Поделиться через

Предоставление доступа к управляемому поставщику служб безопасности (MSSP)

  • Статья

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Область применения:

Чтобы реализовать мультитенантное делегированное решение для доступа, сделайте следующее:

  1. Включите управление доступом на основе ролей для Defender для конечной точки через портал Microsoft Defender и подключитесь к группам Microsoft Entra.

  2. Настройте управление правами для внешних пользователей в Microsoft Entra ID Governance, чтобы включить запросы на доступ и подготовку.

  3. Управление запросами доступа и аудитами в Microsoft Myaccess.

Включение управления доступом на основе ролей в Microsoft Defender для конечной точки на портале Microsoft Defender

  1. Создание групп доступа для ресурсов MSSP в идентификаторе Customer Microsoft Entra: Groups

    Эти группы связаны с ролями, создаваемыми в Defender для конечной точки на портале Microsoft Defender. Для этого в клиенте AD клиента создайте три группы. В нашем примере мы создадим следующие группы:

    • Аналитик уровня 1
    • Аналитик уровня 2
    • Утверждающие аналитики MSSP

  2. Создайте роли Defender для конечной точки для соответствующих уровней доступа в Customer Defender для конечной точки в ролях и группах портала Microsoft Defender.

    Чтобы включить RBAC на портале Microsoft Defender клиента, получите доступ к ролям конечных > точек разрешений & группировать > роли с учетной записью пользователя с правами администратора безопасности.

    Сведения о доступе MSSP на портале Microsoft Defender

    Затем создайте роли RBAC в соответствии с требованиями уровня SOC MSSP. Свяжите эти роли с созданными группами пользователей с помощью команды "Назначенные группы пользователей".

    Две возможные роли:

    • Аналитики уровня 1
      Выполняйте все действия, кроме динамического ответа и управления параметрами безопасности.

    • Аналитики уровня 2
      Возможности уровня 1 с добавлением динамического ответа.

    Дополнительные сведения см. в разделе Управление доступом на портале с помощью управления доступом на основе ролей.

Настройка пакетов управления доступом

  1. Добавление MSSP в качестве подключенной организации в customer Microsoft Entra ID: Identity Governance

    Добавление MSSP в качестве подключенной организации позволяет MSSP запрашивать и подготавливать доступы.

    Для этого в клиенте AD получите доступ к управлению удостоверениями: подключенная организация. Добавьте новую организацию и выполните поиск клиента аналитика MSSP с помощью идентификатора клиента или домена. Мы рекомендуем создать отдельный клиент AD для аналитиков MSSP.

  2. Создание каталога ресурсов в customer Microsoft Entra ID: Identity Governance

    Каталоги ресурсов — это логическая коллекция пакетов доступа, созданных в клиенте AD клиента.

    Для этого в клиенте AD перейдите к управлению удостоверениями: каталоги и добавьте новый каталог. В нашем примере мы будем называть это MSSP Accesses.

    Новый каталог на портале Microsoft Defender

    Дополнительные сведения см. в статье Создание каталога ресурсов.

  3. Создание пакетов доступа для ресурсов MSSP Customer Microsoft Entra ID: Identity Governance

    Пакеты доступа — это коллекция прав и доступа, которые запрашивающий предоставляет после утверждения.

    Для этого в клиенте AD получите доступ к управлению удостоверениями: пакеты доступа и добавьте новый пакет доступа. Создайте пакет доступа для утверждающих MSSP и каждого уровня аналитика. Например, следующая конфигурация аналитика уровня 1 создает пакет доступа, который:

    • Требуется, чтобы участник группы AD MsSP Analyst Утверждающий разрешал новые запросы
    • Имеет ежегодные проверки доступа, где аналитики SOC могут запросить расширение доступа
    • Может запрашиваться только пользователями в клиенте SOC MSSP
    • Автоматический доступ истекает через 365 дней

    Сведения о новом пакете доступа на портале Microsoft Defender

    Дополнительные сведения см. в разделе Создание нового пакета для доступа.

  4. Предоставление ссылки на запрос доступа к ресурсам MSSP из идентификатора Клиента Microsoft Entra: Управление удостоверениями

    Ссылка на портал "Мой доступ" используется аналитиками MSSP SOC для запроса доступа через созданные пакеты доступа. Ссылка является устойчивой, то есть она может использоваться со временем для новых аналитиков. Запрос аналитика помещается в очередь для утверждения утверждателями аналитиков MSSP.

    Свойства доступа на портале Microsoft Defender

    Ссылка находится на странице обзора каждого пакета для доступа.

Управление доступом

  1. Просмотр и авторизация запросов на доступ в клиенте и (или) MSSP myaccess.

    Запросы доступа управляются в клиенте "Мой доступ" членами группы утверждающих аналитиков MSSP.

    Для этого получите доступ к myaccess клиента с помощью: https://myaccess.microsoft.com/@<Customer Domain>.

    Пример: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Утверждение или отклонение запросов в разделе Утверждения пользовательского интерфейса.

    На этом этапе был подготовлен доступ к аналитику, и каждый аналитик должен иметь доступ к порталу Microsoft Defender клиента:

    https://security.microsoft.com/?tid=<CustomerTenantId> с назначенными разрешениями и ролями.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.