Предоставление доступа к управляемому поставщику служб безопасности (MSSP)

  • Статья

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Область применения:

Чтобы реализовать решение делегированного доступа с несколькими клиентами, выполните следующие действия.

  1. Включите управление доступом на основе ролей для Defender для конечной точки с помощью портала Microsoft Defender и подключитесь к Microsoft Entra группам.

  2. Настройте управление правами для внешних пользователей в Управление Microsoft Entra ID, чтобы включить запросы на доступ и подготовку.

  3. Управление запросами доступа и аудитами в Microsoft Myaccess.

Включение управления доступом на основе ролей в Microsoft Defender для конечной точки на портале Microsoft Defender

  1. Create групп доступа для ресурсов MSSP в Microsoft Entra ID клиента: Группы

    Эти группы будут связаны с ролями, создаваемыми в Defender для конечной точки на портале Microsoft Defender. Для этого в клиенте AD клиента создайте три группы. В нашем примере мы создадим следующие группы:

    • Аналитик уровня 1
    • Аналитик уровня 2
    • Утверждающие аналитики MSSP

  2. Create роли Defender для конечной точки для соответствующих уровней доступа в Customer Defender для конечной точки в Microsoft Defender роли и группы портала.

    Чтобы включить RBAC на портале Microsoft Defender клиента, получите доступ к ролям конечных > точек разрешений & группировать > роли с учетной записью пользователя с правами глобального администратора или администратора безопасности.

    Сведения о доступе MSSP на портале Microsoft Defender

    Затем создайте роли RBAC в соответствии с требованиями уровня SOC MSSP. Свяжите эти роли с созданными группами пользователей с помощью команды "Назначенные группы пользователей".

    Две возможные роли:

    • Аналитики уровня 1
      Выполняйте все действия, кроме динамического ответа и управления параметрами безопасности.

    • Аналитики уровня 2
      Возможности уровня 1 с добавлением динамического ответа.

    Дополнительные сведения см. в разделе Управление доступом на портале с помощью управления доступом на основе ролей.

Настройка пакетов управления доступом

  1. Добавление MSSP в качестве подключенной организации в customer Microsoft Entra ID: Identity Governance

    Добавление MSSP в качестве подключенной организации позволит MSSP запрашивать и подготавливать доступы.

    Для этого в клиенте AD получите доступ к управлению удостоверениями: подключенная организация. Добавьте новую организацию и выполните поиск клиента аналитика MSSP с помощью идентификатора клиента или домена. Мы рекомендуем создать отдельный клиент AD для аналитиков MSSP.

  2. Create каталог ресурсов в разделе Customer Microsoft Entra ID: Identity Governance

    Каталоги ресурсов — это логическая коллекция пакетов доступа, созданных в клиенте AD клиента.

    Для этого в клиенте AD перейдите к управлению удостоверениями: каталоги и добавьте новый каталог. В нашем примере мы будем называть это MSSP Accesses.

    Новый каталог на портале Microsoft Defender

    Дополнительные сведения см. в Create каталоге ресурсов.

  3. Create пакетов доступа для ресурсов MSSP Customer Microsoft Entra ID: Identity Governance

    Пакеты доступа — это коллекция прав и доступа, которые запрашивающий будет предоставляться после утверждения.

    Для этого в клиенте AD получите доступ к управлению удостоверениями: пакеты доступа и добавьте новый пакет доступа. Create пакет доступа для утверждающих MSSP и каждого уровня аналитика. Например, следующая конфигурация аналитика уровня 1 создает пакет доступа, который:

    • Требуется, чтобы участник группы AD MsSP Analyst Утверждающий разрешал новые запросы
    • Имеет ежегодные проверки доступа, где аналитики SOC могут запросить расширение доступа
    • Может запрашиваться только пользователями в клиенте SOC MSSP
    • Автоматический доступ истекает через 365 дней

    Сведения о новом пакете доступа на портале Microsoft Defender

    Дополнительные сведения см. в разделе Create нового пакета для доступа.

  4. Предоставление ссылки на запрос доступа к ресурсам MSSP из Microsoft Entra ID клиента: управление удостоверениями

    Ссылка на портал "Мой доступ" используется аналитиками MSSP SOC для запроса доступа через созданные пакеты доступа. Ссылка является устойчивой, то есть она может использоваться со временем для новых аналитиков. Запрос аналитика помещается в очередь для утверждения утверждателями аналитиков MSSP.

    Свойства доступа на портале Microsoft Defender

    Ссылка находится на странице обзора каждого пакета для доступа.

Управление доступом

  1. Просмотр и авторизация запросов на доступ в клиенте и (или) MSSP myaccess.

    Запросы доступа управляются в клиенте "Мой доступ" членами группы утверждающих аналитиков MSSP.

    Для этого получите доступ к myaccess клиента с помощью: https://myaccess.microsoft.com/@<Customer Domain>.

    Пример: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Утверждение или отклонение запросов в разделе Утверждения пользовательского интерфейса.

    На этом этапе был подготовлен доступ к аналитику, и каждый аналитик должен иметь доступ к порталу Microsoft Defender клиента:

    https://security.microsoft.com/?tid=<CustomerTenantId> с назначенными разрешениями и ролями.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.