Atribuir funções e permissões para implementação de Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O próximo passo ao implementar o Defender para Endpoint é atribuir funções e permissões para a implementação do Defender para Endpoint.
Controlo de acesso baseado em funções
A Microsoft recomenda a utilização do conceito de privilégios mínimos. O Defender para Endpoint tira partido das funções incorporadas no Microsoft Entra ID. A Microsoft recomenda que reveja as diferentes funções que estão disponíveis e escolha a mais adequada para resolver as suas necessidades para cada persona para esta aplicação. Algumas funções poderão ter de ser aplicadas temporariamente e removidas após a conclusão da implementação.
| Personas | Funções | Microsoft Entra função (se necessário) | Atribuir a |
|---|---|---|---|
| Administrador de Segurança | |||
| Analista de Segurança | |||
| Administrador de Pontos Finais | |||
| Administrador de Infraestrutura | |||
| Proprietário/Interveniente da Empresa | |||
A Microsoft recomenda a utilização de Privileged Identity Management para gerir as suas funções para fornecer auditoria, controlo e revisão de acesso adicionais aos utilizadores com permissões de diretório.
O Defender para Endpoint suporta duas formas de gerir permissões:
Gestão de permissões básica: defina permissões para acesso total ou só de leitura. Os utilizadores com funções de Administrador Global ou Administrador de Segurança no Microsoft Entra ID têm acesso total. A função Leitor de segurança tem acesso só de leitura e não concede acesso para ver o inventário de computadores/dispositivos.
Controlo de acesso baseado em funções (RBAC): defina permissões granulares ao definir funções, atribuir Microsoft Entra grupos de utilizadores às funções e conceder aos grupos de utilizadores acesso a grupos de dispositivos. Para obter mais informações. veja Gerir o acesso ao portal com o controlo de acesso baseado em funções.
A Microsoft recomenda tirar partido do RBAC para garantir que apenas os utilizadores com uma justificação comercial podem aceder ao Defender para Endpoint.
Pode encontrar detalhes sobre as diretrizes de permissão aqui: Criar funções e atribuir a função a um grupo de Microsoft Entra.
A tabela de exemplo seguinte serve para identificar a estrutura do Centro de Operações de Defesa Cibernética no seu ambiente que o ajudará a determinar a estrutura RBAC necessária para o seu ambiente.
| Camada | Descrição | Permissão Necessária |
|---|---|---|
| Camada 1 | Equipa de operações de segurança local/equipa de TI Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa. |
|
| Camada 2 | Equipa de operações de segurança regional Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação. |
Ver dados |
| Camada 3 | Equipa global de operações de segurança Esta equipa é constituída por especialistas em segurança e está autorizada a ver e realizar todas as ações a partir do portal. |
Ver dados Investigação de alertas Ações de remediação ativa Investigação de alertas Ações de remediação ativa Gerir definições do sistema de portal Gerir definições de segurança |
Passo seguinte
Depois de atribuir funções e permissões para ver e gerir o Defender para Ponto Final, está na altura do Passo 3 – Identificar a sua arquitetura e escolher o método de implementação.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários