Группы ролей в Microsoft Defender для удостоверений
Microsoft Defender для удостоверений обеспечивает безопасность на основе ролей для защиты данных в соответствии с конкретными потребностями безопасности и соответствия вашей организации. Мы рекомендуем использовать группы ролей для управления доступом к Defender для удостоверений, разделения обязанностей между командой безопасности и предоставления только объема доступа, необходимого пользователям для выполнения своих заданий.
Унифицированное управление доступом на основе ролей (RBAC)
Пользователи, которые уже являются глобальными администраторами или администраторами безопасности в идентификаторе Microsoft Entra клиента, также автоматически защитником удостоверений. Глобальные администраторы Microsoft Entra и администраторы безопасности не нуждаются в дополнительных разрешениях для доступа к Defender для удостоверений.
Для других пользователей включите и используйте управление доступом на основе ролей Microsoft 365 (RBAC) для создания пользовательских ролей и поддержки дополнительных ролей идентификатора записи, таких как оператор безопасности или средство чтения безопасности по умолчанию для управления доступом к Defender для удостоверений.
При создании пользовательских ролей убедитесь, что вы применяете разрешения, перечисленные в следующей таблице:
| Уровень доступа Defender для удостоверений | Минимальные необходимые унифицированные разрешения RBAC Microsoft 365 |
|---|---|
| Администраторы | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Пользователи | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Зрителей | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Дополнительные сведения см. в разделе "Пользовательские роли" в управлении доступом на основе ролей для XDR в Microsoft Defender XDR и создании настраиваемых ролей с помощью единого RBAC в Microsoft Defender XDR.
Примечание.
Сведения, включенные в журнал действий Defender для облака Apps, могут по-прежнему содержать данные Defender для удостоверений. Это содержимое соответствует существующим разрешениям Defender для облака Apps.
Исключение. Если вы настроили развертывание в области для оповещений Microsoft Defender для удостоверений на портале приложений Microsoft Defender для облака, эти разрешения не переносятся и вам придется явно предоставить операции безопасности \ Данные безопасности \ Основы данных безопасности (чтение) для соответствующих соответствующих разрешений пользователи портала.
Необходимые разрешения Defender для удостоверений в XDR в Microsoft Defender
В следующей таблице описаны конкретные разрешения, необходимые для действий Defender для удостоверений в XDR в Microsoft Defender.
Внимание
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
| Действие (Activity) | Минимальные необходимые разрешения |
|---|---|
| Подключение Defender для удостоверений (создание рабочей области) | администратор безопасности; |
| Настройка параметров Defender для удостоверений | Одна из следующих ролей Microsoft Entra: - администратор безопасности; - Оператор безопасности Or Следующие унифицированные разрешения RBAC: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Просмотр параметров Defender для удостоверений | Одна из следующих ролей Microsoft Entra: - Глобальный читатель - читатель сведений о безопасности; Or Следующие унифицированные разрешения RBAC: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Управление оповещениями и действиями системы безопасности удостоверений Defender для удостоверений | Одна из следующих ролей Microsoft Entra: - Оператор безопасности Or Следующие унифицированные разрешения RBAC: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Просмотр оценок безопасности удостоверений Defender для идентификации (теперь часть оценки безопасности Майкрософт) |
Разрешения на доступ к оценке безопасности Майкрософт And Следующие унифицированные разрешения RBAC: Security operations/Security data /Security data basics (Read) |
| Просмотр страницы ресурсов и удостоверений | Разрешения на доступ к приложениям Defender для облака Or Одна из ролей Microsoft Entra, необходимых для XDR в Microsoft Defender |
| Выполнение действий ответа Defender для удостоверений | Пользовательская роль, определенная с разрешениями для ответа (управление) Or Одна из следующих ролей Microsoft Entra: - Оператор безопасности |
Группы безопасности Defender для удостоверений
Defender для удостоверений предоставляет следующие группы безопасности для управления доступом к ресурсам Defender для удостоверений:
- Администраторы Azure ATP (имя рабочей области)
- Пользователи Azure ATP (имя рабочей области)
- Средства просмотра Azure ATP (имя рабочей области)
В следующей таблице перечислены действия, доступные для каждой группы безопасности:
| Действие (Activity) | Администраторы Azure ATP (имя рабочей области) | Пользователи Azure ATP (имя рабочей области) | Средства просмотра Azure ATP (имя рабочей области) |
|---|---|---|---|
| Изменение состояния проблемы работоспособности | Доступно | Недоступно | Недоступно |
| Изменение состояния оповещения системы безопасности (повторное открытие, закрытие, исключение, отключение) | Доступно | Доступно | Недоступно |
| Удаление рабочей области Azure Log Analytics на портале Azure | Доступно | Недоступно | Недоступно |
| Скачивание отчета | Доступно | Доступно | Доступно |
| Вход | Доступно | Доступно | Доступно |
| Оповещения о безопасности общего доступа и экспорта (по электронной почте, получить ссылку, скачать сведения) | Доступно | Доступно | Доступно |
| Обновление конфигурации Defender для удостоверений (обновления) | Доступно | Недоступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (теги сущностей, включая конфиденциальный и honeytoken) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (исключения) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (язык) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (уведомления, включая электронную почту и системный журнал) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (предварительные версии обнаружения) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (запланированные отчеты) | Доступно | Доступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (источники данных, включая службы каталогов, SIEM, VPN, Defender для конечной точки) | Доступно | Недоступно | Недоступно |
| Обновление конфигурации Defender для удостоверений (управление датчиками, включая скачивание программного обеспечения, повторное создание ключей, настройку, удаление) | Доступно | Недоступно | Недоступно |
| Просмотр профилей сущностей и оповещений системы безопасности | Доступно | Доступно | Доступно |
Добавление и удаление пользователей
Defender для удостоверений использует группы безопасности Microsoft Entra в качестве основы для групп ролей.
Управление группами ролей на странице управления группами на портал Azure. Только пользователи Microsoft Entra могут быть добавлены или удалены из групп безопасности.