Zapewnianie dostępu do zarządzanego dostawcy usług zabezpieczeń (MSSP)
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Dotyczy:
Aby zaimplementować rozwiązanie dostępu delegowanego z wieloma dzierżawami, wykonaj następujące kroki:
Włącz kontrolę dostępu opartą na rolach dla usługi Defender for Endpoint za pośrednictwem portalu Microsoft Defender i połącz się z grupami Microsoft Entra.
Skonfiguruj zarządzanie uprawnieniami dla użytkowników zewnętrznych w ramach Zarządzanie tożsamością Microsoft Entra, aby włączyć żądania dostępu i aprowizację.
Zarządzanie żądaniami dostępu i inspekcjami w usłudze Microsoft Myaccess.
Włączanie kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender w portalu Microsoft Defender
Twórca grupy dostępu dla zasobów mssp w Tożsamość Microsoft Entra klienta: grupy
Te grupy zostaną połączone z rolami utworzonymi w usłudze Defender for Endpoint w portalu Microsoft Defender. W tym celu w dzierżawie usługi AD klienta utwórz trzy grupy. W naszym przykładowym podejściu utworzymy następujące grupy:
- Analityk warstwy 1
- Analityk warstwy 2
- Osoby zatwierdzające analityków MSSP
Twórca role usługi Defender for Endpoint dla odpowiednich poziomów dostępu w usłudze Customer Defender for Endpoint w Microsoft Defender ról i grup portalu.
Aby włączyć kontrolę dostępu opartą na rolach w portalu Microsoft Defender klienta, uzyskaj dostęp do ról punktów końcowych > uprawnień & grup > role przy użyciu konta użytkownika z uprawnieniami administratora globalnego lub administratora zabezpieczeń.
Następnie utwórz role RBAC w celu spełnienia potrzeb warstwy SOC programu MSSP. Połącz te role z utworzonymi grupami użytkowników za pomocą polecenia "Przypisane grupy użytkowników".
Dwie możliwe role:
Analitycy warstwy 1
Wykonaj wszystkie akcje z wyjątkiem odpowiedzi na żywo i zarządzaj ustawieniami zabezpieczeń.Analitycy warstwy 2
Możliwości warstwy 1 z dodatkiem do odpowiedzi na żywo.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach.
Konfigurowanie pakietów dostępu do ładu
Dodawanie programu MSSP jako połączonej organizacji w Tożsamość Microsoft Entra klienta: Zarządzanie tożsamościami
Dodanie dostawcy MSSP jako połączonej organizacji umożliwi dostawcy mssp żądania i aprowizowanie dostępu.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Połączona organizacja. Dodaj nową organizację i wyszukaj dzierżawę analityka MSSP za pośrednictwem identyfikatora dzierżawy lub domeny. Zalecamy utworzenie oddzielnej dzierżawy usługi AD dla analityków MSSP.
Twórca katalogu zasobów w usłudze Customer Tożsamość Microsoft Entra: Identity Governance
Wykazy zasobów to logiczna kolekcja pakietów dostępu utworzona w dzierżawie usługi AD klienta.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Catalogs i dodaj nowy wykaz. W naszym przykładzie będziemy nazywać go MSSP Accesses.
Aby uzyskać więcej informacji, zobacz Twórca wykaz zasobów.
Twórca pakiety dostępu dla zasobów MSSP Customer Tożsamość Microsoft Entra: Identity Governance
Pakiety dostępu to kolekcja praw i dostępu, które żądający zostanie udzielony po zatwierdzeniu.
W tym celu w dzierżawie usługi AD klienta uzyskaj dostęp do usługi Identity Governance: Access Packages i dodaj nowy pakiet dostępu. Twórca pakiet dostępu dla osób zatwierdzających mssp i każdej warstwy analityka. Na przykład następująca konfiguracja analityka warstwy 1 tworzy pakiet dostępu, który:
- Wymaga, aby członek grupy usług AD administratorów analityków MSSP autoryzował nowe żądania
- Ma coroczne przeglądy dostępu, w których analitycy SOC mogą zażądać rozszerzenia dostępu
- Może być żądany tylko przez użytkowników w dzierżawie MSSP SOC
- Automatyczne uzyskiwanie dostępu wygasa po 365 dniach
Aby uzyskać więcej informacji, zobacz Twórca nowy pakiet dostępu.
Podaj link żądania dostępu do zasobów MSSP od Tożsamość Microsoft Entra klienta: Zarządzanie tożsamościami
Link portalu Mój dostęp jest używany przez analityków MSSP SOC do żądania dostępu za pośrednictwem utworzonych pakietów dostępu. Link jest trwały, co oznacza, że ten sam link może być używany w czasie dla nowych analityków. Żądanie analityka przechodzi do kolejki do zatwierdzenia przez osoby zatwierdzające analityka MSSP.
Link znajduje się na stronie przeglądu każdego pakietu dostępu.
Zarządzanie dostępem
Przejrzyj i autoryzuj żądania dostępu w aplikacji Customer i/lub MSSP myaccess.
Żądania dostępu są zarządzane w kliencie Mój dostęp przez członków grupy Osób zatwierdzających analityków MSSP.
Aby to zrobić, uzyskaj dostęp do aplikacji myaccess klienta przy użyciu:
https://myaccess.microsoft.com/@<Customer Domain>.Przykład:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Zatwierdzanie lub odrzucanie żądań w sekcji Zatwierdzenia interfejsu użytkownika.
W tym momencie dostęp analityków został aprowizowany, a każdy analityk powinien mieć dostęp do portalu Microsoft Defender klienta:
https://security.microsoft.com/?tid=<CustomerTenantId>z przypisanymi uprawnieniami i rolami.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla