Группы ролей в Microsoft Defender для удостоверений

  • Статья

Microsoft Defender для удостоверений обеспечивает безопасность на основе ролей для защиты данных в соответствии с конкретными потребностями безопасности и соответствия вашей организации. Мы рекомендуем использовать группы ролей для управления доступом к Defender для удостоверений, разделения обязанностей между командой безопасности и предоставления только объема доступа, необходимого пользователям для выполнения своих заданий.

Унифицированное управление доступом на основе ролей (RBAC)

Пользователи, которые уже являются глобальными Администратор istratorами или Администратор istratorами в идентификаторе Microsoft Entra клиента, также автоматически защитником удостоверений. Microsoft Entra Global and Security Администратор istrators не требуют дополнительных разрешений для доступа к Defender для удостоверений.

Для других пользователей используйте управление доступом на основе ролей Microsoft 365 (RBAC) для создания пользовательских ролей и управления доступом к Defender для удостоверений.

При создании пользовательских ролей убедитесь, что вы применяете разрешения, перечисленные в следующей таблице:

Уровень доступа Defender для удостоверений Минимальные необходимые унифицированные разрешения RBAC Microsoft 365
Администраторы - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Пользователи - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Зрителей - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Дополнительные сведения см. в разделе "Пользовательские роли" в управлении доступом на основе ролей для XDR в Microsoft Defender XDR и создании настраиваемых ролей с помощью единого RBAC в Microsoft Defender XDR.

Примечание.

Сведения, включенные в журнал действий Defender для облака Apps, могут по-прежнему содержать данные Defender для удостоверений. Это содержимое соответствует существующим разрешениям Defender для облака Apps.

Исключение. Если вы настроили развертывание в области для оповещений Microsoft Defender для удостоверений на портале приложений Microsoft Defender для облака, эти разрешения не переносятся и вам придется явно предоставить операции безопасности \ Данные безопасности \ Основы данных безопасности (чтение) для соответствующих соответствующих разрешений пользователи портала.

Необходимые разрешения Defender для удостоверений в XDR в Microsoft Defender

В следующей таблице описаны конкретные разрешения, необходимые для действий Defender для удостоверений в XDR в Microsoft Defender.

Действие (Activity) Необходимые разрешения
Подключение Defender для удостоверений (создание рабочей области) Одна из следующих ролей Microsoft Entra:
- Глобальный администратор
- администратор безопасности;
Настройка параметров Defender для удостоверений Одна из следующих ролей Microsoft Entra:
- Глобальный администратор
- администратор безопасности;
Or
Следующие унифицированные разрешения RBAC:
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Просмотр параметров Defender для удостоверений Одна из следующих ролей Microsoft Entra:
- Глобальный читатель
- читатель сведений о безопасности;
Or
Следующие унифицированные разрешения RBAC:
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Управление оповещениями и действиями системы безопасности удостоверений Defender для удостоверений Одна из ролей Microsoft Entra, необходимых для XDR в Microsoft Defender
Or
Следующие унифицированные разрешения RBAC:
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Просмотр оценок безопасности удостоверений Defender для идентификации
(теперь часть оценки безопасности Майкрософт)		 Разрешения на доступ к оценке безопасности Майкрософт
And
Следующие унифицированные разрешения RBAC:Security operations/Security data /Security data basics (Read)
Просмотр страницы ресурсов и удостоверений Разрешения на доступ к приложениям Defender для облака
Or
Одна из ролей Microsoft Entra, необходимых для XDR в Microsoft Defender
Выполнение действий ответа Defender для удостоверений Пользовательская роль, определенная с разрешениями для ответа (управление)
Or
Одна из ролей Microsoft Entra, необходимых для XDR в Microsoft Defender

Группы безопасности Defender для удостоверений

Defender для удостоверений предоставляет следующие группы безопасности для управления доступом к ресурсам Defender для удостоверений:

  • Azure ATP (имя рабочей области) Администратор istrator
  • Пользователи Azure ATP (имя рабочей области)
  • Средства просмотра Azure ATP (имя рабочей области)

В следующей таблице перечислены действия, доступные для каждой группы безопасности:

Действие (Activity) Azure ATP (имя рабочей области) Администратор istrator Пользователи Azure ATP (имя рабочей области) Средства просмотра Azure ATP (имя рабочей области)
Изменение состояния проблемы работоспособности Доступно Недоступно Недоступно
Изменение состояния оповещения системы безопасности (повторное открытие, закрытие, исключение, отключение) Доступно Доступно Недоступно
Удаление рабочей области Azure Log Analytics на портале Azure Доступно Недоступно Недоступно
Скачивание отчета Доступно Доступно Доступно
Вход Доступно Доступно Доступно
Оповещения о безопасности общего доступа и экспорта (по электронной почте, получить ссылку, скачать сведения) Доступно Доступно Доступно
Обновление конфигурации Defender для удостоверений (обновления) Доступно Недоступно Недоступно
Обновление конфигурации Defender для удостоверений (теги сущностей, включая конфиденциальный и honeytoken) Доступно Доступно Недоступно
Обновление конфигурации Defender для удостоверений (исключения) Доступно Доступно Недоступно
Обновление конфигурации Defender для удостоверений (язык) Доступно Доступно Недоступно
Обновление конфигурации Defender для удостоверений (уведомления, включая электронную почту и системный журнал) Доступно Доступно Недоступно
Обновление конфигурации Defender для удостоверений (предварительные версии обнаружения) Доступно Доступно Недоступно
Обновление конфигурации Defender для удостоверений (запланированные отчеты) Доступно Доступно Недоступно
Обновление конфигурации Defender для удостоверений (источники данных, включая службы каталогов, SIEM, VPN, Defender для конечной точки) Доступно Недоступно Недоступно
Обновление конфигурации Defender для удостоверений (управление датчиками, включая скачивание программного обеспечения, повторное создание ключей, настройку, удаление) Доступно Недоступно Недоступно
Просмотр профилей сущностей и оповещений системы безопасности Доступно Доступно Доступно

Добавление и удаление пользователей

Defender для удостоверений использует группы безопасности Microsoft Entra в качестве основы для групп ролей.

Управление группами ролей на странице управления группами на портал Azure. Только пользователи Microsoft Entra могут быть добавлены или удалены из групп безопасности.

Следующий шаг

Настройка учетной записи службы каталогов для Microsoft Defender для удостоверений »