Как работают эксперты Microsoft Defender для разрешений XDR

Область применения:

• Microsoft Defender XDR

Для экспертов Microsoft Defender по расследованию инцидентов XDR, когда нашим экспертам требуется доступ к вашим клиентам, мы придерживаемся принципов JIT и минимальных привилегий, чтобы обеспечить правильный уровень доступа в нужное время. Чтобы выполнить эти требования, мы создали платформу разрешений экспертов Microsoft Defender, используя следующие возможности в идентификаторе Microsoft Entra:

• Детализированные делегированные права администратора (GDAP). В рамках подключения мы подготавливаем клиент Microsoft Experts в качестве поставщика услуг в вашем клиенте, чтобы использовать возможность GDAP и получить правильный уровень доступа для наших экспертов. Роли, предоставленные нашим экспертам, настраиваются с помощью назначения ролей между клиентами , чтобы гарантировать, что у них есть только разрешения, которые вы явно предоставили им.
• Политики доступа между клиентами Microsoft Entra. Чтобы применить ограничения на доступ наших экспертов к вашему клиенту, нам необходимо установить доверие между нашими экспертами и вашим клиентом. Чтобы включить это доверие, мы настраиваем политику доступа между арендаторами в клиенте в рамках подключения. Эти политики доступа между клиентами создаются с разрешениями только для чтения, чтобы избежать каких-либо нарушений.
• Условный доступ для внешних пользователей. Мы ограничиваем доступ наших экспертов к вашим клиентам из нашей безопасной среды, используя соответствующие требованиям устройства с строгой многофакторной проверкой подлинности (MFA). Чтобы применить параметры доверия, настроенные в политике доступа между клиентами, и заблокировать доступ в противном случае, мы настраиваем эти политики условного доступа в клиенте.
• JIT-доступ. Даже после того, как вы разрешили нашим экспертам доступ к вашей среде, мы ограничиваем их доступ на основе JIT-разрешений для исследования случаев с ограниченной длительностью для каждой роли. Наши эксперты должны сначала запросить доступ и получить одобрение в нашей внутренней системе, чтобы получить соответствующую роль в вашем клиенте. Доступ наших экспертов к вашему клиенту проверяется как часть журналов входа Microsoft Entra, чтобы вы просматривали

Настройка разрешений в клиентах клиента

После выбора разрешений, которые вы хотите предоставить нашим экспертам, мы создадим следующие политики в вашем клиенте с помощью контекста администратора безопасности или глобального администратора:

• Настройка microsoft Experts в качестве поставщика услуг . Этот параметр позволяет нашим экспертам получать доступ к среде клиента в качестве внешних участников совместной работы без необходимости создавать для них учетные записи.
• Настройка назначений ролей для наших экспертов . Этот параметр определяет роли, разрешенные нашим экспертам в клиенте. Выбор соответствующих ролей в процессе подключения
• Настройка параметров доступа между клиентами с помощью MFA и соответствующего устройства в качестве параметров доверия . Этот параметр настраивает отношения доверия между клиентами и клиентами экспертов Майкрософт на основе MFA и соответствия устройств в клиенте Microsoft Experts. Эту политику можно найти в разделе Microsoft Entra ID>Внешние удостоверения>Параметры межтенантного доступа с именем Эксперты Майкрософт.
• Настройка политик условного доступа . Эти политики ограничивают доступ наших экспертов только к вашему клиенту из безопасных рабочих станций Microsoft Experts с проверкой MFA. Две политики настраиваются с помощью соглашения об именовании Microsoft Security Experts-policy< name-DO> NOT DELETE.

Эти политики настраиваются во время процесса подключения и требуют, чтобы соответствующий администратор оставался в системе, чтобы выполнить эти действия. После создания указанных выше политик и завершения настройки разрешений вы увидите уведомление о том, что настройка завершена.

См. также

Важные рекомендации для экспертов Microsoft Defender для XDR