Monitoramento do Microsoft Defender para Identidade

O Microsoft Defender para Identidade oferece segurança baseada em função para proteger os dados de acordo com as necessidades específicas de segurança e conformidade da sua organização. Recomendamos que você use grupos de funções para gerenciar o acesso ao Defender para Identidade, separando responsabilidades entre sua equipe de segurança e concedendo apenas a quantidade de acesso que os usuários precisam para realizar seus trabalhos.

Controle de acesso baseado em função (RBAC) unificado

Os usuários que já são Administradores Globais ou Administradores de Segurança no Microsoft Entra ID do seu locatário também são automaticamente administradores do Defender para Identidade. Os administradores globais e de segurança do Microsoft Entra não precisam de permissões extras para acessar o Defender para Identidade.

Para outros usuários, habilite e use o controle de acesso baseado em função (RBAC) do Microsoft 365 para criar funções personalizadas e oferecer suporte padrão a mais funções do Entra ID, como Operador de segurança e Leitor de segurança para gerenciar o acesso ao Defender para Identidade.

Ao criar suas funções personalizadas, certifique-se de aplicar as permissões listadas na tabela a seguir:

Nível de acesso do Defender para Identidade Permissões RBAC unificadas mínimas necessárias do Microsoft 365
Administradores - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Usuários - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Visualizadores - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Para obter mais informações, consulte Funções personalizadas no controle de acesso baseado em função para o Microsoft Defender XDR e Criar funções personalizadas com o Microsoft Defender XDR Unified RBAC.

Observação

As informações incluídas no registro de atividades do Defender para Aplicativos de Nuvem ainda podem conter dados do Defender para Identidade. Este conteúdo segue as permissões existentes do Defender para Aplicativos de Nuvem.

Exceção: se você tiver configurado a Implantação com escopo para alertas do Microsoft Defender para Identidade no portal do Microsoft Defender para Aplicativos de Nuvem, essas permissões não serão transferidas e você terá que conceder explicitamente as permissões Operações de segurança \ Dados de segurança \ Dados de segurança básicos (leitura) para os usuários relevantes do portal.

Permissões necessárias para o Defender para Identidade no Microsoft Defender XDR

A tabela a seguir detalha as permissões específicas necessárias para as atividades do Defender para Identidade no Microsoft Defender XDR.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Atividade Permissões menos necessárias
Integrar o Defender para Identidade (criar espaço de trabalho) Administrador de segurança
Definir as configurações para o Defender para Identidade Uma das seguintes funções do Microsoft Entra:
- Administrador de segurança
- Operador de Segurança
Or
As seguintes permissões RBAC unificadas:
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Exibir configurações do Defender para Identidade Uma das seguintes funções do Microsoft Entra:
- Leitor global
- Leitor de segurança
Or
As seguintes permissões RBAC unificadas:
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Gerenciar alertas e atividades de segurança do Defender para Identidade Uma das seguintes funções do Microsoft Entra:
- Operador de Segurança
Or
As seguintes permissões RBAC unificadas:
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Exibir avaliações de segurança do Defender para Identidade
(agora parte do Microsoft Secure Score)
Permissões para acessar o Microsoft Secure Score
And
As seguintes permissões RBAC unificadas: Security operations/Security data /Security data basics (Read)
Exibir a página Ativos / Identidades Permissões para acessar o Defender para Aplicativos de Nuvem
Or
Uma das funções do Microsoft Entra exigidas pelo Microsoft Defender XDR
Executar ações de resposta do Defender para Identidade Uma função personalizada definida com permissões para Resposta (gerenciar)
Or
Uma das seguintes funções do Microsoft Entra:
- Operador de Segurança

Grupos de segurança do Defender para Identidade

O Defender para Identidade fornece os seguintes grupos de segurança para ajudar a gerenciar o acesso aos recursos do Defender para Identidade:

  • Administradores do Azure ATP (nome do espaço de trabalho)
  • Usuários do Azure ATP (nome do espaço de trabalho)
  • Visualizadores do Azure ATP (nome do espaço de trabalho)

A tabela a seguir lista as atividades disponíveis para cada grupo de segurança:

Atividade Administradores do Azure ATP (nome do espaço de trabalho) Usuários do Azure ATP (nome do espaço de trabalho) Visualizadores do Azure ATP (nome do espaço de trabalho)
Alterar o status do problema de integridade Disponível Não disponível Não disponível
Alterar o status do alerta de segurança (reabrir, fechar, excluir, suprimir) Disponível Disponível Não disponível
Excluir workspace Disponível Não disponível Não disponível
Baixar um relatório Disponível Disponível Disponível
Entrar Disponível Disponível Disponível
Compartilhar/exportar alertas de segurança (via email, obter link, detalhes de download) Disponível Disponível Disponível
Atualizar a configuração do Defender para Identidade (atualizações) Disponível Não disponível Não disponível
Atualizar a configuração do Defender para Identidade (marcas de entidade, incluindo confidencial e honeytoken) Disponível Disponível Não disponível
Atualizar a configuração do Defender para Identidade (exclusões) Disponível Disponível Não disponível
Atualizar a configuração do Defender para Identidade (idioma) Disponível Disponível Não disponível
Atualizar a configuração do Defender para Identidade (notificações, incluindo email e syslog) Disponível Disponível Não disponível
Atualizar a configuração do Defender para Identidade (detecções prévias) Disponível Disponível Não disponível
Atualizar a configuração do Defender para Identidade (relatórios agendados) Disponível Disponível Não disponível
Atualizar a configuração do Defender para Identidade (fontes de dados, incluindo serviços de diretório, SIEM, VPN, Defender para Ponto de Extremidade) Disponível Não disponível Não disponível
Atualizar a configuração do Defender para Identidade (gerenciamento de sensores, incluindo download de software, regeneração de chaves, configuração, exclusão) Disponível Não disponível Não disponível
Exibir perfis de entidade e alertas de segurança Disponível Disponível Disponível

Adicionar e remover usuários.

O Defender para Identidade usa grupos de segurança do Microsoft Entra como base para grupos de funções.

Gerencie seus grupos de funções na página Gerenciamento de grupos no portal do Azure. Somente usuários do Microsoft Entra podem ser adicionados ou removidos de grupos de segurança.

Próxima etapa