Privileged Identity Management (PIM) e por que usá-lo com o Microsoft Defender para Office 365
Privileged Identity Management (PIM) é um recurso do Azure que dá aos usuários acesso aos dados por um período limitado de tempo (às vezes chamado de período de tempo em caixa). O acesso é dado "just-in-time" para tomar a ação necessária e, em seguida, o acesso é removido. O PIM limita o acesso do usuário a dados confidenciais, o que reduz o risco em comparação com contas de administrador tradicionais com acesso permanente a dados e outras configurações. Então, como podemos usar esse recurso (PIM) com Microsoft Defender para Office 365?
Dica
O acesso pim é escopo para o nível de função e identidade para permitir a conclusão de várias tarefas. Por outro lado, o PAM (Privileged Access Management) é escopo no nível da tarefa.
Etapas para usar o PIM para conceder acesso just-in-time às tarefas relacionadas ao Defender para Office 365
Ao configurar o PIM para trabalhar com Microsoft Defender para Office 365, os administradores criam um processo para um usuário solicitar e justificar os privilégios elevados de que precisam.
Este artigo usa o cenário para um usuário chamado Alex na equipe de segurança. Podemos elevar as permissões de Alex para os seguintes cenários:
- Permissões para operações normais do dia a dia (por exemplo, Caça a Ameaças).
- Um nível mais alto temporário de privilégio para operações menos frequentes e confidenciais (por exemplo, corrigir emails mal-intencionados entregues).
Dica
Embora o artigo inclua etapas específicas para o cenário, conforme descrito, você pode fazer as mesmas etapas para outras permissões. Por exemplo, quando um trabalhador de informações requer acesso diário na descoberta eletrônica para realizar pesquisas e trabalho de caso, mas ocasionalmente precisa das permissões elevadas para exportar dados da organização.
Etapa 1. No console PIM do Azure para sua assinatura, adicione o usuário (Alex) à função Leitor de Segurança do Azure e defina as configurações de segurança relacionadas à ativação.
- Entre no Centro de Microsoft Entra Administração e selecione Microsoft Entra ID>Roles e administradores.
- Selecione Leitor de Segurança na lista de funções e, em seguida, Configurações>Editar
- Configurar a “Duração máxima da ativação (horas)” para um dia de trabalho normal e “Sendo ativado” para exigir o MFA do Azure.
- Como esse é o nível de privilégio normal de Alex para operações diárias, Desmarque Exigir justificativa na atualização de ativação>.
- Selecione Adicionar Atribuições>Nenhum membro selecionado selecionou ou digite> o nome para pesquisar o membro correto.
- Selecione o botão Selecionar para escolher o membro que você precisa adicionar para privilégios > PIM selecione Avançar> não faça alterações na página Adicionar Atribuição (ambos os tipos de atribuição Qualificados e duração Permanentemente Qualificados são padrões) e Atribuir.
O nome do usuário (Alex neste cenário) aparece em atribuições qualificadas na próxima página. Esse resultado significa que eles são capazes de PIM na função com as configurações configuradas anteriormente.
Observação
Para obter uma rápida análise de Privileged Identity Management consulte este vídeo.
Etapa 2. Create o segundo grupo de permissões necessário (elevado) para outras tarefas e atribuir qualificação.
Com o uso de grupos de Acesso Privilegiado, agora podemos criar nossos próprios grupos personalizados e combinar permissões ou aumentar ao nível de detalhe sempre que necessário para cumprir suas práticas e necessidades organizacionais.
Create uma função ou um grupo de funções com as permissões necessárias
Use um dos seguintes métodos:
Ou
- Create uma função personalizada no RBAC (controle de acesso baseado em função unificada) Microsoft Defender XDR. Para obter informações e instruções, consulte Começar a usar Microsoft Defender XDR modelo de RBAC Unificado.
Para qualquer método:
- Use um nome descritivo (por exemplo, 'Contoso Pesquisa e Purgar PIM').
- Não adicione membros. Adicione as permissões necessárias, salve e vá para a próxima etapa.
Create o grupo de segurança no Microsoft Entra ID para permissões elevadas
- Navegue até o Centro de Microsoft Entra Administração e navegue até Microsoft Entra ID>Groups>New Group.
- Nomeie seu grupo Microsoft Entra para refletir sua finalidade, nenhum proprietário ou membro é necessário agora.
- As funções de Microsoft Entra podem ser atribuídas ao grupo como Sim.
- Não adicione funções, membros ou proprietários, crie o grupo.
- Voltar no grupo criado e selecione Privileged Identity Management>Enable PIM.
- No grupo, selecione Atribuições qualificadas>Adicionar atribuições> Adicionar o usuário que precisa Pesquisa & Limpar como uma função de Membro.
- Defina Configurações no painel Acesso Privilegiado do grupo. Escolha Editar configurações para a função de Membro.
- Altere o tempo de ativação para se adequar à sua organização. Este exemplo requer Microsoft Entra informações de autenticação, justificativa e tíquetemultifator antes de selecionar Atualizar.
Aninhe o grupo de segurança recém-criado no grupo de função.
Observação
Essa etapa só será necessária se você usou um grupo de função de colaboração Email & em Create uma função ou grupo de função com as permissões necessárias. Defender XDR RBAC Unificado dá suporte a atribuições de permissões diretas para grupos de Microsoft Entra e você pode adicionar membros ao grupo para PIM.
Conecte-se ao PowerShell de Segurança e Conformidade e execute o seguinte comando:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Testar sua configuração do PIM com o Defender para Office 365
Entre com o usuário de teste (Alex), que não deve ter acesso administrativo no portal Microsoft Defender neste momento.
Navegue até PIM, onde o usuário pode ativar sua função de leitor de segurança do dia a dia.
Se você tentar limpar um email usando o Threat Explorer, receberá um erro informando que precisa de mais permissões.
PIM uma segunda vez para a função mais elevada, e depois de um pequena espera, agora você deve ser capaz de limpar emails sem problemas.
A atribuição permanente de funções administrativas e permissões não se alinha à iniciativa de segurança Confiança Zero. Em vez disso, você pode usar o PIM para conceder acesso just-in-time às ferramentas necessárias.
Nossos agradecimentos ao Engenheiro de Clientes Ben Harris pelo acesso à postagem do blog e aos recursos usados para este conteúdo.