Compartir a través de

Roles personalizados en el control de acceso basado en rol para XDR de Microsoft Defender

  • Artículo

Nota:

Los usuarios de XDR de Microsoft Defender ahora pueden aprovechar una solución de administración de permisos centralizada para controlar el acceso de los usuarios y los permisos en diferentes soluciones de seguridad de Microsoft. Obtenga más información sobre el control de acceso unificado basado en rol (RBAC) de Microsoft Defender XDR.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Se aplica a:

  • Microsoft Defender XDR

Hay dos tipos de roles que se pueden usar para acceder a XDR de Microsoft Defender:

  • Roles globales de Microsoft Entra
  • Roles personalizados

El acceso a XDR de Microsoft Defender se puede administrar colectivamente mediante roles globales en microsoft entra id.

Si necesita mayor flexibilidad y control sobre el acceso a datos de productos específicos, el acceso XDR de Microsoft Defender también se puede administrar con la creación de roles personalizados a través de cada portal de seguridad respectivo.

Por ejemplo, un rol personalizado creado a través de Microsoft Defender para punto de conexión permitiría el acceso a los datos pertinentes del producto, incluidos los datos de punto de conexión en el portal de Microsoft Defender. Del mismo modo, un rol personalizado creado a través de Microsoft Defender para Office 365 permitiría el acceso a los datos de producto pertinentes, incluidos los datos de colaboración & correo electrónico en el portal de Microsoft Defender.

Los usuarios con roles personalizados existentes pueden acceder a los datos en el portal de Microsoft Defender según sus permisos de carga de trabajo existentes sin que se requiera ninguna configuración adicional.

Creación y administración de roles personalizados

Los roles y permisos personalizados se pueden crear y administrar individualmente a través de cada uno de los siguientes portales de seguridad:

Cada rol personalizado creado a través de un portal individual permite el acceso a los datos del portal de productos correspondiente. Por ejemplo, un rol personalizado creado a través de Microsoft Defender para punto de conexión solo permitirá el acceso a los datos de Defender para punto de conexión.

Sugerencia

También se puede acceder a los permisos y roles a través del portal de Microsoft Defender seleccionando Permisos & roles en el panel de navegación. El acceso a Microsoft Defender for Cloud Apps se administra a través del portal de Defender for Cloud Apps y controla también el acceso a Microsoft Defender for Identity. Consulte Aplicaciones de Microsoft Defender para la nube

Nota:

Los roles personalizados creados en Microsoft Defender for Cloud Apps también tienen acceso a los datos de Microsoft Defender for Identity. Los usuarios con roles de administrador de grupo de usuarios o administrador de aplicaciones o instancias de Microsoft Defender for Cloud Apps no pueden acceder a los datos de Microsoft Defender for Cloud Apps a través del portal de Microsoft Defender.

Administración de permisos y roles en el portal de Microsoft Defender

Los permisos y roles también se pueden administrar en el portal de Microsoft Defender:

  1. Inicie sesión en el portal de Microsoft Defender en security.microsoft.com.
  2. En el panel de navegación, seleccione Permisos y roles.
  3. En el encabezado Permisos , seleccione Roles.

Nota:

Esto solo se aplica a Defender para Office 365 y Defender para punto de conexión. El acceso a otras cargas de trabajo debe realizarse en sus portales pertinentes.

Permisos y roles necesarios

En la tabla siguiente se describen los roles y permisos necesarios para acceder a cada experiencia unificada de cada carga de trabajo. Los roles definidos en la tabla siguiente hacen referencia a roles personalizados en portales individuales y no están conectados a roles globales en microsoft entra ID, aunque tenga un nombre similar.

Nota:

La administración de incidentes requiere permisos de administración para todos los productos que forman parte del incidente.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Carga de trabajo XDR de Microsoft Defender Se requiere uno de los siguientes roles para Defender para punto de conexión. Se requiere uno de los siguientes roles para Defender para Office 365. Se requiere uno de los siguientes roles para Defender for Cloud Apps
Visualización de datos de investigación:
  • Página alerta
  • Cola de alertas
  • Incidentes
  • Cola de incidentes
  • Centro de actividades
 Ver operaciones de seguridad de datos
  • Ver solo administrar alertas
  • Configuración de la organización
  • Registros de auditoría
  • Visualización de registros de auditoría de solo visualización
  • Lector de seguridad
  • Administrador de seguridad
  • Destinatarios de solo visualización
  • Administrador global
  • Administrador de seguridad
  • Administrador de cumplimiento
  • Operador de seguridad
  • Lector de seguridad
  • Lector global
Visualización de datos de búsqueda, guardado, edición y eliminación de consultas y funciones de búsqueda Ver operaciones de seguridad de datos
  • Lector de seguridad
  • Administrador de seguridad
  • Destinatarios de solo visualización
  • Administrador global
  • Administrador de seguridad
  • Administrador de cumplimiento
  • Operador de seguridad
  • Lector de seguridad
  • Lector global
Administración de alertas e incidentes Investigación de alertas
  • Administrar alertas
  • Administrador de seguridad
  • Administrador global
  • Administrador de seguridad
  • Administrador de cumplimiento
  • Operador de seguridad
  • Lector de seguridad
Corrección del centro de acciones Acciones de corrección activas: operaciones de seguridad Búsqueda y purga
Configuración de detecciones personalizadas Administrar la configuración de seguridad
  • Administrar alertas
  • Administrador de seguridad
  • Administrador global
  • Administrador de seguridad
  • Administrador de cumplimiento
  • Operador de seguridad
  • Lector de seguridad
  • Lector global
Análisis de amenazas Datos de alertas e incidentes:
  • Ver operaciones de seguridad de datos
Mitigaciones de Administración de vulnerabilidades de Defender:
  • Visualización de datos: administración de amenazas y vulnerabilidades
 Datos de alertas e incidentes:
  • Ver solo administrar alertas
  • Administrar alertas
  • Configuración de la organización
  • Registros de auditoría
  • Visualización de registros de auditoría de solo visualización
  • Lector de seguridad
  • Administrador de seguridad
  • Destinatarios de solo visualización
Intentos de correo electrónico impedidos:
  • Lector de seguridad
  • Administrador de seguridad
  • Destinatarios de solo visualización
 No disponible para los usuarios de Defender for Cloud Apps o MDI

Por ejemplo, para ver los datos de búsqueda de Microsoft Defender para punto de conexión, se requieren permisos para ver las operaciones de seguridad de datos.

De forma similar, para ver los datos de búsqueda de Microsoft Defender para Office 365, los usuarios requerirían uno de los siguientes roles:

  • Visualización de las operaciones de seguridad de datos
  • Lector de seguridad
  • Administrador de seguridad
  • Destinatarios de solo visualización

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.