Monitoramento do Microsoft Defender para Identidade
O Microsoft Defender para Identidade oferece segurança baseada em função para proteger os dados de acordo com as necessidades específicas de segurança e conformidade da sua organização. Recomendamos que você use grupos de funções para gerenciar o acesso ao Defender para Identidade, separando responsabilidades entre sua equipe de segurança e concedendo apenas a quantidade de acesso que os usuários precisam para realizar seus trabalhos.
Controle de acesso baseado em função (RBAC) unificado
Os usuários que já são Administradores Globais ou Administradores de Segurança no Microsoft Entra ID do seu locatário também são automaticamente administradores do Defender para Identidade. Os administradores globais e de segurança do Microsoft Entra não precisam de permissões extras para acessar o Defender para Identidade.
Para outros usuários, habilite e use o controle de acesso baseado em função (RBAC) do Microsoft 365 para criar funções personalizadas e oferecer suporte padrão a mais funções do Entra ID, como Operador de segurança e Leitor de segurança para gerenciar o acesso ao Defender para Identidade.
Ao criar suas funções personalizadas, certifique-se de aplicar as permissões listadas na tabela a seguir:
| Nível de acesso do Defender para Identidade | Permissões RBAC unificadas mínimas necessárias do Microsoft 365 |
|---|---|
| Administradores | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Usuários | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Visualizadores | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Para obter mais informações, consulte Funções personalizadas no controle de acesso baseado em função para o Microsoft Defender XDR e Criar funções personalizadas com o Microsoft Defender XDR Unified RBAC.
Observação
As informações incluídas no registro de atividades do Defender para Aplicativos de Nuvem ainda podem conter dados do Defender para Identidade. Este conteúdo segue as permissões existentes do Defender para Aplicativos de Nuvem.
Exceção: se você tiver configurado a Implantação com escopo para alertas do Microsoft Defender para Identidade no portal do Microsoft Defender para Aplicativos de Nuvem, essas permissões não serão transferidas e você terá que conceder explicitamente as permissões Operações de segurança \ Dados de segurança \ Dados de segurança básicos (leitura) para os usuários relevantes do portal.
Permissões necessárias para o Defender para Identidade no Microsoft Defender XDR
A tabela a seguir detalha as permissões específicas necessárias para as atividades do Defender para Identidade no Microsoft Defender XDR.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
| Atividade | Permissões menos necessárias |
|---|---|
| Integrar o Defender para Identidade (criar espaço de trabalho) | Administrador de segurança |
| Definir as configurações para o Defender para Identidade | Uma das seguintes funções do Microsoft Entra: - Administrador de segurança - Operador de Segurança Or As seguintes permissões RBAC unificadas: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Exibir configurações do Defender para Identidade | Uma das seguintes funções do Microsoft Entra: - Leitor global - Leitor de segurança Or As seguintes permissões RBAC unificadas: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gerenciar alertas e atividades de segurança do Defender para Identidade | Uma das seguintes funções do Microsoft Entra: - Operador de Segurança Or As seguintes permissões RBAC unificadas: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Exibir avaliações de segurança do Defender para Identidade (agora parte do Microsoft Secure Score) |
Permissões para acessar o Microsoft Secure Score And As seguintes permissões RBAC unificadas: Security operations/Security data /Security data basics (Read) |
| Exibir a página Ativos / Identidades | Permissões para acessar o Defender para Aplicativos de Nuvem Or Uma das funções do Microsoft Entra exigidas pelo Microsoft Defender XDR |
| Executar ações de resposta do Defender para Identidade | Uma função personalizada definida com permissões para Resposta (gerenciar) Or Uma das seguintes funções do Microsoft Entra: - Operador de Segurança |
Grupos de segurança do Defender para Identidade
O Defender para Identidade fornece os seguintes grupos de segurança para ajudar a gerenciar o acesso aos recursos do Defender para Identidade:
- Administradores do Azure ATP (nome do espaço de trabalho)
- Usuários do Azure ATP (nome do espaço de trabalho)
- Visualizadores do Azure ATP (nome do espaço de trabalho)
A tabela a seguir lista as atividades disponíveis para cada grupo de segurança:
| Atividade | Administradores do Azure ATP (nome do espaço de trabalho) | Usuários do Azure ATP (nome do espaço de trabalho) | Visualizadores do Azure ATP (nome do espaço de trabalho) |
|---|---|---|---|
| Alterar o status do problema de integridade | Disponível | Não disponível | Não disponível |
| Alterar o status do alerta de segurança (reabrir, fechar, excluir, suprimir) | Disponível | Disponível | Não disponível |
| Excluir workspace | Disponível | Não disponível | Não disponível |
| Baixar um relatório | Disponível | Disponível | Disponível |
| Entrar | Disponível | Disponível | Disponível |
| Compartilhar/exportar alertas de segurança (via email, obter link, detalhes de download) | Disponível | Disponível | Disponível |
| Atualizar a configuração do Defender para Identidade (atualizações) | Disponível | Não disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (marcas de entidade, incluindo confidencial e honeytoken) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (exclusões) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (idioma) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (notificações, incluindo email e syslog) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (detecções prévias) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (relatórios agendados) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (fontes de dados, incluindo serviços de diretório, SIEM, VPN, Defender para Ponto de Extremidade) | Disponível | Não disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (gerenciamento de sensores, incluindo download de software, regeneração de chaves, configuração, exclusão) | Disponível | Não disponível | Não disponível |
| Exibir perfis de entidade e alertas de segurança | Disponível | Disponível | Disponível |
Adicionar e remover usuários.
O Defender para Identidade usa grupos de segurança do Microsoft Entra como base para grupos de funções.
Gerencie seus grupos de funções na página Gerenciamento de grupos no portal do Azure. Somente usuários do Microsoft Entra podem ser adicionados ou removidos de grupos de segurança.