Grupos de roles de Microsoft Defender for Identity
Microsoft Defender for Identity ofrece seguridad basada en roles para salvaguardar los datos de acuerdo con las necesidades específicas de seguridad y cumplimiento de su organización. Se recomienda usar grupos de roles para administrar el acceso a Defender for Identity, separar las responsabilidades en todo el equipo de seguridad y conceder solo la cantidad de acceso que los usuarios necesitan para realizar sus trabajos.
Control de acceso basado en rol (RBAC) unificado
Los usuarios que ya son Administradores globales o Administradores de seguridad en Microsoft Entra ID del inquilino también son automáticamente administradores de Defender for Identity. Los administradores globales y de seguridad de Microsoft Entra no necesitan permisos adicionales para obtener acceso a Defender for Identity.
Para otros usuarios, habilite y use el control de acceso basado en roles (RBAC) de Microsoft 365 para crear roles personalizados y para admitir más roles de Entra ID, como operador de seguridad o lector de seguridad de forma predeterminada, para administrar el acceso a Defender for Identity.
Al crear los roles personalizados, asegúrese de aplicar los permisos enumerados en la tabla siguiente:
| Nivel de acceso de Defender for Identity | Permisos RBAC unificados de Microsoft 365 mínimos necesarios |
|---|---|
| Administradores | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Usuarios | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Lectores | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Para obtener más información, consulte Roles personalizados en el control de acceso basado en roles para XDR de Microsoft Defender y Creación de roles personalizados con RBAC unificado de XDR de Microsoft Defender.
Nota:
La información incluida en el Registro de actividad de Defender for Cloud Apps puede seguir conteniendo datos de Defender for Identity. Este contenido cumple los permisos existentes de Defender for Cloud Apps.
Excepción: si ha configurado la implementación con ámbito para alertas de Microsoft Defender for Identity en el portal de Microsoft Defender for Cloud Apps, estos permisos no se transfieren y tendrá que conceder explícitamente los permisos de Operaciones de seguridad \ Datos de seguridad \ Aspectos básicos de seguridad (lectura) para los usuarios del portal pertinentes.
Permisos requeridos para Defender for Identity en Microsoft Defender XDR
En la tabla siguiente se detallan los permisos específicos necesarios para las actividades de Defender for Identity en Microsoft Defender XDR.
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
| Actividad | Permisos mínimos requeridos |
|---|---|
| Incorporar Defender for Identity (crear área de trabajo) | Administrador de seguridad |
| Configuración de Defender for Identity | Uno de los siguientes roles de Microsoft Entra: - Administrador de seguridad - Operador de seguridad O Los siguientes permisos de RBAC unificados: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Ver la configuración de Defender for Identity | Uno de los siguientes roles de Microsoft Entra: - Lector global - Lector de seguridad O Los siguientes permisos de RBAC unificados: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Administrar alertas y actividades de seguridad de Defender for Identity | Uno de los siguientes roles de Microsoft Entra: - Operador de seguridad O Los siguientes permisos de RBAC unificados: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Ver las evaluaciones de seguridad de Defender for Identity (ahora parte de Puntuación de seguridad de Microsoft) |
Permisos para acceder a la puntuación de seguridad de Microsoft Y Los siguientes permisos de RBAC unificados: Security operations/Security data /Security data basics (Read) |
| Ver la página Activos/Identidades | Permisos para acceder a aplicaciones de Defender for Cloud O Uno de los roles de Microsoft Entra requeridos por Microsoft Defender XDR |
| Realizar acciones de respuesta de Defender for Identity | Un rol personalizado definido con permisos para Respuesta (administrar) O Uno de los siguientes roles de Microsoft Entra: - Operador de seguridad |
Grupos de seguridad de Defender for Identity
Defender for Identity proporciona los siguientes grupos de seguridad para ayudar a administrar el acceso a los recursos de Defender for Identity:
- Administradores de Azure ATP (nombre del área de trabajo)
- Usuarios de Azure ATP (nombre del área de trabajo)
- Visores de Azure ATP (nombre del área de trabajo)
En la tabla siguiente se enumeran las actividades disponibles para cada grupo de seguridad:
| Actividad | Administradores de Azure ATP (nombre del área de trabajo) | Usuarios de Azure ATP (nombre del área de trabajo) | Visores de Azure ATP (nombre del área de trabajo) |
|---|---|---|---|
| Cambiar el estado de problema de mantenimiento | Disponible | No disponible | No disponible |
| Cambiar el estado de la alerta de seguridad (volver a abrir, cerrar, excluir, suprimir) | Disponible | Disponible | No disponible |
| Eliminación del área de trabajo | Disponible | No disponible | No disponible |
| Descargar un informe | Disponible | Disponible | Disponible |
| Inicio de sesión | Disponible | Disponible | Disponible |
| Compartir/Exportar alertas de seguridad (por correo electrónico, obtener vínculo, detalles de descarga) | Disponible | Disponible | Disponible |
| Actualizar la configuración de Defender for Identity (actualizaciones) | Disponible | No disponible | No disponible |
| Actualizar la configuración de Defender for Identity (etiquetas de entidad, incluidas las confidenciales y honeytoken) | Disponible | Disponible | No disponible |
| Actualizar la configuración de Defender for Identity (exclusiones) | Disponible | Disponible | No disponible |
| Actualizar la configuración de Defender for Identity (idioma) | Disponible | Disponible | No disponible |
| Actualizar la configuración de Defender for Identity (notificaciones, incluidos el correo electrónico y syslog) | Disponible | Disponible | No disponible |
| Actualizar la configuración de Defender for Identity (detecciones en versión preliminar) | Disponible | Disponible | No disponible |
| Actualizar la configuración de Defender for Identity (informes programados) | Disponible | Disponible | No disponible |
| Actualizar la configuración de Defender for Identity (orígenes de datos, incluidos los servicios de directorio, SIEM, VPN, Microsoft Defender para punto de conexión | Disponible | No disponible | No disponible |
| Actualizar la configuración de Defender for Identity (administración de sensores, incluida la descarga de software, la regeneración de claves, la configuración, la eliminación) | Disponible | No disponible | No disponible |
| Visualización de perfiles de entidad y alertas de seguridad | Disponible | Disponible | Disponible |
Agregar y quitar usuarios
Defender for Identity usa grupos de seguridad de Microsoft Entra como base para los grupos de roles.
Administre los grupos de roles desde la página de administración de grupos en Azure Portal. Solo los usuarios de Microsoft Entra se pueden agregar o quitar de grupos de seguridad.