הענק גישה לספק שירותי אבטחה מנוהלים (MSSP) (תצוגה מקדימה)

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

כדי ליישם פתרון גישה מרובה נציגים, בצע את השלבים הבאים:

1. הפוך בקרת גישה מבוססת תפקיד לזמינה ב- Defender for Endpoint והתחברות לקבוצות Active Directory (AD).

2. קבע תצורה של חבילות גישה לפיקוח עבור בקשת גישה והקצאה.

3. נהל בקשות גישה וביקורות ב - Microsoft Myaccess.

הפיכת פקדי גישה המבוססים על תפקיד לזמינים ב- Microsoft Defender עבור נקודת קצה

1. Create גישה לקבוצות עבור משאבי MSSP ב- AAD של לקוח: קבוצות

   קבוצות אלה מקושרות לתפקידים שאתה יוצר ב- Defender for Endpoint. לשם כך, בדייר AD של הלקוח, צור שלוש קבוצות. בגישה לדוגמה שלנו, אנו יוצרים את הקבוצות הבאות:

   • אנליסט Tier 1
   • אנליסט Tier 2
   • מאשרים אנליסטים של MSSP

2. Create Defender עבור תפקידי נקודת קצה עבור רמות גישה מתאימות ב- Customer Defender for Endpoint.

   כדי להפוך RBAC לזמין בפורטל Microsoft Defender, >>> גש לתפקידי הרשאות של נקודות קצה של הגדרות ו"הפעל תפקידים", מחשבון משתמש עם זכויות מנהל מערכת כללי או מנהל אבטחה.

   לאחר מכן, צור תפקידי RBAC כדי לעמוד בצרכים של MSSP SOC Tier. קשר תפקידים אלה לקבוצות המשתמשים שנוצרו באמצעות "קבוצות משתמשים שהוקצו".

   שני תפקידים אפשריים:

   • אנליסטים ברמה 1

     בצע את כל הפעולות למעט תגובה חיה ונהל הגדרות אבטחה.

   • אנליסטים ברמה 2

     יכולות ברמה 1 עם תוספת לתגובה חיה

   לקבלת מידע נוסף, ראה שימוש בפקד גישה מבוסס תפקיד.

קביעת תצורה של חבילות גישה לפיקוח

1. הוספת MSSP כארגון מחובר ב- AAD של הלקוח: פיקוח על זהות

   הוספת MSSP כארגון מחובר מאפשרת ל- MSSP לבקש גישה ולהקצאת גישה.

   לשם כך, בדייר AD של הלקוח, גש לפיקוח על זהות: ארגון מחובר. הוסף ארגון חדש וחפש את דייר אנליסט MSSP באמצעות מזהה דייר או תחום. אנו מציעים ליצור דייר AD נפרד עבור אנליסטים של MSSP.

2. Create קטלוג משאבים ב- AAD של הלקוח: פיקוח על זהות

   קטלוגי משאבים הם אוסף לוגי של חבילות גישה, שנוצרו בדייר AD של הלקוח.

   לשם כך, בדייר AD של הלקוח, גש לפיקוח על זהות: קטלוגים והוסף קטלוג חדש. בדוגמה שלנו, הוא נקרא MSSP Accesses.

   

   מידע נוסף, ראה Create קטלוג של משאבים.

3. Create גישה לחבילות גישה עבור משאבי MSSP - AAD של לקוח: פיקוח על זהות

   חבילות Access הן אוסף הזכויות והגישה שמעניק המבקש עם האישור.

   לשם כך, בדייר AD של הלקוח, גש לפיקוח על זהות: חבילות Access והוסף חבילת Access חדשה. Create חבילת גישה עבור מאשרי MSSP וכל רמה אנליסטית. לדוגמה, התצורה הבאה של אנליסט ברמה 1 יוצרת חבילת גישה ש:

   • נדרש חבר בקבוצת AD אשרי אנליסט MSSP לאשר בקשות חדשות
   • בעל ביקורות גישה שנתיות, שבהן אנליסטי SOC יכולים לבקש הרחבת גישה
   • ניתן לבקש רק משתמשים בדייר MSSP SOC
   • התוקף של Access יפוג באופן אוטומטי לאחר 365 ימים

   

   לקבלת מידע נוסף, Create חבילת גישה חדשה.

4. ספק קישור לבקשת גישה למשאבי MSSP מ- AAD של לקוח: פיקוח על זהות

   הקישור לפורטל 'הגישה שלי' משמש את האנליסטים של MSSP SOC כדי לבקש גישה דרך חבילות הגישה שנוצרו. הקישור עמיד, כלומר אותו קישור עשוי לשמש לאורך זמן עבור אנליסטים חדשים. הבקשה לאנליסטים עוברת לתור לאישור על-ידי המאשרים של אנליסט MSSP.

   

   הקישור ממוקם בדף המבט הכולל של כל חבילת גישה.

נהל גישה

1. סקור ואשר בקשות גישה ב- myaccess של לקוח ו/או MSSP.

   בקשות גישה מנוהלות בלקוח My Access, על-ידי חברים בקבוצת המאשרים של אנליסט MSSP.

   לשם כך, גש לתמיכת הלקוח באמצעות: https://myaccess.microsoft.com/@<Customer Domain>.

   דוגמהhttps://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

2. אשר או דחה בקשות במקטע 'אישורים' של ממשק המשתמש.

   בשלב זה, הוקצה גישה לאנליסטים, וכל אנליסט יוכל לגשת לפורטל של Microsoft Defender הלקוח:https://security.microsoft.com/?tid=<CustomerTenantId>

נושאים קשורים

• קבל גישה לפורטל הלקוחות של MSSP
• קבע תצורה של הודעות התראה
• הבא התראות מדייר של הלקוח

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.