Fornecer acesso ao fornecedor de serviços de segurança gerida (MSSP)
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Aplica-se a:
Para implementar uma solução de acesso delegado multi-inquilino, siga os seguintes passos:
Ative o controlo de acesso baseado em funções para o Defender para Endpoint através do portal do Microsoft Defender e ligue-se a grupos de Microsoft Entra.
Configure a gestão de direitos para utilizadores externos no Microsoft Entra ID Governance para ativar pedidos de acesso e aprovisionamento.
Gerir pedidos de acesso e auditorias no Microsoft Myaccess.
Ativar controlos de acesso baseados em funções no Microsoft Defender para Endpoint no portal do Microsoft Defender
Create grupos de acesso para recursos MSSP no Microsoft Entra ID do Cliente: Grupos
Estes grupos serão associados às Funções que criar no Defender para Endpoint no portal do Microsoft Defender. Para tal, no inquilino do AD do cliente, crie três grupos. Na nossa abordagem de exemplo, criamos os seguintes grupos:
- Analista da Camada 1
- Analista da Camada 2
- Aprovadores de Analistas do MSSP
Create funções do Defender para Ponto Final para níveis de acesso adequados no Customer Defender para Endpoint no Microsoft Defender funções e grupos do portal.
Para ativar o RBAC no portal Microsoft Defender cliente, aceda a Funções de Pontos Finais de Permissões > & agrupa > Funções com uma conta de utilizador com direitos de Administrador Global ou Administrador de Segurança.
Em seguida, crie funções RBAC para satisfazer as necessidades do Escalão SOC do MSSP. Ligue estas funções aos grupos de utilizadores criados através de "Grupos de utilizadores atribuídos".
Duas funções possíveis:
Analistas da Camada 1
Efetue todas as ações exceto a resposta em direto e faça a gestão das definições de segurança.Analistas da Camada 2
Capacidades da Camada 1 com a adição à resposta em direto.
Para obter mais informações, veja Gerir o acesso ao portal com o controlo de acesso baseado em funções.
Configurar Pacotes de Acesso de Governação
Adicionar o MSSP como Organização Ligada no Microsoft Entra ID do Cliente: Governação de Identidades
Adicionar o MSSP como uma organização ligada permitirá que o MSSP peça e tenha acessos aprovisionados.
Para tal, no inquilino do AD do cliente, aceda a Governação de Identidade: Organização ligada. Adicione uma nova organização e procure o seu inquilino do Analista MSSP através do ID de Inquilino ou domínio. Sugerimos que crie um inquilino do AD separado para os analistas do MSSP.
Create um catálogo de recursos no Customer Microsoft Entra ID: Identity Governance
Os catálogos de recursos são uma coleção lógica de pacotes de acesso, criada no inquilino do AD do cliente.
Para tal, no inquilino do AD do cliente, aceda a Governação de Identidades: Catálogos e adicione Novo Catálogo. No nosso exemplo, vamos chamar-lhe Acessos MSSP.
Para obter mais informações, veja Create um catálogo de recursos.
Create pacotes de acesso para recursos do MSSP Microsoft Entra ID de Clientes: Governação de Identidades
Os pacotes de acesso são a recolha de direitos e acessos aos quais um requerente será concedido após a aprovação.
Para tal, no inquilino do AD do cliente, aceda a Governação de Identidade: Pacotes de Acesso e adicione Novo Pacote de Acesso. Create um pacote de acesso para os aprovadores do MSSP e cada escalão de analista. Por exemplo, a seguinte configuração do Analista de Camada 1 cria um pacote de acesso que:
- Requer que um membro do grupo do AD MSSP Analyst Approvers autorize novos pedidos
- Tem revisões de acesso anuais, em que os analistas do SOC podem pedir uma extensão de acesso
- Só pode ser pedido por utilizadores no Inquilino do SOC do MSSP
- O Access expira automaticamente após 365 dias
Para obter mais informações, veja Create um novo pacote de acesso.
Fornecer uma ligação de pedido de acesso aos recursos do MSSP a partir da Microsoft Entra ID do Cliente: Governação de Identidades
A ligação do portal O Meu Acesso é utilizada pelos analistas do SOC do MSSP para pedir acesso através dos pacotes de acesso criados. A ligação é durável, o que significa que a mesma ligação pode ser utilizada ao longo do tempo para novos analistas. O pedido do analista entra numa fila para aprovação pelos Aprovadores de Analistas do MSSP.
A ligação está localizada na página de descrição geral de cada pacote de acesso.
Gerir o acesso
Reveja e autorize pedidos de acesso em Myaccess do Cliente e/ou MSSP.
Os pedidos de acesso são geridos no cliente O Meu Acesso, por membros do grupo Aprovadores de Analistas do MSSP.
Para tal, aceda ao myaccess do cliente com:
https://myaccess.microsoft.com/@<Customer Domain>.Exemplo:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Aprovar ou negar pedidos na secção Aprovações da IU.
Neste momento, o acesso dos analistas foi aprovisionado e cada analista deve conseguir aceder ao portal de Microsoft Defender do cliente:
https://security.microsoft.com/?tid=<CustomerTenantId>com as permissões e funções que lhes foram atribuídas.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários