Criar e gerir funções para controlo de acesso baseado em funções
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Os passos seguintes orientam-no sobre como criar funções no portal do Microsoft Defender. Pressupõe que já criou grupos de utilizadores do Microsoft Entra.
Inicie sessão no portal do Microsoft Defender com a conta com a função Administrador de Segurança atribuída.
No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).
Selecione Adicionar função.
Introduza o nome da função, a descrição e as permissões que pretende atribuir à função.
Selecione Seguinte para atribuir a função a um grupo do Microsoft Entra Security.
Utilize o filtro para selecionar o grupo Microsoft Entra ao qual pretende adicionar esta função.
Guardar e fechar.
Aplique as definições de configuração.
Importante
Depois de criar funções, terá de criar um grupo de dispositivos e fornecer acesso ao grupo de dispositivos ao atribuí-lo a uma função que acabou de criar.
Nota
A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.
Ver dados
- Operações de Segurança – ver todos os dados de operações de segurança no portal
- Gestão de Vulnerabilidades do Defender – Ver dados da Gestão de Vulnerabilidades do Defender no portal
Ações de remediação ativas
- Operações de Segurança – Realize ações de resposta, aprove ou dispense ações de remediação pendentes, faça a gestão de listas permitidas/bloqueadas para automatização e indicadores
- Gestão de Vulnerabilidades do Defender – Processamento de exceções – Criar novas exceções e gerir exceções ativas
- Gestão de Vulnerabilidades do Defender – Processamento de remediação – Submeter novos pedidos de remediação, criar pedidos de suporte e gerir atividades de remediação existentes
- Gestão de Vulnerabilidades do Defender – Processamento de aplicações – aplique ações de mitigação imediatas ao bloquear aplicações vulneráveis, como parte da atividade de remediação, gerir as aplicações bloqueadas e executar ações de desbloqueio
Linhas de base de segurança
- Gestão de Vulnerabilidades do Defender – Gerir perfis de avaliação de linhas de base de segurança – crie e faça a gestão de perfis para que possa avaliar se os seus dispositivos estão em conformidade com as linhas de base do setor de segurança.
Investigação de alertas – Gerir alertas, iniciar investigações automatizadas, executar análises, recolher pacotes de investigação, gerir etiquetas de dispositivos e transferir apenas ficheiros executáveis portáteis (PE)
Gerir definições do sistema de portal – Configurar definições de armazenamento, definições da API intel de SIEM e ameaças (aplica-se globalmente), definições avançadas, carregamentos de ficheiros automatizados, funções e grupos de dispositivos
Nota
Esta definição só está disponível na função Administrador do Microsoft Defender para Ponto Final (predefinição).
Gerir definições de segurança no Centro de Segurança - Configurar definições de supressão de alertas, gerir exclusões de pastas para automatização, integrar e excluir dispositivos, gerir notificações por e-mail, gerir o laboratório de avaliação e gerir listas permitidas/bloqueadas para indicadores
Capacidades de resposta em direto
-
Comandos básicos :
- Iniciar uma sessão de resposta em direto
- Executar comandos de resposta em direto só de leitura no dispositivo remoto (excluindo a cópia e a execução de ficheiros)
- Transferir um ficheiro do dispositivo remoto através da resposta em direto
-
Comandos avançados :
- Transferir ficheiros PE e não PE a partir da página de ficheiros
- Carregar um ficheiro para o dispositivo remoto
- Ver um script a partir da biblioteca de ficheiros
- Executar um script no dispositivo remoto a partir da biblioteca de ficheiros
-
Comandos básicos :
Para obter mais informações sobre os comandos disponíveis, veja Investigar dispositivos com a resposta em direto.
Inicie sessão no portal do Microsoft Defender com a conta com a função de Administrador de segurança atribuída.
No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).
Selecione a função que pretende editar.
Clique em Editar.
Modifique os detalhes ou os grupos atribuídos à função.
Clique em Guardar e fechar.
Inicie sessão no portal do Microsoft Defender com a conta com a função Administrador de Segurança atribuída.
No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).
Selecione a função que pretende eliminar.
Clique no botão pendente e selecione Eliminar função.
- Atribuir funções do Microsoft Entra aos utilizadores
- Atribuir acesso de utilizador
- Criar e gerir grupos de dispositivos
Gorjeta
Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.