Предварительные требования и поддержка
В этой статье описаны требования и предварительные требования для использования Управление рисками Microsoft Security.
Разрешения
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Управление разрешениями с помощью Microsoft Defender XDR единого управления доступом на основе ролей (RBAC)
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) позволяет создавать пользовательские роли с определенными разрешениями для управления экспозицией. Эти разрешения находятся в категории Состояние безопасности в модели разрешений единого RBAC Defender XDR и именуются:
- Управление экспозицией (чтение) для доступа только для чтения
- Управление экспозицией (управление) для доступа к управлению возможностями управления экспозицией
Для более конфиденциальных действий в управлении экспозицией пользователям требуется разрешение Основные параметры безопасности (управление), которое находится в категории Авторизация и параметры .
Для доступа к данным и действиям управления экспозицией пользовательская роль в Defender XDR unified RBAC с любым из указанных здесь разрешений должна быть назначена Управление рисками Microsoft Security источнику данных.
Дополнительные сведения об использовании Microsoft Defender XDR Unified RBAC для управления разрешениями оценки безопасности см. в статье Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC).
В следующей таблице показано, что пользователь может получить доступ к каждому из разрешений или выполнить с ним.
Имя разрешения | Действия |
---|---|
Управление экспозицией (чтение) | Доступ ко всем интерфейсам управления экспозицией и доступ на чтение ко всем доступным данным |
Управление экспозицией (управление) | Помимо доступа на чтение, пользователь может задавать целевую оценку инициативы, изменять значения метрик, управлять рекомендациями (могут потребоваться дополнительные разрешения, связанные с конкретными действиями, которые необходимо выполнить). |
Основные параметры безопасности (управление) | Подключение или изменение поставщика к инициативе по управлению внешними атаками |
Для полного Управление рисками Microsoft Security доступа ролям пользователей требуется доступ ко всем группам устройств Defender для конечной точки. Пользователи с ограниченным доступом к некоторым группам устройств организации могут:
- Доступ к данным глобальной аналитики воздействия.
- Просматривайте затронутые ресурсы по метрикам, рекомендациям, событиям и событиям только в пределах их область.
- Просматривайте устройства в путях атаки, которые находятся в их область.
- Получите доступ к карте Управление рисками направлений атак и расширенным схемам охоты (ExposureGraphNodes и ExposureGraphEdges) для групп устройств, к которых у них есть доступ.
Примечание.
Доступ с разрешениями на управление критически важными ресурсами в разделе Параметры> системы> Microsoft Defender XDR требует, чтобы пользователи имели доступ ко всем группам устройств Defender для конечной точки.
Доступ с помощью ролей Microsoft Entra ID
Альтернатива управлению доступом с Microsoft Defender XDR разрешениями единого RBAC, доступом к Управление рисками Microsoft Security данным и действиям также возможна с помощью Microsoft Entra ID ролей. Для создания рабочей области Управление рисками требуется клиент по крайней мере с одним глобальным Администратор или Администратор безопасности.
Для полного доступа пользователям требуется одна из следующих Microsoft Entra ID ролей:
- Глобальные Администратор (разрешения на чтение и запись)
- Администратор безопасности (разрешения на чтение и запись)
- Оператор безопасности (ограниченные разрешения на чтение и запись)
- Global Reader (разрешения на чтение)
- Средство чтения безопасности (разрешения на чтение)
Уровни разрешений перечислены в таблице.
Действие | Глобальный администратор | Глобальный читатель | Администратор безопасности | Оператор безопасности | Читатель сведений о безопасности |
---|---|---|---|---|---|
Предоставление разрешений другим пользователям | ✔ | - | - | - | - |
Подключение организации к инициативе Управление направлением внешних атак Microsoft Defender (EASM) | ✔ | ✔ | ✔ | ✔ | ✔ |
Пометка инициативы в избранное | ✔ | ✔ | ✔ | ✔ | ✔ |
Установка целевой оценки инициативы | ✔ | - | ✔ | - | - |
Просмотр общих инициатив | ✔ | ✔ | ✔ | ✔ | ✔ |
Общий доступ к метрикам и рекомендациям | ✔ | ✔ | ✔ | ✔ | ✔ |
Изменение веса метрики | ✔ | - | ✔ | - | - |
Метрика экспорта (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
Просмотр метрик | ✔ | ✔ | ✔ | ✔ | ✔ |
Экспорт ресурсов (метрика или рекомендация) | ✔ | ✔ | ✔ | ✔ | ✔ |
Управление рекомендациями | ✔ | - | ✔ | - | - |
Просмотр рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
События экспорта | ✔ | ✔ | ✔ | ✔ | ✔ |
Изменение уровня важности | ✔ | - | ✔ | ✔ | - |
Установка правила критических ресурсов | ✔ | - | ✔ | - | - |
Создание правила критичности | ✔ | - | ✔ | - | - |
Включение и выключение правила критичности | ✔ | - | ✔ | ✔ | - |
Выполнение запроса к данным графа экспозиции | ✔ | ✔ | ✔ | ✔ | ✔ |
Настройка соединителей данных | ✔ | ✔ | ✔ | ||
Просмотр соединителей данных | ✔ | ✔ | ✔ | ✔ | ✔ |
Требования к браузеру
Доступ к Управление рисками можно получить на портале Microsoft Defender с помощью Microsoft Edge, Интернет-Обозреватель 11 или любого веб-браузера, совместимого с HTML 5.
Классификация критических ресурсов
Прежде чем начать, изучите сведения об управлении критически важными ресурсами в Управление рисками.
Просмотрите необходимые разрешения для работы с критически важными ресурсами.
При классификации критически важных ресурсов мы поддерживаем устройства с датчиком Defender для конечной точки версии 10.3740.XXXX или более поздней. Мы рекомендуем использовать более новую версию датчика, как указано на странице Новые возможности Defender для конечной точки.
Вы можете проверка, какая версия датчика работает на устройстве, следующим образом:
На определенном устройстве перейдите к файлу MsSense.exe в папке C:\Program Files\Advanced Threat Protection в Защитнике Windows. Щелкните правой кнопкой мыши файл и выберите пункт Свойства. На вкладке Сведения проверка версию файла.
Для нескольких устройств проще выполнить расширенный запрос Kusto для проверка версий датчика устройства, как показано ниже.
DeviceInfo | project DeviceName, ClientVersion
Актуальность, хранение данных и связанные функции
В настоящее время мы прием и обработку поддерживаемых данных из сторонних продуктов Майкрософт, что делает их доступными в корпоративном графе экспозиции и применимых Управление рисками Microsoft Security интерфейсов, основанных на графовых данных, в течение 72 часов после ее производства в исходном продукте.
Данные о продуктах Майкрософт хранятся не менее 14 дней в корпоративном графе воздействия и (или) Управление рисками Microsoft Security. Сохраняются только последние данные, snapshot полученные от продуктов Майкрософт; мы не храним исторические данные.
Некоторые корпоративные графы подверженности и (или) Управление рисками Microsoft Security данных доступны для запросов с помощью расширенной охоты и распространяются на ограничения службы Advanced Hunting.
Мы оставляем за собой право изменять некоторые или все из этих параметров в будущем, в том числе:
- Частота приема и актуальность данных. Мы можем увеличить текущую 72-часовую задержку (уменьшить частоту приема данных) для некоторых или всех источников данных Майкрософт.
- Срок хранения данных. Мы можем уменьшить текущий 14-дневный срок хранения данных.
- Функции и функции службы. Мы можем изменять, ограничивать или прекращать работу определенных функций, возможностей или функциональных возможностей службы, созданных на основе корпоративного графа уязвимости и (или) Управление рисками Microsoft Security данных.
- Ограничения запросов к данным. Мы можем накладывать ограничения на количество, частоту или тип запросов данных, которые могут выполняться в отношении корпоративного графа уязвимости или Управление рисками Microsoft Security данных.
Мы примем разумные усилия, чтобы заранее уведомить о любых существенных изменениях в службе. Тем не менее, вы признаете и соглашаетесь с тем, что вы несете полную ответственность за мониторинг любых таких уведомлений.
Получение поддержки
Чтобы получить поддержку, щелкните значок вопросительного знака справки на панели инструментов Microsoft Security.
Вы также можете взаимодействовать с сообществом Microsoft Tech.