Tworzenie ról i zarządzanie nimi na potrzeby kontroli dostępu opartej na rolach
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ważne
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Ważne
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
W poniższych krokach przedstawiono sposób tworzenia ról w portalu usługi Microsoft Defender. Przyjęto założenie, że utworzono już grupy użytkowników usługi Microsoft Entra.
Zaloguj się do portalu usługi Microsoft Defender przy użyciu konta z przypisaną rolą administratora zabezpieczeń.
W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).
Wybierz pozycję Dodaj rolę.
Wprowadź nazwę roli, opis i uprawnienia, które chcesz przypisać do roli.
Wybierz pozycję Dalej , aby przypisać rolę do grupy zabezpieczeń Microsoft Entra.
Użyj filtru, aby wybrać grupę Microsoft Entra, do którą chcesz dodać tę rolę.
Zapisz i zamknij.
Zastosuj ustawienia konfiguracji.
Ważne
Po utworzeniu ról należy utworzyć grupę urządzeń i zapewnić dostęp do grupy urządzeń, przypisując ją do właśnie utworzonej roli.
Uwaga
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Wyświetlanie danych
- Operacje zabezpieczeń — wyświetlanie wszystkich danych operacji zabezpieczeń w portalu
- Zarządzanie lukami w zabezpieczeniach usługi Defender — wyświetlanie danych zarządzania lukami w zabezpieczeniach usługi Defender w portalu
Aktywne akcje korygowania
- Operacje zabezpieczeń — wykonywanie akcji reagowania, zatwierdzanie lub odrzucanie oczekujących akcji korygowania, zarządzanie listami dozwolonymi/zablokowanymi na potrzeby automatyzacji i wskaźników
- Zarządzanie lukami w zabezpieczeniach usługi Defender — obsługa wyjątków — tworzenie nowych wyjątków i zarządzanie aktywnymi wyjątkami
- Zarządzanie lukami w zabezpieczeniach usługi Defender — Obsługa korygowania — przesyłanie nowych żądań korygowania, tworzenie biletów i zarządzanie istniejącymi działaniami korygowania
- Zarządzanie lukami w zabezpieczeniach w usłudze Defender — obsługa aplikacji — stosowanie natychmiastowych akcji ograniczania ryzyka przez blokowanie aplikacji narażonych na zagrożenia w ramach działania korygowania oraz zarządzanie zablokowanymi aplikacjami i wykonywanie akcji odblokowywania
Punkty odniesienia zabezpieczeń
- Defender Vulnerability Management — zarządzanie profilami oceny punktów odniesienia zabezpieczeń — tworzenie profilów i zarządzanie nimi, dzięki czemu można ocenić, czy urządzenia są zgodne z punktami odniesienia branży zabezpieczeń.
Badanie alertów — zarządzanie alertami, inicjowanie zautomatyzowanych badań, uruchamianie skanów, zbieranie pakietów badania, zarządzanie tagami urządzeń i pobieranie tylko przenośnych plików wykonywalnych (PE)
Zarządzanie ustawieniami systemu portalu — konfigurowanie ustawień magazynu, ustawień interfejsu SIEM i interfejsu API intel zagrożeń (dotyczy globalnie), ustawień zaawansowanych, automatycznego przekazywania plików, ról i grup urządzeń
Uwaga
To ustawienie jest dostępne tylko w roli administratora punktu końcowego w usłudze Microsoft Defender (domyślnie).
Zarządzanie ustawieniami zabezpieczeń w usłudze Security Center — konfigurowanie ustawień pomijania alertów, zarządzanie wykluczeniami folderów dla automatyzacji, dołączanie i odłączanie urządzeń, zarządzanie powiadomieniami e-mail, zarządzanie laboratorium ewaluacji i zarządzanie listami dozwolonych/zablokowanych dla wskaźników
Możliwości odpowiedzi na żywo
-
Podstawowe polecenia:
- Rozpoczynanie sesji odpowiedzi na żywo
- Wykonywanie poleceń odpowiedzi na żywo tylko do odczytu na urządzeniu zdalnym (z wyłączeniem kopiowania i wykonywania plików)
- Pobieranie pliku z urządzenia zdalnego za pośrednictwem odpowiedzi na żywo
-
Polecenia zaawansowane :
- Pobieranie plików PE i innych niż PE ze strony pliku
- Przekazywanie pliku na urządzenie zdalne
- Wyświetlanie skryptu z biblioteki plików
- Wykonywanie skryptu na urządzeniu zdalnym z biblioteki plików
-
Podstawowe polecenia:
Aby uzyskać więcej informacji na temat dostępnych poleceń, zobacz Badanie urządzeń przy użyciu odpowiedzi na żywo.
Zaloguj się do portalu usługi Microsoft Defender przy użyciu konta z przypisaną rolą administratora zabezpieczeń.
W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).
Wybierz rolę, którą chcesz edytować.
Kliknij pozycję Edytuj.
Zmodyfikuj szczegóły lub grupy przypisane do roli.
Kliknij przycisk Zapisz i zamknij.
Zaloguj się do portalu usługi Microsoft Defender przy użyciu konta z przypisaną rolą administratora zabezpieczeń.
W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).
Wybierz rolę, którą chcesz usunąć.
Kliknij przycisk listy rozwijanej i wybierz pozycję Usuń rolę.
- Przypisywanie ról usługi Microsoft Entra do użytkowników
- Przypisywanie dostępu użytkownika
- Twórz grupy urządzeń i zarządzaj nimi
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.