Atribuir funções e permissões para implementação de Microsoft Defender para Endpoint

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O próximo passo ao implementar o Defender para Endpoint é atribuir funções e permissões para a implementação do Defender para Endpoint.

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Controlo de acesso baseado em funções

A Microsoft recomenda a utilização do conceito de privilégios mínimos. O Defender para Endpoint tira partido das funções incorporadas no Microsoft Entra ID. Reveja as diferentes funções disponíveis e escolha a mais adequada para resolver as suas necessidades para cada persona para esta aplicação. Algumas funções poderão ter de ser aplicadas temporariamente e removidas após a conclusão da implementação.

A Microsoft recomenda a utilização de Privileged Identity Management para gerir as suas funções para fornecer auditoria, controlo e revisão de acesso adicionais aos utilizadores com permissões de diretório.

O Defender para Endpoint suporta duas formas de gerir permissões:

  • Gestão de permissões básica: defina permissões para acesso total ou só de leitura. Os utilizadores com uma função, como Administrador de Segurança no Microsoft Entra ID têm acesso total. A função Leitor de segurança tem acesso só de leitura e não concede acesso para ver o inventário de computadores/dispositivos.

  • Controlo de acesso baseado em funções (RBAC): defina permissões granulares ao definir funções, atribuir Microsoft Entra grupos de utilizadores às funções e conceder aos grupos de utilizadores acesso a grupos de dispositivos. Para obter mais informações. veja Gerir o acesso ao portal com o controlo de acesso baseado em funções.

A Microsoft recomenda tirar partido do RBAC para garantir que apenas os utilizadores com uma justificação comercial podem aceder ao Defender para Endpoint.

Pode encontrar detalhes sobre as diretrizes de permissão aqui: Criar funções e atribuir a função a um grupo de Microsoft Entra.

A tabela de exemplo seguinte serve para identificar a estrutura do Centro de Operações de Defesa Cibernética no seu ambiente que o ajudará a determinar a estrutura RBAC necessária para o seu ambiente.

Camada Descrição Permissões necessárias
Camada 1 Equipa de operações de segurança local/equipa de TI

Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa.
Ver dados
Camada 2 Equipa de operações de segurança regional

Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação.
Ver dados

Investigação de alertas

Ações de remediação ativas

Camada 3 Equipa global de operações de segurança

Esta equipa é constituída por especialistas em segurança e está autorizada a ver e realizar todas as ações a partir do portal.
Ver dados

Investigação de alertas

Ações de remediação ativas

Gerir definições do sistema de portal

Gerir definições de segurança

Passo seguinte

Depois de atribuir funções e permissões para ver e gerir o Defender para Ponto Final, está na altura do Passo 3 – Identificar a sua arquitetura e escolher o método de implementação.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.