Atribuir funções e permissões para implementação de Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O próximo passo ao implementar o Defender para Endpoint é atribuir funções e permissões para a implementação do Defender para Endpoint.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Controlo de acesso baseado em funções
A Microsoft recomenda a utilização do conceito de privilégios mínimos. O Defender para Endpoint tira partido das funções incorporadas no Microsoft Entra ID. Reveja as diferentes funções disponíveis e escolha a mais adequada para resolver as suas necessidades para cada persona para esta aplicação. Algumas funções poderão ter de ser aplicadas temporariamente e removidas após a conclusão da implementação.
A Microsoft recomenda a utilização de Privileged Identity Management para gerir as suas funções para fornecer auditoria, controlo e revisão de acesso adicionais aos utilizadores com permissões de diretório.
O Defender para Endpoint suporta duas formas de gerir permissões:
Gestão de permissões básica: defina permissões para acesso total ou só de leitura. Os utilizadores com uma função, como Administrador de Segurança no Microsoft Entra ID têm acesso total. A função Leitor de segurança tem acesso só de leitura e não concede acesso para ver o inventário de computadores/dispositivos.
Controlo de acesso baseado em funções (RBAC): defina permissões granulares ao definir funções, atribuir Microsoft Entra grupos de utilizadores às funções e conceder aos grupos de utilizadores acesso a grupos de dispositivos. Para obter mais informações. veja Gerir o acesso ao portal com o controlo de acesso baseado em funções.
A Microsoft recomenda tirar partido do RBAC para garantir que apenas os utilizadores com uma justificação comercial podem aceder ao Defender para Endpoint.
Pode encontrar detalhes sobre as diretrizes de permissão aqui: Criar funções e atribuir a função a um grupo de Microsoft Entra.
A tabela de exemplo seguinte serve para identificar a estrutura do Centro de Operações de Defesa Cibernética no seu ambiente que o ajudará a determinar a estrutura RBAC necessária para o seu ambiente.
| Camada | Descrição | Permissões necessárias |
|---|---|---|
| Camada 1 |
Equipa de operações de segurança local/equipa de TI Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa. |
Ver dados |
| Camada 2 |
Equipa de operações de segurança regional Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação. |
Ver dados Investigação de alertas Ações de remediação ativas |
| Camada 3 |
Equipa global de operações de segurança Esta equipa é constituída por especialistas em segurança e está autorizada a ver e realizar todas as ações a partir do portal. |
Ver dados Investigação de alertas Ações de remediação ativas Gerir definições do sistema de portal Gerir definições de segurança |
Passo seguinte
Depois de atribuir funções e permissões para ver e gerir o Defender para Ponto Final, está na altura do Passo 3 – Identificar a sua arquitetura e escolher o método de implementação.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.