Creare ruoli personalizzati con Microsoft Defender controllo degli accessi in base al ruolo unificato

Questo articolo descrive come creare ruoli personalizzati in Microsoft Defender controllo degli accessi in base al ruolo unificato. Microsoft Defender controllo degli accessi in base al ruolo unificato consente di creare ruoli personalizzati con autorizzazioni specifiche e assegnarli a utenti o gruppi, consentendo un controllo granulare sull'accesso alle esperienze del portale Microsoft Defender.

La creazione di ruoli personalizzati per Microsoft Sentinel data lake è supportata in anteprima.

Prerequisiti

Per creare ruoli personalizzati in Microsoft Defender controllo degli accessi in base al ruolo unificato, è necessario disporre di uno dei ruoli o delle autorizzazioni seguenti:

• AlmenoAmministratore di sicurezza in Microsoft Entra ID.
• Tutte le autorizzazioni di autorizzazione assegnate in Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.

Per altre informazioni sulle autorizzazioni, vedere Prerequisiti delle autorizzazioni.

Per creare ruoli personalizzati per il data lake Microsoft Sentinel usando il gruppo di autorizzazioni Operazioni di sicurezza o Operazioni sui dati, è necessario disporre di un'area di lavoro Log Analytics abilitata per Microsoft Sentinel ed eseguita l'onboarding nel portale di Defender.

• Eseguire l'onboarding di Microsoft Sentinel
• Connettere Microsoft Sentinel al portale di Microsoft Defender

Creare un ruolo personalizzato

I passaggi seguenti descrivono come creare ruoli personalizzati nel portale di Microsoft Defender.

1. Accedere al portale di Microsoft Defender. Nel riquadro di spostamento sul lato scorrere verso il basso e selezionare Autorizzazioni.

2. Nella pagina Autorizzazioni in Microsoft Defender XDR selezionare Ruoli>Crea ruolo personalizzato.

3. Nella procedura guidata visualizzata, nella scheda Informazioni di base immettere il nome del ruolo e una descrizione facoltativa e quindi selezionare Avanti.

4. Nella pagina Scegliere le autorizzazioni selezionare ognuna delle opzioni seguenti in base alle esigenze per configurare le autorizzazioni per tale area:

   • Operazioni di sicurezza: autorizzazioni per i ruoli che gestiscono le operazioni quotidiane e rispondono a eventi imprevisti e avvisi.
   • Comportamento di sicurezza: autorizzazioni per i ruoli che gestiscono il comportamento di sicurezza dell'organizzazione ed eseguono Gestione delle vulnerabilità di Defender.
   • Autorizzazione e impostazioni: autorizzazioni per i ruoli che modificano le configurazioni del portale, ad esempio autorizzazione, impostazioni di sicurezza e impostazioni di sistema.
   • Operazioni sui dati (anteprima): autorizzazioni per la gestione dei dati di sicurezza dell'organizzazione e il controllo delle autorizzazioni di analisi avanzata. Supportato per la raccolta dati Microsoft Sentinel data lake.

   Passare il puntatore del mouse sulla colonna description per ogni gruppo di autorizzazioni per una descrizione dettagliata delle autorizzazioni disponibili in tale gruppo.

   Viene aperto un riquadro laterale Autorizzazioni e impostazioni aggiuntivo per ogni gruppo di autorizzazioni selezionato, in cui è possibile scegliere le autorizzazioni specifiche da assegnare al ruolo.

   Se si seleziona Tutte le autorizzazioni di sola lettura o Tutte le autorizzazioni di lettura e gestione, anche le nuove autorizzazioni aggiunte in seguito a queste categorie vengono assegnate automaticamente in questo ruolo.

   Per altre informazioni, vedere Autorizzazioni in Microsoft Defender controllo degli accessi in base al ruolo unificato.

5. Al termine dell'assegnazione delle autorizzazioni per ogni gruppo di autorizzazioni, selezionare Applica e quindi Avanti per continuare con il gruppo di autorizzazioni successivo.

   Nota

   Se vengono assegnate tutte le autorizzazioni di sola lettura o tutte le autorizzazioni di lettura e gestione, tutte le nuove autorizzazioni aggiunte a questa categoria in futuro verranno assegnate automaticamente con questo ruolo.

   Se sono state assegnate autorizzazioni personalizzate e nuove autorizzazioni vengono aggiunte a questa categoria, sarà necessario riassegnare i ruoli con le nuove autorizzazioni, se necessario.

6. Dopo aver selezionato le autorizzazioni per qualsiasi gruppo di autorizzazioni pertinente, selezionare Applica e quindi Avanti per assegnare utenti e origini dati.

7. Nella pagina Assegna utenti e origini dati selezionare Aggiungi assegnazione.

   1. Nel riquadro Aggiungi lato assegnazione immettere i dettagli seguenti:

      • Nome assegnazione: immettere un nome descrittivo per l'assegnazione.
      • Dipendenti: selezionare Microsoft Entra gruppi di sicurezza o singoli utenti per assegnare gli utenti al ruolo.
      • Origini dati: selezionare l'elenco a discesa Origini dati e quindi selezionare i servizi in cui gli utenti assegnati avranno le autorizzazioni selezionate. Se sono state assegnate autorizzazioni di sola lettura per una singola origine dati, ad esempio Microsoft Defender per endpoint, gli utenti assegnati non possono leggere gli avvisi negli altri servizi, ad esempio Microsoft Defender per Office 365 o Microsoft Defender per identità.
      • Raccolte dati: agli utenti assegnati in questa assegnazione possono essere concesse autorizzazioni per tutte le aree di lavoro Sentinel disponibili o solo per le aree di lavoro selezionate. Ad esempio, se viene creato un ruolo con "Operazioni di sicurezza - autorizzazione di sola lettura", a un team può essere assegnato questo ruolo per US-Workspace e area di lavoro regno Unito, consentendo loro di accedere a tutti gli avvisi da queste origini. È possibile creare un'altra assegnazione per lo stesso ruolo, fornendo a un altro team dell'organizzazione l'accesso solo agli avvisi UK-Workspace da Sentinel area di lavoro nel Regno Unito.

   2. Selezionare Includi origini dati future automaticamente per includere tutte le altre origini dati supportate da Microsoft Defender controllo degli accessi in base al ruolo unificato. Se questa opzione è selezionata, anche tutte le origini dati future aggiunte per il supporto del controllo degli accessi in base al ruolo unificato vengono aggiunte automaticamente all'assegnazione.

   3. Nell'area Raccolte dati del riquadro lato Aggiungi assegnazioni, il data lake predefinito Microsoft Sentinel è elencato per impostazione predefinita. Selezionare Modifica per rimuovere l'accesso al data lake o definire una selezione personalizzata del data lake.

   Nota

   In Microsoft Defender controllo degli accessi in base al ruolo unificato, è possibile creare il numero di assegnazioni necessario nello stesso ruolo con le stesse autorizzazioni. Ad esempio, è possibile avere un'assegnazione all'interno di un ruolo che abbia accesso a tutte le origini dati e quindi un'assegnazione separata per un team che deve accedere agli avvisi degli endpoint solo dall'origine dati di Defender per endpoint. Ciò consente di mantenere il numero minimo di ruoli.

8. Tornare alla pagina Assegna utenti e origini dati selezionare Avanti per esaminare i dettagli del ruolo e dell'assegnazione. Selezionare Invia per creare il ruolo.

Creare un ruolo per accedere e gestire ruoli e autorizzazioni

Per accedere e gestire ruoli e autorizzazioni, se non si è almeno un amministratore della sicurezza in Microsoft Entra ID, creare un ruolo con autorizzazioni di autorizzazione. Per creare questo ruolo:

1. Accedere al portale di Microsoft Defender come amministratore della sicurezza o superiore.

2. Nel riquadro di spostamento selezionare Autorizzazioni > Microsoft Defender XDR > Ruoli > Crea ruolo personalizzato.

3. Immettere il nome e la descrizione del ruolo e quindi selezionare Avanti.

4. Selezionare Autorizzazione e impostazioni e quindi nel riquadro lato Autorizzazione e impostazioni selezionare Seleziona autorizzazioni personalizzate.

5. In Autorizzazione selezionare una delle opzioni seguenti:

   • Selezionare tutte le autorizzazioni. Gli utenti possono creare e gestire ruoli e autorizzazioni.
   • Sola lettura. Gli utenti possono accedere e visualizzare ruoli e autorizzazioni in modalità di sola lettura.

   Ad esempio:

   

6. Selezionare Applica e quindi Avanti per assegnare utenti e origini dati.

7. Selezionare Aggiungi assegnazioni e immettere il nome dell'assegnazione.

8. Per scegliere le origini dati a cui gli utenti assegnati con l'autorizzazione di autorizzazione hanno accesso, selezionare una delle opzioni seguenti:

   • Scegliere tutte le origini dati: concede agli utenti le autorizzazioni per creare nuovi ruoli e gestire i ruoli per tutte le origini dati.
   • Selezionare origini dati specifiche: concede agli utenti le autorizzazioni per creare nuovi ruoli e gestire i ruoli per un'origine dati specifica. Ad esempio, selezionare Microsoft Defender per endpoint nell'elenco a discesa per concedere agli utenti l'autorizzazione autorizzazione solo per l'origine dati Microsoft Defender per endpoint.
   • Microsoft Sentinel raccolta data lake: selezionare questa opzione per concedere agli utenti l'autorizzazione autorizzazione per il data lake Microsoft Sentinel.

9. In Utenti e gruppi assegnati scegliere il Microsoft Entra gruppi di sicurezza o singoli utenti a cui assegnare il ruolo e selezionare Aggiungi.

10. Selezionare Avanti per rivedere e completare la creazione del ruolo e quindi selezionare Invia.

Configurare i ruoli con ambito per Microsoft Defender per identità

È possibile configurare l'accesso con ambito usando il modello URBAC (Unified RBAC) di Microsoft Defender XDR per le identità gestite da Microsoft Defender per identità (MDI). In questo modo è possibile limitare l'accesso e la visibilità a specifici domini o unità organizzative di Active Directory, in modo da allinearsi alle responsabilità del team e ridurre l'esposizione dei dati non necessaria.

Per altre informazioni, vedere Configurare l'accesso con ambito per Microsoft Defender per identità.

Configurare i ruoli con ambito per Microsoft Defender per il cloud

È possibile configurare l'accesso con ambito usando il modello controllo degli accessi in base al ruolo unificato di Microsoft Defender XDR per le risorse gestite da Microsoft Defender per il cloud. In questo modo è possibile limitare l'accesso e la visibilità a sottoscrizioni, gruppi di risorse o singole risorse specifiche. Applicando ruoli con ambito, si garantisce che i membri del team vedano e gestino solo gli asset rilevanti per le loro responsabilità, riducendo l'esposizione non necessaria e migliorando la sicurezza operativa.

Per altre informazioni, vedere Gestire gli ambiti cloud e il controllo degli accessi in base al ruolo unificato.

Considerazioni sull'ambito per Microsoft Defender per endpoint gruppi di dispositivi

Microsoft Defender per endpoint gruppi di dispositivi continuano a regolare la visibilità e le azioni per dispositivo insieme al controllo degli accessi in base al ruolo unificato. Quando si creano o importano ruoli URBAC, le assegnazioni dei gruppi di dispositivi determinano i dispositivi che gli utenti assegnati possono visualizzare e su cui agire. Configurare i gruppi di dispositivi nel portale di Microsoft Defender separatamente dalle assegnazioni di ruolo URBAC per garantire la corretta definizione dell'ambito.

Per altre informazioni, vedere Creare e gestire gruppi di dispositivi in Microsoft Defender per endpoint.

Passaggi successivi

• Importare i ruoli del controllo degli accessi in base al ruolo esistenti
• Attivare Microsoft Defender controllo degli accessi in base al ruolo unificato