Zapewnianie dostępu do zarządzanego dostawcy usług zabezpieczeń (MSSP)
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Dotyczy:
Aby zaimplementować wielodostępne rozwiązanie dostępu delegowanego, wykonaj następujące kroki:
Włącz kontrolę dostępu opartą na rolach dla usługi Defender for Endpoint za pośrednictwem portalu usługi Microsoft Defender i połącz się z grupami Microsoft Entra.
Skonfiguruj zarządzanie uprawnieniami dla użytkowników zewnętrznych w ramach ładu identyfikatora Entra firmy Microsoft, aby włączyć żądania dostępu i aprowizację.
Zarządzanie żądaniami dostępu i inspekcjami w usłudze Microsoft Myaccess.
Włączanie kontroli dostępu opartej na rolach w usłudze Microsoft Defender dla punktu końcowego w portalu usługi Microsoft Defender
Tworzenie grup dostępu dla zasobów mssp w identyfikatorze Klienta Microsoft Entra: grupy
Te grupy są połączone z rolami utworzonymi w usłudze Defender for Endpoint w portalu usługi Microsoft Defender. W tym celu w dzierżawie usługi AD klienta utwórz trzy grupy. W naszym przykładowym podejściu utworzymy następujące grupy:
- Analityk warstwy 1
- Analityk warstwy 2
- Osoby zatwierdzające analityków MSSP
Utwórz role usługi Defender for Endpoint dla odpowiednich poziomów dostępu w usłudze Customer Defender for Endpoint w rolach i grupach portalu usługi Microsoft Defender.
Aby włączyć kontrolę dostępu opartą na rolach w portalu usługi Microsoft Defender klienta, uzyskaj dostęp do ról punktów końcowych uprawnień & grup > role przy użyciu konta użytkownika z prawami > administratora zabezpieczeń.
Następnie utwórz role RBAC w celu spełnienia potrzeb warstwy SOC programu MSSP. Połącz te role z utworzonymi grupami użytkowników za pomocą polecenia "Przypisane grupy użytkowników".
Dwie możliwe role:
Analitycy warstwy 1
Wykonaj wszystkie akcje z wyjątkiem odpowiedzi na żywo i zarządzaj ustawieniami zabezpieczeń.Analitycy warstwy 2
Możliwości warstwy 1 z dodatkiem do odpowiedzi na żywo.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach.
Konfigurowanie pakietów dostępu do ładu
Dodawanie dostawcy MSSP jako połączonej organizacji w usłudze Microsoft Entra ID klienta: Zarządzanie tożsamościami
Dodanie dostawcy MSSP jako połączonej organizacji umożliwia dostawcy MSSP żądanie i aprowizowanie dostępu.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Połączona organizacja. Dodaj nową organizację i wyszukaj dzierżawę analityka MSSP za pośrednictwem identyfikatora dzierżawy lub domeny. Zalecamy utworzenie oddzielnej dzierżawy usługi AD dla analityków MSSP.
Tworzenie wykazu zasobów w usłudze Customer Microsoft Entra ID: Identity Governance
Wykazy zasobów to logiczna kolekcja pakietów dostępu utworzona w dzierżawie usługi AD klienta.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Catalogs i dodaj nowy wykaz. W naszym przykładzie będziemy nazywać go MSSP Accesses.
Więcej informacji znajduje się w temacie Tworzenie wykazu zasobów.
Tworzenie pakietów dostępu dla zasobów MSSP Customer Microsoft Entra ID: Identity Governance
Pakiety dostępu są kolekcją praw i dostępów udzielanych przez żądającego po zatwierdzeniu.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Access Packages i dodaj nowy pakiet dostępu. Utwórz pakiet dostępu dla osób zatwierdzających mssp i każdej warstwy analityka. Na przykład następująca konfiguracja analityka warstwy 1 tworzy pakiet dostępu, który:
- Wymaga, aby członek grupy usług AD administratorów analityków MSSP autoryzował nowe żądania
- Ma coroczne przeglądy dostępu, w których analitycy SOC mogą zażądać rozszerzenia dostępu
- Może być żądany tylko przez użytkowników w dzierżawie MSSP SOC
- Automatyczne uzyskiwanie dostępu wygasa po 365 dniach
Aby uzyskać więcej informacji, zobacz Tworzenie nowego pakietu dostępu.
Podaj link żądania dostępu do zasobów MSSP od klienta Microsoft Entra ID: Identity Governance
Link portalu Mój dostęp jest używany przez analityków MSSP SOC do żądania dostępu za pośrednictwem utworzonych pakietów dostępu. Link jest trwały, co oznacza, że ten sam link może być używany w czasie dla nowych analityków. Żądanie analityka przechodzi do kolejki do zatwierdzenia przez osoby zatwierdzające analityka MSSP.
Link znajduje się na stronie przeglądu każdego pakietu dostępu.
Zarządzanie dostępem
Przejrzyj i autoryzuj żądania dostępu w aplikacji Customer i/lub MSSP myaccess.
Żądania dostępu są zarządzane w kliencie Mój dostęp przez członków grupy Osób zatwierdzających analityków MSSP.
Aby to zrobić, uzyskaj dostęp do aplikacji myaccess klienta przy użyciu:
https://myaccess.microsoft.com/@<Customer Domain>
.Przykład:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/
Zatwierdzanie lub odrzucanie żądań w sekcji Zatwierdzenia interfejsu użytkownika.
W tym momencie dostęp analityków został aprowizowany, a każdy analityk powinien mieć dostęp do portalu usługi Microsoft Defender klienta:
https://security.microsoft.com/?tid=<CustomerTenantId>
z przypisanymi uprawnieniami i rolami.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.