Compartilhar via

Criar funções personalizadas com Microsoft Defender XDR RBAC Unificado

  • Aplica-se a: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Identity, Microsoft Defender for Office 365 P2, Microsoft Defender Vulnerability Management, Microsoft Defender for Cloud, Microsoft Security Exposure Management, Microsoft Defender for Cloud Apps, Microsoft Sentinel data lake

Este artigo descreve como criar funções personalizadas no Microsoft Defender XDR controlo de acesso baseado em funções unificado (RBAC). Microsoft Defender XDR RBAC Unificado permite-lhe criar funções personalizadas com permissões específicas e atribuí-las a utilizadores ou grupos, permitindo um controlo granular sobre o acesso às experiências do portal Microsoft Defender.

A criação de funções personalizadas para Microsoft Sentinel data lake é suportada em Pré-visualização.

Pré-requisitos

Para criar funções personalizadas no Microsoft Defender XDR RBAC Unificado, tem de lhe ser atribuída uma das seguintes funções ou permissões:

  • Administrador Global ou Administrador de Segurança no Microsoft Entra ID.
  • Todas as permissões de Autorização atribuídas no Microsoft Defender XDR RBAC Unificado.

Para obter mais informações sobre permissões, veja Pré-requisitos de permissão.

Dica

A Microsoft recomenda que você use funções com o menor número de permissões. Esta prática ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Para criar funções personalizadas para o Microsoft Sentinel data lake com o grupo de permissões Operações de Segurança ou Operações de dados, tem de ter uma área de trabalho do Log Analytics ativada para Microsoft Sentinel e integrada no portal do Defender.

Criar uma função personalizada

Os passos seguintes descrevem como criar funções personalizadas no portal Microsoft Defender.

  1. Inicie sessão no portal Microsoft Defender. No painel de navegação lateral, desloque-se para baixo e selecione Permissões.

  2. Na página Permissões, em Microsoft Defender XDR, selecione Funções>Criar função personalizada.

  3. No assistente que é aberto, no separador Informações básicas , introduza o nome da função e uma descrição opcional e, em seguida, selecione Seguinte.

  4. Na página Escolher permissões , selecione cada uma das seguintes opções conforme necessário para configurar as permissões para essa área:

    • Operações de segurança
    • Postura de segurança
    • Autorização e definições
    • Operações de Dados (Pré-visualização). Suportado para a Microsoft Sentinel recolha de dados do data lake.

    Paire o cursor sobre a coluna de descrição de cada grupo de permissões para obter uma descrição detalhada das permissões disponíveis nesse grupo.

    São abertos diapositivos adicionais do painel lateral autorização e definições para cada grupo de permissões que selecionar, onde pode escolher as permissões específicas a atribuir à função.

    Se selecionar Todas as permissões só de leitura ou Todas as permissões de leitura e gestão, todas as novas permissões adicionadas posteriormente a estas categorias também serão automaticamente atribuídas nesta função.

    Para obter mais informações, veja Permissões no Microsoft Defender XDR controlo de acesso baseado em funções (RBAC) unificado.

  5. Quando terminar de atribuir permissões para cada grupo de permissões, selecione Aplicar e, em seguida , Seguinte para continuar para o grupo de permissões seguinte.

    Observação

    Se todas as permissões só de leitura ou todas as permissões de leitura e gestão forem atribuídas, todas as novas permissões adicionadas a esta categoria no futuro serão automaticamente atribuídas nesta função.

    Se tiver atribuído permissões personalizadas e forem adicionadas novas permissões a esta categoria, terá de reatribuir as suas funções com as novas permissões, se necessário.

  6. Depois de selecionar as suas permissões para qualquer grupo de permissões relevante, selecione Aplicar e, em seguida , Seguinte para atribuir utilizadores e origens de dados.

  7. Na página Atribuir utilizadores e origens de dados , selecione Adicionar atribuição.

    1. No painel Adicionar lado da atribuição , introduza os seguintes detalhes:

      • Nome da tarefa: introduza um nome descritivo para a tarefa.
      • Funcionários: selecione Microsoft Entra grupos de segurança ou utilizadores individuais para atribuir utilizadores à função.
      • Origens de dados: selecione o menu pendente Origens de dados e, em seguida, selecione os serviços onde os utilizadores atribuídos terão as permissões selecionadas. Se atribuiu permissões só de leitura para uma única origem de dados, como Microsoft Defender para Ponto de Extremidade, os utilizadores atribuídos não podem ler alertas nos outros serviços, como Microsoft Defender para Office 365 ou Microsoft Defender para Identidade.

    2. Selecione Incluir origens de dados futuras automaticamente para incluir todas as outras origens de dados suportadas pelo Microsoft Defender RBAC unificado. Se esta opção estiver selecionada, todas as origens de dados futuras adicionadas para suporte RBAC unificado também serão adicionadas automaticamente à atribuição.

    3. Na área Coleções de dados no painel lateral Adicionar atribuições, o Microsoft Sentinel data lake predefinido está listado por predefinição. Selecione Editar para remover o acesso ao data lake ou definir uma seleção personalizada do data lake.

    Observação

    No Microsoft Defender XDR RBAC Unificado, pode criar o número de atribuições necessárias na mesma função com as mesmas permissões. Por exemplo, pode ter uma atribuição dentro de uma função que tenha acesso a todas as origens de dados e, em seguida, uma atribuição separada para uma equipa que só precisa de acesso a alertas de Ponto Final a partir da origem de dados do Defender para Endpoint. Isto permite manter o número mínimo de funções.

  8. Novamente na página Atribuir utilizadores e origens de dados , selecione Seguinte para rever os detalhes da função e da atribuição. Selecione Submeter para criar a função.

Criar uma função para aceder e gerir funções e permissões

Para aceder e gerir funções e permissões, sem ser Administrador Global ou Administrador de Segurança no Microsoft Entra ID, crie uma função com permissões de Autorização. Para criar esta função:

  1. Inicie sessão no portal Microsoft Defender como Administrador Global ou Administrador de Segurança.

  2. No painel de navegação, selecione Permissões > Microsoft Defender XDR > Funções > Criar função personalizada.

  3. Introduza o nome e a descrição da função e, em seguida, selecione Seguinte.

  4. Selecione Autorização e definições e, em seguida, no painel lateral Autorização e definições , selecione Selecionar permissões personalizadas.

  5. Em Autorização, selecione uma das seguintes opções:

    • Selecione todas as permissões. Os utilizadores podem criar e gerir funções e permissões.
    • Só de leitura. Os utilizadores podem aceder e ver funções e permissões num modo só de leitura.

    Por exemplo:

    Captura de ecrã a mostrar a página de permissões e funções

  6. Selecione Aplicar e , em seguida, Seguinte para atribuir utilizadores e origens de dados.

  7. Selecione Adicionar tarefas e introduza o Nome da tarefa.

  8. Para escolher as origens de dados às quais os utilizadores atribuídos com a permissão Autorização têm acesso, selecione uma das seguintes opções:

    • Escolher todas as origens de dados: isto concede aos utilizadores permissões para criar novas funções e gerir funções para todas as origens de dados.
    • Selecionar origens de dados específicas: isto concede aos utilizadores permissões para criar novas funções e gerir funções para uma origem de dados específica. Por exemplo, selecione Microsoft Defender para Ponto de Extremidade na lista pendente para conceder aos utilizadores a permissão autorização apenas para a origem de dados Microsoft Defender para Ponto de Extremidade.
    • Microsoft Sentinel data lake collection: selecione esta opção para conceder aos utilizadores a permissão autorização para o data lake Microsoft Sentinel.

  9. Em Utilizadores e grupos atribuídos – selecione o Microsoft Entra grupos de segurança ou utilizadores individuais aos quais atribuir a função e selecione Adicionar.

  10. Selecione Seguinte para rever e concluir a criação da função e, em seguida, selecione Submeter.

Observação

Para que o portal de segurança do Microsoft Defender XDR comece a impor as permissões e atribuições configuradas nas suas funções novas ou importadas, tem de ativar o novo modelo RBAC Microsoft Defender XDR Unificado. Para obter mais informações, veja Ativar Microsoft Defender XDR RBAC Unificado.

Configurar funções de âmbito para Microsoft Defender para Identidade

O acesso no âmbito do Microsoft Defender para Identidade (MDI) está atualmente em Pré-visualização pública. Pode configurar o acesso no âmbito com o modelo DE RBAC (URBAC) Unificado do Microsoft Defender XDR. Isto permite-lhe restringir o acesso e a visibilidade a domínios específicos do Active Directory, ajudando a alinhar-se com as responsabilidades da equipa e a reduzir a exposição desnecessária de dados.

Para obter mais informações, veja: Configurar o acesso no âmbito para Microsoft Defender para Identidade.

Próximas etapas

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.