Как работают эксперты Microsoft Defender для разрешений XDR
Область применения:
Для экспертов Microsoft Defender по расследованию инцидентов XDR, когда нашим экспертам требуется доступ к вашим клиентам, мы придерживаемся принципов JIT и минимальных привилегий, чтобы обеспечить правильный уровень доступа в нужное время. Чтобы выполнить эти требования, мы создали платформу разрешений экспертов Microsoft Defender, используя следующие возможности в идентификаторе Microsoft Entra:
- Детализированные делегированные права администратора (GDAP). В рамках подключения мы подготавливаем клиент Microsoft Experts в качестве поставщика услуг в вашем клиенте, чтобы использовать возможность GDAP и получить правильный уровень доступа для наших экспертов. Роли, предоставленные нашим экспертам, настраиваются с помощью назначения ролей между клиентами , чтобы гарантировать, что у них есть только разрешения, которые вы явно предоставили им.
- Политики доступа между клиентами Microsoft Entra. Чтобы применить ограничения на доступ наших экспертов к вашему клиенту, нам необходимо установить доверие между нашими экспертами и вашим клиентом. Чтобы включить это доверие, мы настраиваем политику доступа между арендаторами в клиенте в рамках подключения. Эти политики доступа между клиентами создаются с разрешениями только для чтения, чтобы избежать каких-либо нарушений.
- Условный доступ для внешних пользователей. Мы ограничиваем доступ наших экспертов к вашим клиентам из нашей безопасной среды, используя соответствующие требованиям устройства с строгой многофакторной проверкой подлинности (MFA). Чтобы применить параметры доверия, настроенные в политике доступа между клиентами, и заблокировать доступ в противном случае, мы настраиваем эти политики условного доступа в клиенте.
- JIT-доступ. Даже после того, как вы разрешили нашим экспертам доступ к вашей среде, мы ограничиваем их доступ на основе JIT-разрешений для исследования случаев с ограниченной длительностью для каждой роли. Наши эксперты должны сначала запросить доступ и получить одобрение в нашей внутренней системе, чтобы получить соответствующую роль в вашем клиенте. Доступ наших экспертов к вашему клиенту проверяется как часть журналов входа Microsoft Entra, чтобы вы просматривали
Настройка разрешений в клиентах клиента
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
После выбора разрешений, которые вы хотите предоставить нашим экспертам, мы создадим следующие политики в вашем клиенте с помощью контекста администратора безопасности или глобального администратора:
- Настройка microsoft Experts в качестве поставщика услуг . Этот параметр позволяет нашим экспертам получать доступ к среде клиента в качестве внешних участников совместной работы без необходимости создавать для них учетные записи.
- Настройка назначений ролей для наших экспертов . Этот параметр определяет роли, разрешенные нашим экспертам в клиенте. Выбор соответствующих ролей в процессе подключения
- Настройка параметров доступа между клиентами с помощью MFA и соответствующего устройства в качестве параметров доверия . Этот параметр настраивает отношения доверия между клиентами и клиентами экспертов Майкрософт на основе MFA и соответствия устройств в клиенте Microsoft Experts. Эту политику можно найти в разделе Microsoft Entra ID>Внешние удостоверения>Параметры межтенантного доступа с именем Эксперты Майкрософт.
- Настройка политик условного доступа . Эти политики ограничивают доступ наших экспертов только к вашему клиенту из безопасных рабочих станций Microsoft Experts с проверкой MFA. Две политики настраиваются с помощью соглашения об именовании Microsoft Security Experts-policy< name-DO> NOT DELETE.
Эти политики настраиваются во время процесса подключения и требуют, чтобы соответствующий администратор оставался в системе, чтобы выполнить эти действия. После создания указанных выше политик и завершения настройки разрешений вы увидите уведомление о том, что настройка завершена.
См. также
Важные рекомендации для экспертов Microsoft Defender для XDR
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.