmigen.

    Seite

    Der Link befindet sich auf der Übersichtsseite jedes Zugriffspakets.

Zugriff verwalten

  1. Überprüfen und autorisieren Sie Zugriffsanforderungen in Customer und/oder MSSP MyAccess.

    Zugriffsanforderungen werden im Kunden "Mein Zugriff" von Mitgliedern der MsSP-Gruppe "Analyst Approvers" verwaltet.

    Greifen Sie dazu auf myAccess des Kunden zu https://myaccess.microsoft.com/@<Customer Domain>: .

    Beispiel: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Genehmigen oder verweigern Sie Anforderungen im Abschnitt Genehmigungen der Benutzeroberfläche.

    An diesem Punkt wird der Zugriff auf Analysten bereitgestellt, und jeder Analyst sollte auf das Microsoft Defender-Portal des Kunden zugreifen können: https://security.microsoft.com/?tid=<CustomerTenantId>

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.