Defender for Servers のロールとアクセス許可を計画する

この記事は、Defender for Servers のデプロイへのアクセスを制御する方法を理解するのに役立ちます。

Defender for Servers は、Microsoft Defender for Cloud によって提供される有料プランの 1 つです。

開始する前に

この記事は、Defender for Servers 計画ガイドの 3 番目です。 開始する前に、前の記事を確認してください。

1. デプロイの計画を開始する
2. データの格納場所と Log Analytics ワークスペースの要件を理解する

所有権とアクセスを決定する

複雑な企業では、さまざまなチームが組織でさまざまなセキュリティ関数を管理しています。

組織内のサーバーとエンドポイントのセキュリティの所有権を特定することが重要です。 所有権が未定義または組織のサイロで非表示になっていると、組織のリスクが高まります。 企業全体の脅威を特定して追跡する必要があるセキュリティ運用 (SecOps) チームの妨げになります。 デプロイが遅れているか、セキュリティで保護されていない可能性があります。

セキュリティ リーダーは、サーバー セキュリティに関する意思決定と実装を担当するチーム、ロール、個人を特定する必要があります。

通常、中央 IT チームとクラウド インフラストラクチャおよびエンドポイント セキュリティ チームの間で責任を分担します。 これらのチームの個人は、Defender for Cloud を管理および使用する Azure のアクセス権が必要です。 計画の一環として、Defender for Cloud のロールベースのアクセス制御 (RBAC) モデルに基づいて、個人の適切なアクセス レベルを決定します。

Defender for Cloud ロール

Azure サブスクリプションとリソース グループの組み込みの所有者、共同作成者、閲覧者ロールに加え、Defender for Cloud には、Defender for Cloud のアクセス権を制御する組み込みのロールがあります。

• セキュリティ閲覧者: Defender for Cloud の推奨事項、アラート、セキュリティ ポリシー、状態に対する閲覧の権限を提供します。 このロールは、Defender for Cloud の設定を変更できません。
• セキュリティ管理者: セキュリティ閲覧者の権限と、セキュリティ ポリシーの更新、アラートと推奨事項の無視、推奨事項の適用を行う機能を提供します。

許可されているロール アクションの詳細については、こちらを参照してください。

次のステップ

これらの計画手順を経て、組織に適している Defender for Servers プランを判断してください。