Criar e gerir funções para controlo de acesso baseado em funções

  • Artigo

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Criar funções e atribuir a função a um grupo do Microsoft Entra

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Os passos seguintes orientam-no sobre como criar funções no portal do Microsoft Defender. Pressupõe que já criou grupos de utilizadores do Microsoft Entra.

  1. Inicie sessão no portal do Microsoft Defender com a conta com a função Administrador de Segurança atribuída.

  2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

  3. Selecione Adicionar função.

  4. Introduza o nome da função, a descrição e as permissões que pretende atribuir à função.

  5. Selecione Seguinte para atribuir a função a um grupo do Microsoft Entra Security.

  6. Utilize o filtro para selecionar o grupo Microsoft Entra ao qual pretende adicionar esta função.

  7. Guardar e fechar.

  8. Aplique as definições de configuração.

Importante

Depois de criar funções, terá de criar um grupo de dispositivos e fornecer acesso ao grupo de dispositivos ao atribuí-lo a uma função que acabou de criar.

Nota

A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Opções de permissão

  • Ver dados

    • Operações de Segurança – ver todos os dados de operações de segurança no portal
    • Gestão de Vulnerabilidades do Defender – Ver dados da Gestão de Vulnerabilidades do Defender no portal

  • Ações de remediação ativas

    • Operações de Segurança – Realize ações de resposta, aprove ou dispense ações de remediação pendentes, faça a gestão de listas permitidas/bloqueadas para automatização e indicadores
    • Gestão de Vulnerabilidades do Defender – Processamento de exceções – Criar novas exceções e gerir exceções ativas
    • Gestão de Vulnerabilidades do Defender – Processamento de remediação – Submeter novos pedidos de remediação, criar pedidos de suporte e gerir atividades de remediação existentes
    • Gestão de Vulnerabilidades do Defender – Processamento de aplicações – aplique ações de mitigação imediatas ao bloquear aplicações vulneráveis, como parte da atividade de remediação, gerir as aplicações bloqueadas e executar ações de desbloqueio

  • Linhas de base de segurança

    • Gestão de Vulnerabilidades do Defender – Gerir perfis de avaliação de linhas de base de segurança – crie e faça a gestão de perfis para que possa avaliar se os seus dispositivos estão em conformidade com as linhas de base do setor de segurança.

  • Investigação de alertas – Gerir alertas, iniciar investigações automatizadas, executar análises, recolher pacotes de investigação, gerir etiquetas de dispositivos e transferir apenas ficheiros executáveis portáteis (PE)

  • Gerir definições do sistema de portal – Configurar definições de armazenamento, definições da API intel de SIEM e ameaças (aplica-se globalmente), definições avançadas, carregamentos de ficheiros automatizados, funções e grupos de dispositivos

    Nota

    Esta definição só está disponível na função Administrador do Microsoft Defender para Ponto Final (predefinição).

  • Gerir definições de segurança no Centro de Segurança - Configurar definições de supressão de alertas, gerir exclusões de pastas para automatização, integrar e excluir dispositivos, gerir notificações por e-mail, gerir o laboratório de avaliação e gerir listas permitidas/bloqueadas para indicadores

  • Capacidades de resposta em direto

    • Comandos básicos :
      • Iniciar uma sessão de resposta em direto
      • Executar comandos de resposta em direto só de leitura no dispositivo remoto (excluindo a cópia e a execução de ficheiros)
      • Transferir um ficheiro do dispositivo remoto através da resposta em direto
    • Comandos avançados :
      • Transferir ficheiros PE e não PE a partir da página de ficheiros
      • Carregar um ficheiro para o dispositivo remoto
      • Ver um script a partir da biblioteca de ficheiros
      • Executar um script no dispositivo remoto a partir da biblioteca de ficheiros

Para obter mais informações sobre os comandos disponíveis, veja Investigar dispositivos com a resposta em direto.

Editar funções

  1. Inicie sessão no portal do Microsoft Defender com a conta com a função de Administrador de segurança atribuída.

  2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

  3. Selecione a função que pretende editar.

  4. Clique em Editar.

  5. Modifique os detalhes ou os grupos atribuídos à função.

  6. Clique em Guardar e fechar.

Eliminar funções

  1. Inicie sessão no portal do Microsoft Defender com a conta com a função Administrador de Segurança atribuída.

  2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

  3. Selecione a função que pretende eliminar.

  4. Clique no botão pendente e selecione Eliminar função.

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.