הענק גישה לספק שירותי אבטחה מנוהלים (MSSP) (תצוגה מקדימה)
חל על:
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
כדי ליישם פתרון גישה מרובה נציגים, בצע את השלבים הבאים:
הפוך בקרת גישה מבוססת תפקיד לזמינה ב- Defender for Endpoint והתחברות לקבוצות Microsoft Entra ID.
קבע תצורה של חבילות גישה לפיקוח עבור בקשת גישה והקצאה.
נהל בקשות גישה וביקורות ב - Microsoft MyAccess.
הפיכת פקדי גישה מבוססי תפקידים לזמינים ב- Microsoft Defender for Endpoint
יצירת קבוצות גישה עבור משאבי MSSP במזהה אינטרא-לקוח: קבוצות
קבוצות אלה מקושרות לתפקידים שאתה יוצר ב- Defender for Endpoint. לשם כך, בדייר של Entra ID של הלקוח, צור שלוש קבוצות. בגישה לדוגמה שלנו, אנו יוצרים את הקבוצות הבאות:
- אנליסט Tier 1
- אנליסט Tier 2
- מאשרים אנליסטים של MSSP
צור תפקידי Defender for Endpoint עבור רמות גישה מתאימות ב- Customer Defender for Endpoint.
כדי להפוך RBAC לזמין בפורטל Microsoft Defender של הלקוח, >>> עבור אל הגדרות תפקידי הרשאות של נקודותקצה ולאחר מכןבחר הפעל תפקידים.
לאחר מכן, צור תפקידי RBAC כדי לעמוד בצרכים של MSSP SOC Tier. קשר תפקידים אלה לקבוצות המשתמשים שנוצרו באמצעות קבוצות משתמשים שהוקצו. קיימים שני תפקידים אפשריים: אנליסטים ברמה 1, ולאנליסטים ברמה 2.
אנליסטים ברמה 1 - בצע את כל הפעולות למעט תגובה חיה ונהל הגדרות אבטחה.
אנליסטים ברמה 2 - יכולות ברמה 1 עם תוספת לתגובה חיה
לקבלת מידע נוסף, ראה שימוש בפקד גישה מבוסס תפקיד.
קביעת תצורה של חבילות גישה לפיקוח
הוספת MSSP כארגון מחובר במזהה אינטרס של לקוח: פיקוח על זהות
הוספת MSSP כארגון מחובר מאפשרת ל- MSSP לבקש גישה ולהקצאת גישה.
לשם כך, בדייר Entra ID של הלקוח, גש לפיקוח על זהות: ארגון מחובר. הוסף ארגון חדש וחפש את דייר אנליסט MSSP באמצעות מזהה דייר או תחום. אנו מציעים ליצור דייר Entra ID נפרד עבור מנתחי MSSP שלך.
יצירת קטלוג משאבים במזהה אינטרה של לקוח: פיקוח על זהות
קטלוגי משאבים הם אוסף לוגי של חבילות גישה, שנוצרו בדייר Entra ID של הלקוח.
לשם כך, בדייר Entra ID של הלקוח, גש לפיקוח על זהות: קטלוגים והוסף קטלוג חדש. בדוגמה שלנו, הוא נקרא MSSP Accesses.
מידע נוסף, ראה יצירת קטלוג של משאבים.
יצירת חבילות גישה עבור MSSP - מזהה אינטרא של לקוח: פיקוח על זהות
חבילות Access הן אוסף הזכויות והגישה שמעניק המבקש עם האישור.
לשם כך, בדייר Entra ID של הלקוח, גש אל Identity Governance: Access Packages והוסף חבילת Access חדשה. צור חבילת גישה עבור מאשרי MSSP וכל רמה אנליסטית. לדוגמה, התצורה הבאה של אנליסט ברמה 1 יוצרת חבילת גישה ש:
- נדרש חבר בקבוצה Entra ID אשרי אנליסט MSSP לאשר בקשות חדשות
- בעל ביקורות גישה שנתיות, שבהן אנליסטי SOC יכולים לבקש הרחבת גישה
- ניתן לבקש רק משתמשים בדייר MSSP SOC
- התוקף של Access יפוג באופן אוטומטי לאחר 365 ימים
לקבלת מידע נוסף, ראה יצירת חבילת גישה חדשה.
ספק קישור לבקשת גישה למשאבי MSSP ממזהה אינטרא-לקוח: פיקוח על זהות
הקישור לפורטל 'הגישה שלי' משמש את האנליסטים של MSSP SOC כדי לבקש גישה דרך חבילות הגישה שנוצרו. הקישור עמיד, כלומר אותו קישור עשוי לשמש לאורך זמן עבור אנליסטים חדשים. הבקשה לאנליסטים עוברת לתור לאישור על-ידי המאשרים של אנליסט MSSP.
הקישור ממוקם בדף המבט הכולל של כל חבילת גישה.
נהל גישה
סקור ואשר בקשות גישה ב- MyAccess של לקוח ו/או MSSP.
בקשות גישה מנוהלות בלקוח My Access, על-ידי חברים בקבוצת המאשרים של אנליסט MSSP.
לשם כך, גש אל MyAccess של הלקוח באמצעות:
https://myaccess.microsoft.com/@<Customer Domain>.דוגמה
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/אשר או דחה בקשות במקטע 'אישורים' של ממשק המשתמש.
בשלב זה, מוקצית גישה לאנליסטים, וכל אנליסט יוכל לגשת לפורטל Microsoft Defender של הלקוח:
https://security.microsoft.com/?tid=<CustomerTenantId>
מאמרים קשורים
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.