Предоставление доступа к управляемому поставщику служб безопасности (MSSP) (предварительная версия)

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Чтобы реализовать мультитенантное делегированное решение для доступа, сделайте следующее:

  1. Включите управление доступом на основе ролей в Defender для конечной точки и подключитесь к группам Active Directory (AD).

  2. Настройка пакетов управления доступом для запроса доступа и подготовки.

  3. Управление запросами доступа и аудитами в Microsoft Myaccess.

Включение управления доступом на основе ролей в Microsoft Defender для конечной точки

  1. Create групп доступа для ресурсов MSSP в AAD клиента: группы

    Эти группы связаны с ролями, создаваемыми в Defender для конечной точки. Для этого в клиенте AD клиента создайте три группы. В нашем примере мы создадим следующие группы:

    • Аналитик уровня 1
    • Аналитик уровня 2
    • Утверждающие аналитики MSSP

  2. Create роли Defender для конечной точки для соответствующих уровней доступа в Customer Defender для конечной точки.

    Чтобы включить RBAC на портале Microsoft Defender клиента, получите доступ к параметрам > Конечные > точки Разрешения > Роли и "Включить роли" из учетной записи пользователя с правами глобального администратора или администратора безопасности.

    Затем создайте роли RBAC в соответствии с требованиями уровня SOC MSSP. Свяжите эти роли с созданными группами пользователей с помощью команды "Назначенные группы пользователей".

    Две возможные роли:

    • Аналитики уровня 1

      Выполняйте все действия, кроме динамического ответа и управления параметрами безопасности.

    • Аналитики уровня 2

      Возможности уровня 1 с добавлением динамического ответа

    Дополнительные сведения см. в разделе Использование управления доступом на основе ролей.

Настройка пакетов управления доступом

  1. Добавление MSSP в качестве подключенной организации в AAD клиента: управление удостоверениями

    Добавление MSSP в качестве подключенной организации позволяет MSSP запрашивать и подготавливать доступы.

    Для этого в клиенте AD получите доступ к управлению удостоверениями: подключенная организация. Добавьте новую организацию и выполните поиск клиента аналитика MSSP с помощью идентификатора клиента или домена. Мы рекомендуем создать отдельный клиент AD для аналитиков MSSP.

  2. Create каталога ресурсов в AAD клиента: управление удостоверениями

    Каталоги ресурсов — это логическая коллекция пакетов доступа, созданных в клиенте AD клиента.

    Для этого в клиенте AD перейдите к управлению удостоверениями: каталоги и добавьте новый каталог. В нашем примере это называется MSSP Accesses.

    Страница нового каталога

    Дополнительные сведения см. в Create каталоге ресурсов.

  3. Create пакетов доступа для ресурсов MSSP Customer AAD: Identity Governance

    Пакеты доступа — это коллекция прав и доступов, которые запрашивающий предоставляется после утверждения.

    Для этого в клиенте AD получите доступ к управлению удостоверениями: пакеты доступа и добавьте новый пакет доступа. Create пакет доступа для утверждающих MSSP и каждого уровня аналитика. Например, следующая конфигурация аналитика уровня 1 создает пакет доступа, который:

    • Требуется, чтобы участник группы AD MsSP Analyst Утверждающий разрешал новые запросы
    • Имеет ежегодные проверки доступа, где аналитики SOC могут запросить расширение доступа
    • Может запрашиваться только пользователями в клиенте SOC MSSP
    • Автоматический доступ истекает через 365 дней

    Страница

    Дополнительные сведения см. в разделе Create нового пакета для доступа.

  4. Предоставление ссылки на запрос доступа к ресурсам MSSP из AAD клиента: управление удостоверениями

    Ссылка на портал "Мой доступ" используется аналитиками MSSP SOC для запроса доступа через созданные пакеты доступа. Ссылка является устойчивой, то есть она может использоваться со временем для новых аналитиков. Запрос аналитика помещается в очередь для утверждения утверждателями аналитиков MSSP.

    Страница

    Ссылка находится на странице обзора каждого пакета для доступа.

Управление доступом

  1. Просмотр и авторизация запросов на доступ в клиенте и (или) MSSP myaccess.

    Запросы доступа управляются в клиенте "Мой доступ" членами группы утверждающих аналитиков MSSP.

    Для этого получите доступ к myaccess клиента с помощью: https://myaccess.microsoft.com/@<Customer Domain>.

    Пример: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Утверждение или отклонение запросов в разделе Утверждения пользовательского интерфейса.

    На этом этапе был подготовлен доступ к аналитику, и каждый аналитик должен иметь доступ к порталу Microsoft Defender клиента:https://security.microsoft.com/?tid=<CustomerTenantId>

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.