Privileged Identity Management (PIM) och varför du ska använda den med Microsoft Defender för Office 365

Privileged Identity Management (PIM) är en Azure-funktion som, när den har konfigurerats, ger användarna åtkomst till data under en begränsad tidsperiod (kallas ibland tidsbegränsad tidsperiod) så att en viss aktivitet kan utföras. Den här åtkomsten ges "just-in-time" för att utföra den åtgärd som krävs och sedan återkallas. PIM begränsar åtkomsten och tiden som användaren har till känsliga data, vilket minskar exponeringsrisken jämfört med privilegierade administrationskonton som har långsiktig åtkomst till data och andra inställningar. Så hur kan vi använda den här funktionen (PIM) tillsammans med Microsoft Defender för Office 365?

Tips

PIM-åtkomsten är begränsad till rollen och identitetsnivån och tillåter slutförande av flera uppgifter. Det ska inte förväxlas med Privileged Access Management (PAM) som är begränsad till en aktivitetsnivå.

Genom att konfigurera PIM så att det fungerar med Defender för Office 365 skapar administratörer en process där en användare kan begära åtkomst för att vidta de åtgärder de behöver. Användaren måste justera behovet för ökning av sina behörigheter.

I det här exemplet konfigurerar vi "Alex", en medlem i vårt säkerhetsteam som inte har någon åtkomst till Office 365, men kan upphöjas till både en roll som krävs för vanliga dagliga uppgifter som till exempel Cyberhotjakt och sedan även till en högre behörighetsnivå när mindre vanliga men känsliga åtgärder krävs, till exempel för att åtgärda skadlig e-post.

Anteckning

Detta vägleder dig genom de steg som krävs för att konfigurera PIM för en säkerhetsanalytiker som kräver möjligheten att rensa e-postmeddelanden med hotutforskaren i Microsoft Defender för Office 365, men samma steg kan användas för andra RBAC-roller i säkerhets- och efterlevnadsportalen. Den här processen kan till exempel användas för en informationsarbetare som kräver dagsåtkomst i eDiscovery för att utföra sökningar och ärendearbete, men bara ibland behöver den förhöjda behörigheten för att exportera data från klientorganisationen.

Steg 1. I Azure PIM-konsolen för din prenumeration lägger du till användaren (Alex) i rollen Azure Security Reader och konfigurerar säkerhetsinställningarna för aktivering.

  1. Logga in i Administrationscenter för Azure AD och välj Azure Active Directory, Roller och > administratörer.
  2. Välj Säkerhetsläsare i listan över roller och välj Inställningar > Redigera
  3. Ange maximal varaktighet för aktivering (timmar) till en normal arbetsdag och Vid aktivering till att kräva Azure MFA.
  4. Eftersom det här är Alex vanliga behörighetsnivå för dagliga åtgärder avmarkerar vi Kräv berättigande vid aktivering'> Uppdatera.
  5. Välj Lägg till tilldelningar Ingen medlem har valts > > eller ange namnet för att söka efter rätt medlem.
  6. Klicka på knappen Välj för att välja den medlem du behöver lägga till för PIM-behörigheter > klicka på Nästa > gör inga ändringar på sidan för att lägga till uppgifter (både tilldelningstypen Berättigad och varaktighet Permanent berättigad är inställd som standard) och sedan Tilldela.

Namnet på din användare (här Alex) visas under Berättigade tilldelningar på nästa sida, vilket innebär att de kan PIM i rollen med de inställningar som konfigurerades tidigare.

Anteckning

En snabb genomgång av Privileged Identity Management finns i den här videon.

Kontrollera att du söker igenom inställningarna för rollen Säkerhetsläsare i Privileged Access Management. Här visas pim-aktiveringens maxlängd på 8 timmar.

Steg 2. Skapa den nödvändiga andra behörighetsgruppen (upphöjd) för ytterligare uppgifter och tilldela behörighet.

Med grupper med privilegierad åtkomst kan vi nu skapa egna anpassade grupper och kombinera behörigheter eller öka detaljnivån när det krävs för att uppfylla organisationens metoder och behov.

Skapa en rollgrupp som kräver de behörigheter vi behöver

I Microsoft 365 Defender kan du skapa en anpassad rollgrupp som innehåller de behörigheter som du vill använda.

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till Behörigheter och Roller och sedan väljer du Roller under E-post och samarbete. Om du vill gå direkt till sidan Behörigheter använder duhttps://security.microsoft.com/emailandcollabpermissions.
  2. På sidan Behörigheter Klicka på Skapa ikon. Skapa.
  3. Namnge din grupp så att den återspeglar dess syfte, till exempel Sök och rensa PIM.
  4. Lägg inte till medlemmar, spara bara gruppen och gå vidare till nästa del!

Skapa säkerhetsgruppen i Azure AD för utökade behörigheter

  1. Gå tillbaka till administrationscentret för Azure AD och navigera till Ny grupp > i Azure > AD.
  2. Namnge Azure AD-gruppen för att återspegla dess syfte, inga ägare eller medlemmar krävs just nu.
  3. Aktivera Azure AD-roller kan tilldelas gruppen till Ja.
  4. Lägg inte till några roller, medlemmar eller ägare, skapa gruppen.
  5. Gå tillbaka i gruppen som du just har skapat och välj privilegierad åtkomst > Aktivera privilegierad åtkomst.
  6. I gruppen väljer du Berättigade tilldelningar > Lägg till uppgifter > Lägg till den användare som behöver sök och rensa som roll för Medlem.
  7. Konfigurera -inställningarna i gruppens Privilegierad åtkomst-fönster. Välj för att Redigera inställningarna för rollen Medlem.
  8. Ändra aktiveringstiden så att den passar din organisation. I det här exemplet krävs Azure MFA, motivering och ärendeinformation innan du väljer Uppdatera.

Placera in den nyligen skapade säkerhetsgruppen i rollgruppen.

  1. Anslut till Säkerhets- och efterlevnadscenter i PowerShell och kör följande kommando:

    Add-RoleGroupMember "<<Role Group Name>>" -Member "<<Azure Security Group>>"`
    

Testa konfigurationen av PIM med Defender för Office 365

  1. Logga in med testanvändaren (Alex), som vid det här läget inte ska ha någon administrativ åtkomst inom Microsoft 365 Defender-portalen.

  2. Gå till PIM, där användaren kan aktivera sin dagliga säkerhetsläsarroll.

  3. Om du försöker rensa ett e-postmeddelande med Hotutforskaren får du ett felmeddelande om att du behöver ytterligare behörigheter.

  4. PIM en andra gång till den mer upphöjda rollen, efter en kort fördröjning bör du nu kunna rensa e-postmeddelanden utan problem.

    Om användaren vi lade till (Alex) via PIM-rollen säkerhetsläsare försöker ta bort ett misstänkt e-postmeddelande får han ett meddelande om att du behöver rollen Sök och rensa för att kunna vidta åtgärder i det här e-postmeddelandet. Kontakta administratören för att få rolltilldelningen eller lägg till e-postmeddelandet i en incident.

Permanent tilldelning av administrativa roller och behörigheter som sök- och rensningsrollen gäller inte för säkerhetsinitiativet Noll förtroende, men som du ser kan PIM användas för att bevilja just-in-time-åtkomst till de verktyg som krävs.

Tack till vår kundtekniker Ben Harris för åtkomst till blogginlägget och resurserna som används för det här innehållet.