Zapewnianie dostępu do zarządzanego dostawcy usług zabezpieczeń (MSSP)
Ważne
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Ważne
Procedury w tym artykule korzystają z funkcji, które wymagają co najmniej Tożsamość Microsoft Entra P2 dla każdego użytkownika w zakresie zarządzania.
Dotyczy:
Aby zaimplementować wielodostępne rozwiązanie dostępu delegowanego, wykonaj następujące kroki:
Włącz kontrolę dostępu opartą na rolach dla usługi Defender for Endpoint za pośrednictwem portalu Microsoft Defender i połącz się z grupami Microsoft Entra.
Skonfiguruj zarządzanie uprawnieniami dla użytkowników zewnętrznych w ramach Zarządzanie tożsamością Microsoft Entra, aby włączyć żądania dostępu i aprowizację.
Zarządzanie żądaniami dostępu i inspekcjami w usłudze Microsoft Myaccess.
Włączanie kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender w portalu Microsoft Defender
Tworzenie grup dostępu dla zasobów mssp w Tożsamość Microsoft Entra klienta: Grupy
Te grupy są połączone z rolami utworzonymi w usłudze Defender for Endpoint w portalu Microsoft Defender. W tym celu w dzierżawie usługi AD klienta utwórz trzy grupy. W naszym przykładowym podejściu utworzymy następujące grupy:
- Analityk warstwy 1
- Analityk warstwy 2
- Osoby zatwierdzające analityków MSSP
Utwórz role usługi Defender for Endpoint dla odpowiednich poziomów dostępu w usłudze Customer Defender for Endpoint w Microsoft Defender ról i grup portalu.
Aby włączyć kontrolę dostępu opartą na rolach w portalu Microsoft Defender klienta, uzyskaj dostęp do ról punktów końcowych uprawnień & grup > role przy użyciu konta użytkownika z uprawnieniami > administratora zabezpieczeń.
Następnie utwórz role RBAC w celu spełnienia potrzeb warstwy SOC programu MSSP. Połącz te role z utworzonymi grupami użytkowników za pomocą polecenia "Przypisane grupy użytkowników".
Dwie możliwe role:
Analitycy warstwy 1
Wykonaj wszystkie akcje z wyjątkiem odpowiedzi na żywo i zarządzaj ustawieniami zabezpieczeń.Analitycy warstwy 2
Możliwości warstwy 1 z dodatkiem do odpowiedzi na żywo.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach.
Dodawanie programu MSSP jako połączonej organizacji w Tożsamość Microsoft Entra klienta: Zarządzanie tożsamościami
Dodanie dostawcy MSSP jako połączonej organizacji umożliwia dostawcy MSSP żądanie i aprowizowanie dostępu.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Połączona organizacja. Dodaj nową organizację i wyszukaj dzierżawę analityka MSSP za pośrednictwem identyfikatora dzierżawy lub domeny. Zalecamy utworzenie oddzielnej dzierżawy usługi AD dla analityków MSSP.
Tworzenie wykazu zasobów w usłudze Customer Tożsamość Microsoft Entra: Identity Governance
Wykazy zasobów to logiczna kolekcja pakietów dostępu utworzona w dzierżawie usługi AD klienta.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Catalogs i dodaj nowy wykaz. W naszym przykładzie będziemy nazywać go MSSP Accesses.
Więcej informacji znajduje się w temacie Tworzenie wykazu zasobów.
Tworzenie pakietów dostępu dla zasobów MSSP Customer Tożsamość Microsoft Entra: Identity Governance
Pakiety dostępu są kolekcją praw i dostępów udzielanych przez żądającego po zatwierdzeniu.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Access Packages i dodaj nowy pakiet dostępu. Utwórz pakiet dostępu dla osób zatwierdzających mssp i każdej warstwy analityka. Na przykład następująca konfiguracja analityka warstwy 1 tworzy pakiet dostępu, który:
- Wymaga, aby członek grupy usług AD administratorów analityków MSSP autoryzował nowe żądania
- Ma coroczne przeglądy dostępu, w których analitycy SOC mogą zażądać rozszerzenia dostępu
- Może być żądany tylko przez użytkowników w dzierżawie MSSP SOC
- Automatyczne uzyskiwanie dostępu wygasa po 365 dniach
Aby uzyskać więcej informacji, zobacz Tworzenie nowego pakietu dostępu.
Podaj link żądania dostępu do zasobów MSSP od Tożsamość Microsoft Entra klienta: Zarządzanie tożsamościami
Link portalu Mój dostęp jest używany przez analityków MSSP SOC do żądania dostępu za pośrednictwem utworzonych pakietów dostępu. Link jest trwały, co oznacza, że ten sam link może być używany w czasie dla nowych analityków. Żądanie analityka przechodzi do kolejki do zatwierdzenia przez osoby zatwierdzające analityka MSSP.
Link znajduje się na stronie przeglądu każdego pakietu dostępu.
Przejrzyj i autoryzuj żądania dostępu w aplikacji Customer i/lub MSSP myaccess.
Żądania dostępu są zarządzane w kliencie Mój dostęp przez członków grupy Osób zatwierdzających analityków MSSP.
Aby to zrobić, uzyskaj dostęp do aplikacji myaccess klienta przy użyciu:
https://myaccess.microsoft.com/@<Customer Domain>
.Przykład:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/
Zatwierdzanie lub odrzucanie żądań w sekcji Zatwierdzenia interfejsu użytkownika.
W tym momencie dostęp analityków został aprowizowany, a każdy analityk powinien mieć dostęp do portalu Microsoft Defender klienta:
https://security.microsoft.com/?tid=<CustomerTenantId>
z przypisanymi uprawnieniami i rolami.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.