Предоставление доступа к управляемому поставщику служб безопасности (MSSP) (предварительная версия)

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Чтобы реализовать мультитенантное делегированное решение для доступа, сделайте следующее:

  1. Включите управление доступом на основе ролей в Defender для конечной точки и подключитесь к группам идентификаторов Microsoft Entra.

  2. Настройка пакетов управления доступом для запроса доступа и подготовки.

  3. Управление запросами доступа и аудитами в Microsoft MyAccess.

Включение управления доступом на основе ролей в Microsoft Defender для конечной точки

  1. Создание групп доступа для ресурсов MSSP в customer Entra ID: Groups

    Эти группы связаны с ролями, создаваемыми в Defender для конечной точки. Для этого в клиенте Entra ID клиента создайте три группы. В нашем примере мы создадим следующие группы:

    • Аналитик уровня 1
    • Аналитик уровня 2
    • Утверждающие аналитики MSSP
  2. Создайте роли Defender для конечной точки для соответствующих уровней доступа в Customer Defender для конечной точки.

    Чтобы включить RBAC на портале Microsoft Defender клиента, перейдите в раздел Параметры>Конечные> точкиРазрешения>роли, а затем выберите Включить роли.

    Затем создайте роли RBAC в соответствии с требованиями уровня SOC MSSP. Свяжите эти роли с созданными группами пользователей с помощью назначенных групп пользователей. Существует две возможные роли: аналитики уровня 1 и аналитики уровня 2.

    • Аналитики уровня 1 . Выполняют все действия, кроме динамического ответа и управления параметрами безопасности.

    • Аналитики уровня 2 — возможности уровня 1 с дополнением к динамическому реагированию

    Дополнительные сведения см. в разделе Использование управления доступом на основе ролей.

Настройка пакетов управления доступом

  1. Добавление MSSP в качестве подключенной организации в поле Customer Entra ID: Identity Governance

    Добавление MSSP в качестве подключенной организации позволяет MSSP запрашивать и подготавливать доступ.

    Для этого в клиенте Entra ID клиента получите доступ к управлению удостоверениями: подключенная организация. Добавьте новую организацию и выполните поиск клиента аналитика MSSP с помощью идентификатора клиента или домена. Мы рекомендуем создать отдельный клиент Entra ID для аналитиков MSSP.

  2. Создание каталога ресурсов в разделе Customer Entra ID: Identity Governance

    Каталоги ресурсов — это логическая коллекция пакетов доступа, созданных в клиенте Entra ID.

    Для этого в клиенте Entra ID клиента перейдите к управлению удостоверениями: Каталоги и добавьте новый каталог. В нашем примере это называется MSSP Accesses.

    Страница нового каталога

    Дополнительные сведения см. в статье Создание каталога ресурсов.

  3. Создание пакетов доступа для ресурсов MSSP Customer Entra ID: Identity Governance

    Пакеты доступа — это коллекция прав и доступов, которые запрашивающий предоставляется после утверждения.

    Для этого в клиенте Entra ID клиента получите доступ к управлению удостоверениями: пакеты доступа и добавьте новый пакет доступа. Создайте пакет доступа для утверждающих MSSP и каждого уровня аналитика. Например, следующая конфигурация аналитика уровня 1 создает пакет доступа, который:

    • Требуется, чтобы участник группы идентификаторов Entra MSSP Analyst Утверждатели разрешали новые запросы
    • Имеет ежегодные проверки доступа, где аналитики SOC могут запросить расширение доступа
    • Может запрашиваться только пользователями в клиенте SOC MSSP
    • Автоматический доступ истекает через 365 дней

    Дополнительные сведения см. в разделе Создание нового пакета для доступа.

  4. Предоставление ссылки на запрос доступа к ресурсам MSSP из идентификатора Customer Entra: Identity Governance

    Ссылка на портал "Мой доступ" используется аналитиками MSSP SOC для запроса доступа через созданные пакеты доступа. Ссылка является устойчивой, то есть она может использоваться со временем для новых аналитиков. Запрос аналитика помещается в очередь для утверждения утверждателями аналитиков MSSP.

    Ссылка находится на странице обзора каждого пакета для доступа.

Управление доступом

  1. Просмотр и авторизация запросов на доступ в клиенте и (или) MSSP MyAccess.

    Запросы доступа управляются в клиенте "Мой доступ" членами группы утверждающих аналитиков MSSP.

    Для этого получите доступ к myAccess клиента, используя: https://myaccess.microsoft.com/@<Customer Domain>.

    Пример: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Утверждение или отклонение запросов в разделе Утверждения пользовательского интерфейса.

    На этом этапе предоставляется доступ к аналитику, и каждый аналитик должен иметь доступ к порталу Microsoft Defender клиента: https://security.microsoft.com/?tid=<CustomerTenantId>

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.