Atribuir funções e permissões para a implementação do Microsoft Defender para Endpoint
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
O próximo passo ao implementar o Defender para Endpoint é atribuir funções e permissões para a implementação do Defender para Endpoint.
Importante
A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Controle de acesso baseado em função
A Microsoft recomenda a utilização do conceito de privilégios mínimos. O Defender para Endpoint tira partido das funções incorporadas no Microsoft Entra ID. A Microsoft recomenda que reveja as diferentes funções que estão disponíveis e escolha a mais adequada para resolver as suas necessidades para cada persona para esta aplicação. Algumas funções poderão ter de ser aplicadas temporariamente e removidas após a conclusão da implementação.
Personas | Funções | Função Microsoft Entra (se necessário) | Atribuir a |
---|---|---|---|
Administrador de Segurança | |||
Analista de Segurança | |||
Administrador de Pontos Finais | |||
Administrador de Infraestrutura | |||
Proprietário/Interveniente da Empresa |
A Microsoft recomenda a utilização do Privileged Identity Management para gerir as suas funções para fornecer auditoria, controlo e revisão de acesso adicionais para utilizadores com permissões de diretório.
O Defender para Endpoint suporta duas formas de gerir permissões:
Gestão de permissões básica: defina permissões para acesso total ou só de leitura. Os utilizadores com funções de Administrador Global ou Administrador de Segurança no ID do Microsoft Entra têm acesso total. A função Leitor de segurança tem acesso só de leitura e não concede acesso para ver o inventário de computadores/dispositivos.
Controlo de acesso baseado em funções (RBAC): defina permissões granulares ao definir funções, atribuir grupos de utilizadores do Microsoft Entra às funções e conceder aos grupos de utilizadores acesso a grupos de dispositivos. Para obter mais informações. veja Gerir o acesso ao portal com o controlo de acesso baseado em funções.
A Microsoft recomenda tirar partido do RBAC para garantir que apenas os utilizadores com uma justificação comercial podem aceder ao Defender para Endpoint.
Pode encontrar detalhes sobre as diretrizes de permissão aqui: Criar funções e atribuir a função a um grupo do Microsoft Entra.
A tabela de exemplo seguinte serve para identificar a estrutura do Centro de Operações de Defesa Cibernética no seu ambiente que o ajudará a determinar a estrutura RBAC necessária para o seu ambiente.
Camada | Descrição | Permissão Necessária |
---|---|---|
Camada 1 | Equipe de operações de segurança local / equipe de TI Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa. |
|
Camada 2 | Equipe de operações de segurança regional Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação. |
Exibir dados |
Camada 3 | Equipe de operações de segurança global Esta equipa é constituída por especialistas em segurança e está autorizada a ver e realizar todas as ações a partir do portal. |
Exibir dados Investigação de alertas Ações de remediação ativa Investigação de alertas Ações de remediação ativa Gerir definições do sistema de portal Gerenciar configurações de segurança |
Próxima etapa
Depois de atribuir funções e permissões para ver e gerir o Defender para Ponto Final, está na altura do Passo 3 – Identificar a sua arquitetura e escolher o método de implementação.
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.