ספק גישה של ספק שירות אבטחה מנוהל (MSSP)
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
חשוב
ההליכים במאמר זה משתמשים בתכונות הדורשות שימוש ב- P2 Microsoft Entra מזהה לכל משתמש במסגרת ניהול.
חל על:
כדי ליישם פתרון גישה מרובה נציגים, בצע את השלבים הבאים:
הפוך בקרת גישה מבוססת תפקיד לזמינה עבור Defender for Endpoint באמצעות פורטל Microsoft Defender והתחברות לקבוצות Microsoft Entra אלה.
קבע תצורה של ניהול זכאויות עבור משתמשים ניהול מזהה Microsoft Entra כדי לאפשר בקשות גישה והקצאה.
נהל בקשות גישה וביקורות ב - Microsoft Myaccess.
הפיכת פקדי גישה מבוססי תפקידים לזמינים Microsoft Defender עבור נקודת קצה בפורטל Microsoft Defender שלך
יצירת קבוצות גישה עבור משאבי MSSP ביישומי לקוחות Microsoft Entra מזהה: קבוצות
קבוצות אלה מקושרות לתפקידים שאתה יוצר ב- Defender for Endpoint בפורטל Microsoft Defender שלך. לשם כך, בדייר AD של הלקוח, צור שלוש קבוצות. בגישה לדוגמה שלנו, אנו יוצרים את הקבוצות הבאות:
- אנליסט Tier 1
- אנליסט Tier 2
- מאשרים אנליסטים של MSSP
צור תפקידי Defender for Endpoint עבור רמות גישה מתאימות ב- Customer Defender for Endpoint Microsoft Defender תפקידים וקבוצות בפורטל.
כדי להפוך RBAC לזמין בפורטל Microsoft Defender הלקוח, > גש לתפקידי נקודות קצה של הרשאות & > קבוצות תפקידים בעלי חשבון משתמש בעל זכויות מנהל אבטחה.
לאחר מכן, צור תפקידי RBAC כדי לעמוד בצרכים של MSSP SOC Tier. קשר תפקידים אלה לקבוצות המשתמשים שנוצרו באמצעות "קבוצות משתמשים שהוקצו".
שני תפקידים אפשריים:
אנליסטים ברמה 1
בצע את כל הפעולות למעט תגובה חיה ונהל הגדרות אבטחה.אנליסטים ברמה 2
יכולות ברמה 1 עם תוספת לתגובה חיה.
לקבלת מידע נוסף, ראה ניהול הגישה לפורטל באמצעות בקרת גישה מבוססת תפקידים.
הוספת MSSP כארגון מחובר ביישומי לקוחות Microsoft Entra מזהה: פיקוח על זהות
הוספת MSSP כארגון מחובר מאפשרת ל- MSSP לבקש גישה ולהקצאת גישה.
לשם כך, בדייר AD של הלקוח, גש לפיקוח על זהות: ארגון מחובר. הוסף ארגון חדש וחפש את דייר אנליסט MSSP באמצעות מזהה דייר או תחום. אנו מציעים ליצור דייר AD נפרד עבור אנליסטים של MSSP.
יצירת קטלוג משאבים ב'ניהול Microsoft Entra מזהה: 'פיקוח על זהות'
קטלוגי משאבים הם אוסף לוגי של חבילות גישה, שנוצרו בדייר AD של הלקוח.
לשם כך, בדייר AD של הלקוח, גש לפיקוח על זהות: קטלוגים והוסף קטלוג חדש. בדוגמה שלנו, אנחנו נ קרא לזה MSSP Accesses.
מידע נוסף, ראה יצירת קטלוג של משאבים.
יצירת חבילות גישה עבור משאבי MSSP - Microsoft Entra מזהה: פיקוח על זהות
חבילות Access הן אוסף הזכויות והגישה שמעניק המבקש בעת האישור.
לשם כך, בדייר AD של הלקוח, גש לפיקוח על זהות: חבילות Access והוסף חבילת Access חדשה. צור חבילת גישה עבור מאשרי MSSP וכל רמה אנליסטית. לדוגמה, התצורה הבאה של אנליסט ברמה 1 יוצרת חבילת גישה ש:
- נדרש חבר בקבוצת AD אשרי אנליסט MSSP לאשר בקשות חדשות
- בעל ביקורות גישה שנתיות, שבהן אנליסטי SOC יכולים לבקש הרחבת גישה
- ניתן לבקש רק משתמשים בדייר MSSP SOC
- התוקף של Access יפוג באופן אוטומטי לאחר 365 ימים
לקבלת מידע נוסף, ראה יצירת חבילת גישה חדשה.
ספק קישור לבקשת גישה למשאבי MSSP מרשימת לקוחות Microsoft Entra מזהה: פיקוח על זהות
הקישור לפורטל 'הגישה שלי' משמש את האנליסטים של MSSP SOC כדי לבקש גישה דרך חבילות הגישה שנוצרו. הקישור עמיד, כלומר אותו קישור עשוי לשמש לאורך זמן עבור אנליסטים חדשים. הבקשה לאנליסטים עוברת לתור לאישור על-ידי המאשרים של אנליסט MSSP.
הקישור ממוקם בדף המבט הכולל של כל חבילת גישה.
סקור ואשר בקשות גישה ב- myaccess של לקוח ו/או MSSP.
בקשות גישה מנוהלות בלקוח My Access, על-ידי חברים בקבוצת המאשרים של אנליסט MSSP.
לשם כך, גש לתמיכת הלקוח באמצעות:
https://myaccess.microsoft.com/@<Customer Domain>.דוגמה
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/אשר או דחה בקשות במקטע 'אישורים' של ממשק המשתמש.
בשלב זה, הוקצה גישה לאנליסטים, וכל אנליסט יוכל לגשת לפורטל של Microsoft Defender הלקוח:
https://security.microsoft.com/?tid=<CustomerTenantId>עם ההרשאות והתפקידים שהוקצו להם.
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.