Questo articolo descrive i requisiti e i prerequisiti per l'uso di Gestione dell'esposizione in Microsoft Security.
Autorizzazioni
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Gestire le autorizzazioni con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato
Microsoft Defender XDR controllo degli accessi in base al ruolo unificato consente di creare ruoli personalizzati con autorizzazioni specifiche per Gestione esposizione. Queste autorizzazioni si trovano nella categoria Comportamento di sicurezza in Defender XDR modello di autorizzazioni Controllo degli accessi in base al ruolo unificato e sono denominate:
Gestione dell'esposizione (lettura) per l'accesso in sola lettura
Gestione dell'esposizione (gestione) per l'accesso per gestire le esperienze di Gestione esposizione
Per le azioni più sensibili in Gestione esposizione, gli utenti devono disporre dell'autorizzazione Impostazioni di sicurezza di base (gestione) che si trova nella categoria Autorizzazioni e impostazioni .
Per accedere ai dati e alle azioni di Gestione esposizione, un ruolo personalizzato in Defender XDR controllo degli accessi in base al ruolo unificato con una delle autorizzazioni indicate qui, deve essere assegnato all'origine dati Gestione dell'esposizione in Microsoft Security.
Nella tabella seguente vengono evidenziati gli elementi a cui un utente può accedere o eseguire con ognuna delle autorizzazioni:
Nome autorizzazione
Azioni
Gestione dell'esposizione (lettura)
Accesso a tutte le esperienze di Gestione esposizione e accesso in lettura a tutti i dati disponibili
Gestione dell'esposizione (gestione)
Oltre all'accesso in lettura, l'utente può impostare il punteggio di destinazione dell'iniziativa, modificare i valori delle metriche, gestire le raccomandazioni (potrebbe richiedere autorizzazioni aggiuntive correlate alle azioni specifiche necessarie per l'esecuzione)
Impostazioni di sicurezza di base (gestione)
Connettere o modificare il fornitore all'iniziativa External Attack Surface Management
Per l'accesso completo Gestione dell'esposizione in Microsoft Security, i ruoli utente devono accedere a tutti i gruppi di dispositivi defender per endpoint.
Gli utenti con accesso limitato ad alcuni gruppi di dispositivi dell'organizzazione possono:
Accedere ai dati di Informazioni dettagliate sull'esposizione globale.
Visualizzare gli asset interessati in metriche, raccomandazioni, eventi e cronologia delle iniziative solo all'interno dell'ambito.
Visualizzare i dispositivi nei percorsi di attacco che si trovano all'interno del relativo ambito.
Accedere alla mappa della superficie di attacco Gestione dell'esposizione in Security e agli schemi di ricerca avanzati (ExposureGraphNodes ed ExposureGraphEdges) per i gruppi di dispositivi a cui hanno accesso.
Nota
L'accesso con autorizzazioni di gestione per la gestione degli asset critici, in Impostazioni> di sistema> Microsoft Defender XDR richiede agli utenti di avere accesso a tutti i gruppi di dispositivi defender per endpoint.
Accesso con ruoli Microsoft Entra ID
Un'alternativa alla gestione dell'accesso con Microsoft Defender XDR autorizzazioni controllo degli accessi in base al ruolo unificato, l'accesso ai dati e alle azioni Gestione dell'esposizione in Microsoft Security è possibile anche con i ruoli Microsoft Entra ID. Per creare un'area di lavoro Gestione dell'esposizione in Security, è necessario un tenant con almeno un Amministrazione globale o un Amministrazione di sicurezza.
Per l'accesso completo, gli utenti devono avere uno dei ruoli di Microsoft Entra ID seguenti:
Amministrazione globale (autorizzazioni di lettura e scrittura)
Amministrazione di sicurezza (autorizzazioni di lettura e scrittura)
Operatore di sicurezza (autorizzazioni di lettura e scrittura limitate)
Lettore globale (autorizzazioni di lettura)
Lettore di sicurezza (autorizzazioni di lettura)
I livelli di autorizzazione vengono riepilogati nella tabella .
Azione
Amministratore globale
Lettore globale
Amministratore della sicurezza
Operatore della sicurezza
Ruolo con autorizzazioni di lettura per la sicurezza
Concedere autorizzazioni ad altri utenti
✔
-
-
-
-
Eseguire l'onboarding dell'organizzazione nell'iniziativa Gestione della superficie di attacco esterna di Microsoft Defender (EASM)
✔
✔
✔
✔
✔
Contrassegnare l'iniziativa come preferita
✔
✔
✔
✔
✔
Impostare il punteggio di destinazione dell'iniziativa
✔
-
✔
-
-
Visualizzare le iniziative generali
✔
✔
✔
✔
✔
Condividi metrica/raccomandazioni
✔
✔
✔
✔
✔
Modificare il peso delle metriche
✔
-
✔
-
-
Metrica di esportazione (PDF)
✔
✔
✔
✔
✔
Visualizzare le metriche
✔
✔
✔
✔
✔
Esportare gli asset (metrica/raccomandazione)
✔
✔
✔
✔
✔
Gestire le raccomandazioni
✔
-
✔
-
-
Visualizza le raccomandazioni
✔
✔
✔
✔
✔
Esportare eventi
✔
✔
✔
✔
✔
Modificare il livello di criticità
✔
-
✔
✔
-
Impostare la regola degli asset critici
✔
-
✔
-
-
Creare una regola di criticità
✔
-
✔
-
-
Attivare/disattivare la regola di criticità
✔
-
✔
✔
-
Eseguire una query sui dati del grafico di esposizione
✔
✔
✔
✔
✔
Configurare i connettori dati
✔
✔
✔
Visualizzare i connettori dati
✔
✔
✔
✔
✔
Requisiti per il browser
È possibile accedere a Gestione dell'esposizione in Security nel portale di Microsoft Defender usando Microsoft Edge, Internet Explorer 11 o qualsiasi Web browser conforme a HTML 5.
Quando si classificano gli asset critici, supportiamo i dispositivi che eseguono la versione 10.3740.XXXX del sensore Defender per endpoint o versioni successive. È consigliabile eseguire una versione più recente del sensore, come indicato nella pagina Novità di Defender per endpoint.
È possibile controllare la versione del sensore in esecuzione di un dispositivo come indicato di seguito:
In un dispositivo specifico passare al file MsSense.exe in C:\Programmi\Windows Defender Advanced Threat Protection. Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà. Nella scheda Dettagli controllare la versione del file.
Per più dispositivi, è più semplice eseguire una query Kusto di ricerca avanzata per controllare le versioni dei sensori del dispositivo, come indicato di seguito:
DeviceInfo | project DeviceName, ClientVersion
Ottenere supporto
Per ottenere supporto, selezionare l'icona del punto interrogativo della Guida nella barra degli strumenti Sicurezza Microsoft.
Per ottenere queste credenziali di Microsoft Applied Skills, gli studenti devono dimostrare di saper usare Microsoft Defender XDR per rilevare e rispondere alle minacce informatiche. I candidati per queste credenziali devono avere familiarità con l'analisi e la raccolta di prove relative agli attacchi negli endpoint. Devono anche avere esperienza nell'uso di Microsoft Defender per endpoint e del Linguaggio di query Kusto (KQL).