必要條件和支援

本文說明使用 Microsoft 安全性暴露風險管理 的需求和必要條件。

權限

重要

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

使用 Microsoft Defender 全面偵測回應 Unified 角色型存取控制 (RBAC) 來管理許可權

Microsoft Defender 全面偵測回應 RBAC) (整合角色型存取控制,可讓您建立具有公開管理特定許可權的自定義角色。 這些許可權位於整合 RBAC 許可權模型 Defender 全面偵測回應 安全性狀態類別之下,並命名為:

  • 公開管理 (唯讀取的讀取)
  • 曝光管理 (管理存取權 以管理曝光管理體驗的)

如需曝光管理中更敏感的動作,使用者需要 核心安全性設定 (管理位於 [授權和設定 ] 類別下的) 許可權。

若要存取曝光管理數據和動作,Defender 全面偵測回應 Unified RBAC 中具有此處所述任何許可權的自定義角色,應指派給 Microsoft 安全性暴露風險管理 數據源。

若要深入瞭解如何使用 Microsoft Defender 全面偵測回應 Unified RBAC 來管理您的安全分數許可權,請參閱 Microsoft Defender 全面偵測回應 RBAC) (整合角色型訪問控制

下表強調使用者可以使用每個權限來存取或執行的專案:

許可權名稱 動作
曝光管理 (讀取) 存取所有曝光管理體驗,以及所有可用數據的讀取存取權
曝光管理 (管理) 除了讀取許可權之外,使用者還可以設定計劃目標分數、編輯計量值、管理建議 (可能需要與需要採取的特定動作相關的額外許可權)
(管理) 的核心安全性設定 將廠商連線或變更為外部攻擊面管理計劃

若要進行完整 Microsoft 安全性暴露風險管理 存取,使用者角色需要存取所有適用於端點的 Defender 裝置群組。 具有部分組織裝置群組限制存取權的使用者可以:

  • 存取全域曝光深入解析數據。
  • 僅在其範圍內檢視計量、建議、事件和計劃歷程記錄下受影響的資產。
  • 檢視位於其範圍內攻擊路徑中的裝置。
  • (ExposureGraphNodes 和 ExposureGraphEdges) 存取其可存取之裝置群組的 安全性暴露風險管理 攻擊面對應和進階搜捕架構。

注意

在 [系統>設定>] 下 Microsoft Defender 全面偵測回應 具有重要資產管理管理許可權的存取權,需要使用者能夠存取所有適用於端點的 Defender 裝置群組。

使用 Microsoft Entra ID 角色存取

使用 Microsoft Defender 全面偵測回應 整合 RBAC 許可權來管理存取權的替代方法是,Microsoft Entra ID 角色也可以存取 Microsoft 安全性暴露風險管理 數據和動作。 您需要至少具有一個全域 管理員 或安全性 管理員 的租使用者,才能建立 安全性暴露風險管理 工作區。

若要取得完整存取權,使用者需要下列其中一個 Microsoft Entra ID 角色:

  • 全域 管理員 (讀取和寫入許可權)
  • ( 讀取和寫入許可權) 的安全性 管理員
  • 安全性操作員 (讀取和有限的寫入許可權)
  • 全域讀取者 (讀取許可權)
  • 安全性讀取 ( 讀取許可權)

許可權等級會在數據表中摘要說明。

動作 Global Admin 全域讀取者 安全性系統管理員 安全性操作員 安全性讀取者
將許可權授與其他人 - - - -
將您的組織上線至 Microsoft Defender 外部受攻擊面管理 (EASM) 方案
將計劃標示為我的最愛
設定計劃目標分數 - - -
檢視一般計劃
共用計量/建議
編輯計量權數 - - -
匯出計量 (PDF)
檢視計量
匯出資產 (計量/建議)
管理建議 - - -
檢視建議
匯出事件
變更重要性層級 - -
設定重要資產規則 - - -
建立關鍵性規則 - - -
開啟/關閉關鍵性規則 - -
對曝光圖表數據執行查詢
設定數據連接器
檢視數據連接器

瀏覽器需求

您可以使用 Microsoft Edge、Internet Explorer 11 或任何 HTML 5 相容網頁瀏覽器,在 Microsoft Defender 入口網站中存取 安全性暴露風險管理。

重大資產分類

  • 開始之前,請先瞭解 安全性暴露風險管理 中的重要資產管理

  • 檢閱 處理重要資產所需的許可權。

  • 分類重要資產時,我們支援執行適用於端點的 Defender 感測器 10.3740.XXXX 版或更新版本的裝置。 我們建議您執行較新的感測器版本,如適用於端點的 Defender 新功能 頁面中所列。

    您可以檢查裝置執行的感測器版本,如下所示:

    • 在特定裝置上,流覽至 C:\Program Files\Windows Defender 進階威脅防護中的 MsSense.exe 檔案。 以滑鼠右鍵按一下檔案,然後按一下 [屬性]。 在 [ 詳細數據] 索 引標籤上,檢查檔案版本。

    • 針對多個裝置,執行 進階搜捕 Kusto 查詢 以檢查裝置感測器版本會比較容易,如下所示:

      DeviceInfo | project DeviceName, ClientVersion

取得支援

若要取得支援,請選取 [Microsoft 安全性] 工具列中的 [說明] 問號圖示。

入口網站標頭列中 Microsoft Defender 安全性入口網站 [說明] 按鈕的螢幕快照。

您也可以與 Microsoft技術社群互動。

後續步驟

開始使用 Microsoft 安全性暴露風險管理