Назначение ролей и разрешений для развертывания Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Следующим шагом при развертывании Defender для конечной точки является назначение ролей и разрешений для развертывания Defender для конечной точки.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Управление доступом на основе ролей
Корпорация Майкрософт рекомендует использовать концепцию минимальных привилегий. Defender для конечной точки использует встроенные роли в Microsoft Entra ID. Просмотрите различные доступные роли и выберите подходящую для удовлетворения потребностей каждого пользователя для этого приложения. Некоторые роли, возможно, потребуется временно применить и удалить после завершения развертывания.
Корпорация Майкрософт рекомендует использовать управление привилегированными пользователями для управления ролями, чтобы обеспечить дополнительный аудит, контроль и проверку доступа для пользователей с разрешениями каталога.
Defender для конечной точки поддерживает два способа управления разрешениями:
Базовое управление разрешениями. Задайте для разрешений полный доступ или только для чтения. Пользователи с ролью, например администратором безопасности в Microsoft Entra ID имеют полный доступ. Роль читателя безопасности имеет доступ только для чтения и не предоставляет доступ к просмотру инвентаризации компьютеров или устройств.
Управление доступом на основе ролей (RBAC): настройте детализированные разрешения, определяя роли, назначая Microsoft Entra группам пользователей ролям и предоставляя группам пользователей доступ к группам устройств. Дополнительные сведения см. в статье. См. раздел Управление доступом на портале с помощью управления доступом на основе ролей.
Корпорация Майкрософт рекомендует использовать RBAC, чтобы только пользователи с бизнес-обоснованием могли получить доступ к Defender для конечной точки.
Дополнительные сведения о рекомендациях по разрешениям см. в статье Создание ролей и назначение роли Microsoft Entra группе.
В таблице ниже приведен пример для определения структуры Центра операций киберзащиты в вашей среде, которая поможет определить структуру RBAC, необходимую для вашей среды.
| Уровень | Описание | Необходимые разрешения |
|---|---|---|
| Уровень 1 |
Местная группа обеспечения безопасности / ИТ-группа Эта команда обычно изучает и изучает оповещения, содержащиеся в их географическом расположении, и передает на уровень 2 в случаях, когда требуется активное исправление. |
Просмотр данных |
| Уровень 2 |
Региональная группа обеспечения безопасности Эта команда может просмотреть все устройства для своего региона и выполнить действия по исправлению. |
Просмотр данных Исследование оповещений Активные действия по исправлению |
| Уровень 3 |
Глобальная группа обеспечения безопасности Эта команда состоит из экспертов по безопасности и имеет право просматривать и выполнять все действия на портале. |
Просмотр данных Исследование оповещений Активные действия по исправлению Управление системными параметрами портала Управление параметрами безопасности |
Следующее действие
После назначения ролей и разрешений для просмотра и управления Defender для конечной точки пришло время выполнить шаг 3. Определение архитектуры и выбор метода развертывания.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.