Compartir vía


Concesión de acceso al proveedor de servicios de seguridad administrados (MSSP) (versión preliminar)

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Para implementar una solución de acceso delegado multiinquilino, siga estos pasos:

  1. Habilite el control de acceso basado en rol en Defender para punto de conexión y conéctese con grupos de identificadores de Microsoft Entra.

  2. Configure los paquetes de acceso de gobernanza para la solicitud de acceso y el aprovisionamiento.

  3. Administrar solicitudes de acceso y auditorías en Microsoft MyAccess.

Habilitación de controles de acceso basados en rol en Microsoft Defender para punto de conexión

  1. Creación de grupos de acceso para recursos de MSSP en Customer Entra ID: Groups

    Estos grupos están vinculados a los roles que se crean en Defender para punto de conexión. Para ello, en el inquilino entra id. del cliente, cree tres grupos. En nuestro enfoque de ejemplo, creamos los siguientes grupos:

    • Analista de nivel 1
    • Analista de nivel 2
    • Aprobadores de analistas de MSSP
  2. Cree roles de Defender para punto de conexión para los niveles de acceso adecuados en Customer Defender para punto de conexión.

    Para habilitar RBAC en el portal de Microsoft Defender del cliente, vaya a Configuración> Roles depermisos> depuntos de conexión>y, a continuación, seleccione Activar roles.

    A continuación, cree roles de RBAC para satisfacer las necesidades del nivel SOC de MSSP. Vincule estos roles a los grupos de usuarios creados a través de grupos de usuarios asignados. Hay dos roles posibles: Analistas de nivel 1 y Analistas de nivel 2.

    • Analistas de nivel 1 : realice todas las acciones excepto la respuesta en directo y administre la configuración de seguridad.

    • Analistas de nivel 2 : funcionalidades de nivel 1 con la adición a la respuesta activa

    Para obtener más información, consulte Uso del control de acceso basado en rol.

Configuración de paquetes de acceso de gobernanza

  1. Agregar MSSP como organización conectada en Customer Entra ID: Identity Governance

    Agregar MSSP como una organización conectada permite al MSSP solicitar y tener el acceso aprovisionado.

    Para ello, en el inquilino entra id. del cliente, acceda a Identity Governance: Connected organization (Gobernanza de identidades: organización conectada). Agregue una nueva organización y busque el inquilino de MSSP Analyst a través del identificador de inquilino o dominio. Se recomienda crear un inquilino de Entra ID independiente para los analistas de MSSP.

  2. Creación de un catálogo de recursos en Customer Entra ID: Identity Governance

    Los catálogos de recursos son una colección lógica de paquetes de acceso, creada en el inquilino entra id. del cliente.

    Para ello, en el inquilino entra id. del cliente, acceda a Identity Governance: Catalogs (Gobernanza de identidades: catálogos) y agregue New Catalog (Nuevo catálogo). En nuestro ejemplo, se llama MSSP Accesses.

    Página del nuevo catálogo

    Para más información, consulte Creación de un catálogo de recursos.

  3. Creación de paquetes de acceso para recursos MSSP Customer Entra ID: Identity Governance

    Los paquetes de acceso son la recopilación de derechos y accesos que se conceden a un solicitante tras la aprobación.

    Para ello, en el inquilino entra id. del cliente, acceda a Identity Governance: Access Packages y agregue New Access Package. Cree un paquete de acceso para los aprobadores de MSSP y cada nivel de analista. Por ejemplo, la siguiente configuración de analista de nivel 1 crea un paquete de acceso que:

    • Requiere que un miembro del grupo de id. de Entra , los aprobadores de analistas de MSSP , autoricen nuevas solicitudes.
    • Tiene revisiones de acceso anuales, donde los analistas de SOC pueden solicitar una extensión de acceso.
    • Solo los usuarios pueden solicitarlo en el inquilino de SOC de MSSP.
    • El acceso automático expira después de 365 días

    Para obtener más información, consulte Creación de un nuevo paquete de acceso.

  4. Proporcionar el vínculo de solicitud de acceso a los recursos de MSSP desde customer entra ID: Identity Governance

    Los analistas de MSSP SOC usan el vínculo del portal Mi acceso para solicitar acceso a través de los paquetes de acceso creados. El vínculo es duradero, lo que significa que el mismo vínculo se puede usar con el tiempo para los nuevos analistas. La solicitud de analista entra en una cola para su aprobación por parte de los aprobadores de analistas de MSSP.

    El vínculo se encuentra en la página de información general de cada paquete de acceso.

Administrar el acceso

  1. Revise y autorice las solicitudes de acceso en MyAccess del cliente o MSSP.

    Las solicitudes de acceso se administran en el cliente Mi acceso, por miembros del grupo de aprobadores de analistas de MSSP.

    Para ello, acceda a MyAccess del cliente mediante: https://myaccess.microsoft.com/@<Customer Domain>.

    Ejemplo: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Aprobar o denegar solicitudes en la sección Aprobaciones de la interfaz de usuario.

    En este momento, se aprovisiona el acceso de analista y cada analista debe poder acceder al portal de Microsoft Defender del cliente: https://security.microsoft.com/?tid=<CustomerTenantId>

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.