Grupos de funções do Microsoft Defender for Identity
O Microsoft Defender for Identity oferece segurança baseada em funções para proteger os dados de acordo com as necessidades específicas de segurança e conformidade da sua organização. Recomendamos que você use grupos de funções para gerenciar o acesso ao Defender for Identity, segregando responsabilidades em toda a sua equipe de segurança e concedendo apenas a quantidade de acesso de que os usuários precisam para fazer seus trabalhos.
RBAC (controle de acesso unificado baseado em função)
Os usuários que já são Administradores Globais ou Administradores de Segurança na ID do Microsoft Entra do seu locatário também são automaticamente administradores do Defender for Identity. Os administradores globais e de segurança do Microsoft Entra não precisam de permissões adicionais para acessar o Defender for Identity.
Para outros usuários, habilite e use o RBAC (controle de acesso baseado em função) do Microsoft 365 para criar funções personalizadas e oferecer suporte a mais funções de ID do Entra, como operador de segurança ou leitor de segurança, por padrão, para gerenciar o acesso ao Defender for Identity.
Ao criar suas funções personalizadas, certifique-se de aplicar as permissões listadas na tabela a seguir:
| Nível de acesso do Defender for Identity | Permissões RBAC unificadas mínimas necessárias do Microsoft 365 |
|---|---|
| Administradores | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Utilizadores | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Espectadores | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Para obter mais informações, consulte Funções personalizadas no controle de acesso baseado em função para o Microsoft Defender XDR e Criar funções personalizadas com o Microsoft Defender XDR Unified RBAC.
Nota
As informações incluídas no registro de atividades do Defender for Cloud Apps ainda podem conter dados do Defender for Identity. Este conteúdo está de acordo com as permissões existentes do Defender for Cloud Apps.
Exceção: Se você configurou a implantação com escopo para alertas do Microsoft Defender for Identity no portal do Microsoft Defender for Cloud Apps, essas permissões não serão transferidas e você terá que conceder explicitamente as permissões Operações de segurança \ Dados de segurança \ Noções básicas de dados de segurança (leitura) para os usuários relevantes do portal.
Permissões necessárias Defender for Identity no Microsoft Defender XDR
A tabela a seguir detalha as permissões específicas necessárias para atividades do Defender for Identity no Microsoft Defender XDR.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.
| Atividade | Permissões menos necessárias |
|---|---|
| Onboard Defender for Identity (criar espaço de trabalho) | Administrador de Segurança |
| Definir configurações do Defender for Identity | Uma das seguintes funções do Microsoft Entra: - Administrador de Segurança - Operador de Segurança Or As seguintes permissões RBAC unificadas: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Ver as definições do Defender for Identity | Uma das seguintes funções do Microsoft Entra: - Leitor Global - Leitor de Segurança Or As seguintes permissões RBAC unificadas: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gerenciar alertas e atividades de segurança do Defender for Identity | Uma das seguintes funções do Microsoft Entra: - Operador de Segurança Or As seguintes permissões RBAC unificadas: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Ver avaliações de segurança do Defender for Identity (agora parte do Microsoft Secure Score) |
Permissões para acessar o Microsoft Secure Score And As seguintes permissões RBAC unificadas: Security operations/Security data /Security data basics (Read) |
| Ver a página Ativos/Identidades | Permissões para acessar o Defender for Cloud Apps Or Uma das funções do Microsoft Entra exigidas pelo Microsoft Defender XDR |
| Executar ações de resposta do Defender for Identity | Uma função personalizada definida com permissões para Resposta (gerenciar) Or Uma das seguintes funções do Microsoft Entra: - Operador de Segurança |
Defender para grupos de segurança de identidade
O Defender for Identity fornece os seguintes grupos de segurança para ajudar a gerenciar o acesso aos recursos do Defender for Identity:
- Administradores do Azure ATP (nome do espaço de trabalho)
- Usuários do Azure ATP (nome do espaço de trabalho)
- Azure ATP (nome do espaço de trabalho) Visualizadores
A tabela a seguir lista as atividades disponíveis para cada grupo de segurança:
| Atividade | Administradores do Azure ATP (nome do espaço de trabalho) | Usuários do Azure ATP (nome do espaço de trabalho) | Azure ATP (nome do espaço de trabalho) Visualizadores |
|---|---|---|---|
| Alterar o status do problema de integridade | Disponível | Não disponível | Não disponível |
| Alterar o estado do alerta de segurança (reabrir, fechar, excluir, suprimir) | Disponível | Disponíveis | Não disponível |
| Excluir espaço de trabalho | Disponível | Não disponível | Não disponível |
| Descarregar um relatório | Disponível | Disponível | Disponíveis |
| Iniciar sessão | Disponível | Disponível | Disponíveis |
| Alertas de segurança de compartilhamento/exportação (via e-mail, obter link, detalhes do download) | Disponível | Disponível | Disponíveis |
| Configuração do Update Defender for Identity (atualizações) | Disponível | Não disponível | Não disponível |
| Configuração do Update Defender for Identity (tags de entidade, incluindo confidenciais e honeytoken) | Disponível | Disponíveis | Não disponível |
| Configuração do Update Defender for Identity (exclusões) | Disponível | Disponíveis | Não disponível |
| Configuração do Update Defender for Identity (idioma) | Disponível | Disponíveis | Não disponível |
| Configuração do Update Defender for Identity (notificações, incluindo e-mail e syslog) | Disponível | Disponíveis | Não disponível |
| Configuração do Update Defender for Identity (deteções de visualização) | Disponível | Disponíveis | Não disponível |
| Configuração do Update Defender for Identity (relatórios agendados) | Disponível | Disponíveis | Não disponível |
| Configuração do Update Defender for Identity (fontes de dados, incluindo serviços de diretório, SIEM, VPN, Defender for Endpoint) | Disponível | Não disponível | Não disponível |
| Configuração do Update Defender for Identity (gerenciamento de sensores, incluindo download de software, regeneração de chaves, configuração, exclusão) | Disponível | Não disponível | Não disponível |
| Exibir perfis de entidade e alertas de segurança | Disponível | Disponível | Disponíveis |
Adicionar e remover usuários
O Defender for Identity usa grupos de segurança do Microsoft Entra como base para grupos de funções.
Gerencie seus grupos de funções na página Gerenciamento de grupos no portal do Azure. Somente os usuários do Microsoft Entra podem ser adicionados ou removidos dos grupos de segurança.