訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
必要條件和支援
本文說明使用 Microsoft 安全性暴露風險管理 的需求和必要條件。
重要
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 可讓您建立具有公開管理特定許可權的自定義角色。 這些許可權位於統 Defender 全面偵測回應 整合 RBAC 許可權模型中的安全性狀態類別之下,並命名為:
- 公開管理 (唯讀取的讀取)
- 曝光管理 (管理存取權 以管理曝光管理體驗的)
如需曝光管理中更敏感的動作,使用者需要 核心安全性設定 (管理位於 [授權和設定 ] 類別下的) 許可權。
若要存取曝光管理數據和動作,Defender 全面偵測回應 整合 RBAC 中具有此處所述任何許可權的自定義角色,應指派給 Microsoft 安全性暴露風險管理 數據源。
若要深入瞭解如何使用 Microsoft Defender 全面偵測回應 Unified RBAC 來管理您的安全分數許可權,請參閱 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 。
下表強調使用者可以使用每個權限來存取或執行的專案:
| 許可權名稱 | 動作 |
|---|---|
| 曝光管理 (讀取) | 存取所有曝光管理體驗,以及所有可用數據的讀取存取權 |
| 曝光管理 (管理) | 除了讀取許可權,只要使用者可以存取所有適用於端點的 Defender 裝置群組,使用者就可以設定計劃目標分數和編輯計量值。 |
| (管理) 的核心安全性設定 | 將廠商連線或變更為外部攻擊面管理計劃 |
若要進行完整 Microsoft 安全性暴露風險管理 存取,使用者角色需要存取所有適用於端點的 Defender 裝置群組。 具有部分組織裝置群組限制存取權的使用者可以:
- 存取全域曝光深入解析數據。
- 僅在其範圍內檢視計量、建議、事件和計劃歷程記錄下受影響的資產。
- 檢視位於其範圍內攻擊路徑中的裝置。
- (ExposureGraphNodes 和 ExposureGraphEdges) 存取其可存取之裝置群組的 安全性暴露風險管理 攻擊面對應和進階搜捕架構。
注意
在 [系統>設定>] Microsoft Defender 全面偵測回應 底下,具有 [重要資產管理] 管理許可權的存取權需要用戶能夠存取所有適用於端點的 Defender 裝置群組。
使用 Microsoft Defender 全面偵測回應 整合 RBAC 許可權來管理存取權的替代方法是,Microsoft Entra ID 角色也可以存取 Microsoft 安全性暴露風險管理 數據和動作。 您需要至少具有一個全域 管理員 或安全性 管理員 的租使用者,才能建立 安全性暴露風險管理 工作區。
若要取得完整存取權,使用者需要下列其中一個 Microsoft Entra ID 角色:
全域 管理員 (讀取和寫入許可權)
( 讀取和寫入許可權) 的安全性 管理員
安全性作員 (讀取和有限的寫入許可權)
全域讀取者 (讀取許可權)
安全性讀取 ( 讀取許可權)
服務支援 系統管理員 (讀取許可權)
用戶系統管理員 (讀取許可權)
技術服務人員系統管理員 (讀取許可權)
Exchange 系統管理員 (讀取和寫入許可權)
SharePoint 系統管理員 (讀取和寫入許可權)
許可權等級會在數據表中摘要說明。
| 動作 | Global Admin | 全域讀取者 | 安全性系統管理員 | 安全性操作員 | 安全性讀取者 |
|---|---|---|---|---|---|
| 將許可權授與其他人 | ✔ | - | - | - | - |
| 將您的組織上線至 Microsoft Defender 外部受攻擊面管理 (EASM) 方案 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 將計劃標示為我的最愛 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 設定計劃目標分數 | ✔ | - | ✔ | - | - |
| 檢視一般計劃 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 共用計量/建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 編輯計量權數 | ✔ | - | ✔ | - | - |
| 匯出計量 (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
| 檢視計量 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 匯出資產 (計量/建議) | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理建議 | ✔ | - | ✔ | - | - |
| 檢視建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 匯出事件 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 變更重要性層級 | ✔ | - | ✔ | ✔ | - |
| 設定重要資產規則 | ✔ | - | ✔ | - | - |
| 建立關鍵性規則 | ✔ | - | ✔ | - | - |
| 開啟/關閉關鍵性規則 | ✔ | - | ✔ | ✔ | - |
| 對曝光圖表數據執行查詢 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 設定數據連接器 | ✔ | ✔ | ✔ | ||
| 檢視數據連接器 | ✔ | ✔ | ✔ | ✔ | ✔ |
您可以使用 Microsoft Edge、Internet Explorer 11 或任何 HTML 5 相容網頁瀏覽器,在 Microsoft Defender 入口網站中存取 安全性暴露風險管理。
開始之前,請先瞭解 安全性暴露風險管理 中的重要資產管理。
檢閱 處理重要資產所需的許可權。
分類重要資產時,我們支援執行適用於端點的 Defender 感測器 10.3740.XXXX 版或更新版本的裝置。 我們建議您執行較新的感測器版本,如適用於端點的 Defender 新功能 頁面中所列。
您可以檢查裝置執行的感測器版本,如下所示:
在特定裝置上,流覽至 C:\Program Files\Windows Defender 進階威脅防護中的 MsSense.exe 檔案。 以滑鼠右鍵按一下檔案,然後按一下 [屬性]。 在 [ 詳細數據] 索 引標籤上,檢查檔案版本。
針對多個裝置,執行 進階搜捕 Kusto 查詢 以檢查裝置感測器版本會比較容易,如下所示:
DeviceInfo | project DeviceName, ClientVersion
我們目前從第一方Microsoft產品擷取和處理支持的數據,使其可在企業曝光圖表內使用,並提供在來源產品生產 72 小時內建置在圖表數據之上的適用 Microsoft 安全性暴露風險管理 體驗。
Microsoft在企業曝光圖表和/或 Microsoft 安全性暴露風險管理 中,產品數據會保留不超過 14 天。 只會保留從Microsoft產品接收的最新數據快照集;我們不會儲存歷程記錄數據。
某些企業曝光圖表和/或 Microsoft 安全性暴露風險管理 體驗數據可透過進階搜捕進行查詢,並受限於進階搜捕服務限制。
我們保留未來修改部分或全部參數的許可權,包括:
- 數據擷取頻率和有效期限:我們可能會增加目前的 72 小時延遲, (減少部分或所有Microsoft數據源的數據擷取) 頻率。
- 數據保留期間:我們可能會減少目前 14 天的數據保留期間。
- 服務功能:我們可能會改變、限制或停止以企業曝光圖表和/或 Microsoft 安全性暴露風險管理 數據為基礎的服務特定功能、功能或功能。
- 數據查詢限制:我們可能會對可針對企業曝光圖表或 Microsoft 安全性暴露風險管理 數據執行的數據查詢數目、頻率或類型施加限制。
我們會做出合理的努力,事先通知服務的任何重大變更。 不過,您同意並同意您完全負責監視任何這類通知。
若要取得支援,請選取 [Microsoft 安全性] 工具列中的 [說明] 問號圖示。
![入口網站標頭列中 Microsoft Defender 安全性入口網站 [說明] 按鈕的螢幕快照。](media/microsoft-defender-portal-header.png)
您也可以與 Microsoft技術社群互動。
其他資源
文件
-
Microsoft 安全性暴露風險管理的整合和授權 - Microsoft Security Exposure Management
瞭解整合功能、授權選項,以及如何開始使用 Microsoft 安全性暴露風險管理。
-
什麼是 Microsoft 安全性暴露風險管理? - Microsoft Security Exposure Management
瞭解 Microsoft 安全性暴露風險管理 如何增強及擴充安全性狀態管理。
-
版本資訊 - Microsoft Security Exposure Management
此頁面經常更新為 Microsoft 安全性暴露風險管理 中的最新更新。