Назначение ролей и разрешений для развертывания Microsoft Defender для конечной точки

  • Статья

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Следующим шагом при развертывании Defender для конечной точки является назначение ролей и разрешений для развертывания Defender для конечной точки.

Управление доступом на основе ролей

Корпорация Майкрософт рекомендует использовать концепцию минимальных привилегий. Defender для конечной точки использует встроенные роли в Microsoft Entra ID. Корпорация Майкрософт рекомендует просмотреть различные доступные роли и выбрать подходящую для удовлетворения потребностей каждого пользователя для этого приложения. Некоторые роли, возможно, потребуется временно применить и удалить после завершения развертывания.


Personas Роли Microsoft Entra роль (при необходимости) Назначить
Администратор безопасности
Аналитик по безопасности
Администратор конечных точек
Администратор инфраструктуры
Владелец бизнеса или заинтересованный участник

Корпорация Майкрософт рекомендует использовать управление привилегированными пользователями для управления ролями, чтобы обеспечить дополнительный аудит, контроль и проверку доступа для пользователей с разрешениями каталога.

Defender для конечной точки поддерживает два способа управления разрешениями:

  • Базовое управление разрешениями. Задайте для разрешений полный доступ или только для чтения. Пользователи с ролями глобального администратора или администратора безопасности в Microsoft Entra ID имеют полный доступ. Роль читателя безопасности имеет доступ только для чтения и не предоставляет доступ к просмотру инвентаризации компьютеров или устройств.

  • Управление доступом на основе ролей (RBAC): настройте детализированные разрешения, определяя роли, назначая Microsoft Entra группам пользователей ролям и предоставляя группам пользователей доступ к группам устройств. Дополнительные сведения см. в статье. См. раздел Управление доступом на портале с помощью управления доступом на основе ролей.

Корпорация Майкрософт рекомендует использовать RBAC, чтобы только пользователи с бизнес-обоснованием могли получить доступ к Defender для конечной точки.

Сведения о рекомендациях по разрешениям см. здесь: Create роли и назначить роль Microsoft Entra группе.

В таблице ниже приведен пример для определения структуры Центра операций киберзащиты в вашей среде, которая поможет определить структуру RBAC, необходимую для вашей среды.

Уровень Описание Требуется разрешение
Уровень 1 Местная группа обеспечения безопасности / ИТ-группа

Эта команда обычно изучает и изучает оповещения, содержащиеся в их географическом расположении, и передает на уровень 2 в случаях, когда требуется активное исправление.
Уровень 2 Региональная группа обеспечения безопасности

Эта команда может просмотреть все устройства для своего региона и выполнить действия по исправлению.

 Просмотр данных
Уровень 3 Глобальная группа обеспечения безопасности

Эта команда состоит из экспертов по безопасности и имеет право просматривать и выполнять все действия на портале.

 Просмотр данных

Анализ оповещений Активные действия по исправлению

Анализ оповещений Активные действия по исправлению

Управление системными параметрами портала

Управление параметрами безопасности

Следующее действие

После назначения ролей и разрешений для просмотра и управления Defender для конечной точки пришло время выполнить шаг 3. Определение архитектуры и выбор метода развертывания.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.