Voraussetzungen und Support
In diesem Artikel werden die Anforderungen und Voraussetzungen für die Verwendung von Microsoft Security Exposure Management beschrieben.
Berechtigungen
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Verwalten von Berechtigungen mit Microsoft Defender XDR vereinheitlichten rollenbasierten Zugriffssteuerung (RBAC)
Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role-Based Access Control, RBAC) ermöglicht ihnen das Erstellen benutzerdefinierter Rollen mit bestimmten Berechtigungen für die Expositionsverwaltung. Diese Berechtigungen befinden sich in Defender XDR einheitlichen RBAC-Berechtigungsmodell unter der Kategorie Sicherheitsstatus und werden benannt:
- Expositionsverwaltung (lesen) für schreibgeschützten Zugriff
- Expositionsmanagement (Verwalten) für den Zugriff auf die Verwaltung von Expositionsverwaltungserfahrungen
Für sensiblere Aktionen in der Gefährdungsverwaltung benötigen Benutzer die Berechtigung Core-Sicherheitseinstellungen (Verwalten), die sich unter der Kategorie Autorisierung und Einstellungen befindet.
Für den Zugriff auf Exposure Management-Daten und -Aktionen wird der Microsoft Security Exposure Management Datenquelle eine benutzerdefinierte Rolle in Defender XDR Unified RBAC mit einer der hier genannten Berechtigungen zugewiesen.
Weitere Informationen zur Verwendung von Microsoft Defender XDR Unified RBAC zum Verwalten Ihrer Berechtigungen für die Sicherheitsbewertung finden Sie unter Microsoft Defender XDR Unified Role-Based Access Control (RBAC).
In der folgenden Tabelle wird hervorgehoben, was ein Benutzer mit den einzelnen Berechtigungen zugreifen oder ausführen kann:
| Berechtigungsname | Actions |
|---|---|
| Expositionsmanagement (lesen) | Zugriff auf alle Belichtungsverwaltungsfunktionen und Lesezugriff auf alle verfügbaren Daten |
| Expositionsmanagement (verwalten) | Zusätzlich zum Lesezugriff kann der Benutzer die Zielbewertung der Initiative festlegen, Metrikwerte bearbeiten und Empfehlungen verwalten (möglicherweise sind zusätzliche Berechtigungen im Zusammenhang mit den spezifischen Aktionen erforderlich, die ausgeführt werden müssen). |
| Kernsicherheitseinstellungen (verwalten) | Verbinden oder Wechseln des Anbieters mit der Initiative zur Verwaltung der Externen Angriffsfläche |
Für vollständige Microsoft Security Exposure Management Zugriff benötigen Benutzerrollen Zugriff auf alle Defender für Endpunkt-Gerätegruppen. Benutzer mit eingeschränktem Zugriff auf einige gerätegruppen der organization können:
- Zugreifen auf Erkenntnisse zur globalen Exposition
- Anzeigen betroffener Ressourcen unter Metriken, Empfehlungen, Ereignissen und Initiativenverlauf nur innerhalb ihres Bereichs.
- Anzeigen von Geräten in Angriffspfaden, die sich innerhalb ihres Gültigkeitsbereichs befinden.
- Greifen Sie auf die Security Exposure Management Angriffsflächenkarte und erweiterte Huntingschemas (ExposureGraphNodes und ExposureGraphEdges) für die Gerätegruppen zu, auf die sie Zugriff haben.
Hinweis
Für den Zugriff mit Verwaltungsberechtigungen für kritische Ressourcen unter Systemeinstellungen>> Microsoft Defender XDR müssen Benutzer Zugriff auf alle Defender für Endpunkt-Gerätegruppen haben.
Zugriff mit Microsoft Entra ID Rollen
Eine Alternative zum Verwalten des Zugriffs mit Microsoft Defender XDR einheitlichen RBAC-Berechtigungen, der Zugriff auf Microsoft Security Exposure Management Daten und Aktionen ist auch mit Microsoft Entra ID Rollen möglich. Sie benötigen einen Mandanten mit mindestens einem globalen Admin oder einem Sicherheits-Admin, um einen Security Exposure Management Arbeitsbereich zu erstellen.
Für den Vollzugriff benötigen Benutzer eine der folgenden Microsoft Entra ID Rollen:
- Globale Admin (Lese- und Schreibberechtigungen)
- Sicherheits-Admin (Lese- und Schreibberechtigungen)
- Sicherheitsoperator (Lese- und Schreibberechtigungen)
- Globaler Leser (Leseberechtigungen)
- Sicherheitsleseberechtigter (Leseberechtigungen)
Berechtigungsstufen sind in der Tabelle zusammengefasst.
| Aktion | Globaler Admin | Globaler Leser | Sicherheitsadministrator | Sicherheitsoperator | Sicherheitsleseberechtigter |
|---|---|---|---|---|---|
| Erteilen von Berechtigungen für andere Personen | ✔ | - | - | - | - |
| Integrieren Ihres organization in die Microsoft Defender External Attack Surface Management-Initiative (EASM) | ✔ | ✔ | ✔ | ✔ | ✔ |
| Initiative als Favorit markieren | ✔ | ✔ | ✔ | ✔ | ✔ |
| Festlegen der Zielbewertung der Initiative | ✔ | - | ✔ | - | - |
| Allgemeine Initiativen anzeigen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Freigeben von Metriken/Empfehlungen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Bearbeiten der Metrikgewichtung | ✔ | - | ✔ | - | - |
| Exportmetrik (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
| Anzeigen von Metriken | ✔ | ✔ | ✔ | ✔ | ✔ |
| Exportieren von Ressourcen (Metrik/Empfehlung) | ✔ | ✔ | ✔ | ✔ | ✔ |
| Verwalten von Empfehlungen | ✔ | - | ✔ | - | - |
| Empfehlungen anzeigen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Exportieren von Ereignissen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Ändern der Wichtigkeitsstufe | ✔ | - | ✔ | ✔ | - |
| Festlegen einer Regel für kritische Ressourcen | ✔ | - | ✔ | - | - |
| Erstellen einer Wichtigkeitsregel | ✔ | - | ✔ | - | - |
| Aktivieren/Deaktivieren der Wichtigkeitsregel | ✔ | - | ✔ | ✔ | - |
| Ausführen einer Abfrage für Belichtungsdiagrammdaten | ✔ | ✔ | ✔ | ✔ | ✔ |
| Konfigurieren von Datenconnectors | ✔ | ✔ | ✔ | ||
| Anzeigen von Datenconnectors | ✔ | ✔ | ✔ | ✔ | ✔ |
Browseranforderungen
Sie können über Microsoft Edge, Internet Explorer 11 oder einen beliebigen HTML 5-kompatiblen Webbrowser im Microsoft Defender-Portal auf Security Exposure Management zugreifen.
Klassifizierung kritischer Ressourcen
Bevor Sie beginnen, erfahren Sie mehr über die Verwaltung kritischer Ressourcen in Security Exposure Management.
Überprüfen Sie die erforderlichen Berechtigungen für die Arbeit mit den kritischen Ressourcen.
Beim Klassifizieren kritischer Ressourcen unterstützen wir Geräte mit Version 10.3740.XXXX des Defender für Endpunkt-Sensors oder höher. Es wird empfohlen, eine neuere Sensorversion auszuführen, wie auf der Seite Neues zu Defender für Endpunkt aufgeführt.
Sie können wie folgt überprüfen, welche Sensorversion auf einem Gerät ausgeführt wird:
Navigieren Sie auf einem bestimmten Gerät zur MsSense.exe-Datei unter C:\Programme\Windows Defender Advanced Threat Protection. Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften aus. Überprüfen Sie auf der Registerkarte Details die Dateiversion.
Für mehrere Geräte ist es einfacher, eine kusto-Abfrage für die erweiterte Suche auszuführen, um die Versionen des Gerätesensors wie folgt zu überprüfen:
DeviceInfo | project DeviceName, ClientVersion
Aktualität, Aufbewahrung und zugehörige Funktionalität von Daten
Wir erfassen und verarbeiten derzeit unterstützte Daten von Microsoft-Erstanbieterprodukten und stellen sie innerhalb des Expositionsdiagramms für Unternehmen und anwendbare Microsoft Security Exposure Management Erfahrungen zur Verfügung, die auf Graphdaten basieren, innerhalb von 72 Stunden nach der Produktion am Quellprodukt.
Microsoft-Produktdaten werden nicht weniger als 14 Tage im Expositionsdiagramm des Unternehmens und/oder Microsoft Security Exposure Management aufbewahrt. Es werden nur die neuesten Daten Momentaufnahme von Microsoft-Produkten gespeichert. Wir speichern keine Verlaufsdaten.
Einige Belichtungsdiagramme für Unternehmen und/oder Microsoft Security Exposure Management Erfahrungsdaten sind für Abfragen über die erweiterte Suche verfügbar und unterliegen den Einschränkungen des Erweiterten Hunting-Diensts.
Wir behalten uns das Recht vor, einige oder alle dieser Parameter in Zukunft zu ändern, einschließlich:
- Datenerfassungshäufigkeit und Aktualität: Wir können die aktuelle Latenz von 72 Stunden für einige oder alle Microsoft-Datenquellen erhöhen (die Häufigkeit der Datenerfassung verringern).
- Datenaufbewahrungszeitraum: Wir können den aktuellen Datenaufbewahrungszeitraum von 14 Tagen verkürzen.
- Dienstfeatures und -funktionen: Wir können bestimmte Features, Funktionen oder Funktionen des Diensts ändern, einschränken oder einstellen, die auf dem Expositionsdiagramm des Unternehmens und/oder Microsoft Security Exposure Management Daten basieren.
- Datenabfragegrenzwerte: Wir können Einschränkungen für die Anzahl, Häufigkeit oder Art von Datenabfragen auferlegen, die für ein Unternehmensexpositionsdiagramm oder Microsoft Security Exposure Management Daten ausgeführt werden können.
Wir werden angemessene Anstrengungen unternehmen, um alle wesentlichen Änderungen an dem Dienst im Voraus zu informieren. Sie erkennen jedoch an und stimmen zu, dass Sie allein für die Überwachung solcher Benachrichtigungen verantwortlich sind.
Unterstützung erhalten
Um Support zu erhalten, wählen Sie auf der Symbolleiste der Microsoft-Sicherheit das Hilfefragezeichensymbol aus.
Sie können auch mit der Microsoft Tech-Community zusammenarbeiten.
Nächste Schritte
Beginnen Sie mit der Verwendung von Microsoft Security Exposure Management.