本文說明在統一Microsoft Defender 全面偵測回應入口中使用Microsoft 安全性暴露風險管理的需求與前提條件。
入口網站存取與設定
Microsoft 安全性暴露風險管理 已整合進 security.microsoft.com 的 Microsoft Defender 全面偵測回應 入口網站。 不需要另外安裝——所有暴露管理功能都可以透過統一入口網站的 暴露管理 區段存取。
授權需求
Microsoft 安全性暴露風險管理功能可透過以下授權方案提供:
- Microsoft 365 E5
- Microsoft 365 E3 搭配特定附加元件
- Microsoft Defender 套件授權
- 其他符合資格的授權,依整合與授權文件所規定
外部資料連接器 (預覽)
外部資料連接器目前正處於公開預覽階段,並依據使用量分開定價。 預覽階段,資料連接器的使用是免費的。 一旦全面可用,每個非 Microsoft 資料連接器將依據從連接安全工具中擷取的資產數量,依據消耗量計算成本。
區域與租戶要求
所有資料皆在 Microsoft Defender 全面偵測回應入口網站基礎架構中處理。 確保您的租戶符合 Defender 入口網站存取的標準要求。
權限
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
利用Microsoft Defender 全面偵測回應統一的角色基礎存取控制 (RBAC) 管理權限
Microsoft Defender 全面偵測回應 統一基於角色的存取控制 (RBAC) 允許您建立具有特定權限的自訂角色以進行暴露管理。 這些權限位於 Defender 全面偵測回應統一 RBAC 權限模型中的安全態勢類別,名稱為:
- 暴露管理 (讀取) 以只讀存取
- 暴露管理 (管理) 以管理接觸管理體驗
若在暴露管理中執行較敏感的操作,使用者需要核心 安全設定 (管理 位於 授權與設定 類別下的) 權限。
若要存取暴露管理資料與操作,Defender 全面偵測回應統一 RBAC 中應指派一個自訂角色,並具備此處提及的任一權限,並指派給 Microsoft 安全性暴露風險管理資料來源。
欲了解更多使用Microsoft Defender 全面偵測回應統一 RBAC 管理安全分數權限的資訊,請參閱 Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (RBAC) 。
下表突顯使用者可依各權限存取或執行的事項:
| 許可名稱 | 動作 |
|---|---|
| 暴露管理 (閱讀) | 存取所有暴露管理經驗及閱讀權限 |
| 暴露管理 (管理) | 除了讀取權限外,使用者還可以設定主動目標分數及編輯指標值,只要使用者擁有所有 Defender for Endpoint 裝置群組的存取權即可。 |
| 核心安全設定 (管理) | 連接或更換供應商至外部攻擊面管理計畫 |
若要完整存取 Microsoft 安全性暴露風險管理,使用者角色需存取所有 Defender for Endpoint 裝置群組。 對組織部分裝置群組有限制存取權的使用者可以:
- 取得全球曝光洞察數據。
- 僅在其範圍內,在指標、建議、事件及倡議歷史下查看受影響資產。
- 查看其攻擊路徑內的裝置。
- 存取安全性暴露風險管理攻擊面地圖及進階搜尋模式 (ExposureGraphNodes 與 ExposureGraphEdges) ,針對它們可存取的裝置群組。
注意事項
在系統>設定>中,Microsoft Defender 全面偵測回應以管理關鍵資產管理權限,要求使用者擁有所有 Defender for Endpoint 裝置群組的存取權。
Access with Microsoft Entra ID 角色
除了使用 Microsoft Defender 全面偵測回應 Unified RBAC 權限外,Microsoft Entra ID 角色也能存取 Microsoft 安全性暴露風險管理的資料與操作。 你需要租戶至少有一個全域管理員或安全管理員,才能建立安全性暴露風險管理工作區。
要取得完整存取權限,使用者需要以下 Microsoft Entra ID 角色之一:
全域管理員 (讀寫權限)
安全管理員 (讀寫權限)
安全操作員 (讀取與有限寫入權限)
全域閱讀 器 (讀取權限)
安全閱讀 器 (讀取權限)
服務支援 管理員 (讀取權限)
使用者管理員 (讀取權限)
客服管理員 (讀取權限)
Exchange 管理員 (讀寫權限)
SharePoint 管理員 (讀寫權限)
權限等級已在表格中總結。
| 動作 | Global Admin | 全域讀取者 | 安全性系統管理員 | 安全性操作員 | 安全性讀取者 |
|---|---|---|---|---|---|
| 授權他人 | ✔ | - | - | - | - |
| 讓您的組織加入Microsoft Defender 外部受攻擊面管理 (EASM) 計畫 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 將主動性標記為最愛 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 設定先攻目標分數 | ✔ | - | ✔ | - | - |
| 查看一般倡議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 分享指標/建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 編輯:公制權重 | ✔ | - | ✔ | - | - |
| 輸出度量制 (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
| 查看指標 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 匯出資產 (指標/推薦) | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理推薦 | ✔ | - | ✔ | - | - |
| 檢視建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 出口賽事 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 變更臨界等級 | ✔ | - | ✔ | ✔ | - |
| 設定關鍵資產規則 | ✔ | - | ✔ | - | - |
| 建立臨界性規則 | ✔ | - | ✔ | - | - |
| 開啟或關閉臨界度規則 | ✔ | - | ✔ | ✔ | - |
| 對曝光圖資料執行查詢 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 設定資料連接器 | ✔ | ✔ | ✔ | ||
| 查看資料連接器 | ✔ | ✔ | ✔ | ✔ | ✔ |
瀏覽器需求
您可以使用 Microsoft Edge、Internet Explorer 11 或任何符合 HTML 5 標準的網頁瀏覽器,在 Microsoft Defender 入口網站中存取安全性暴露風險管理。
關鍵資產分類
在開始之前,先了解安全性暴露風險管理中的關鍵資產管理。
檢視操作關鍵資產所需的權限。
在分類關鍵資產時,我們支援運行 Defender for Endpoint 感測器版本 10.3740.XXXX 或更新版本的裝置。 我們建議使用較新的感測器版本,如 Defender for Endpoint 最新 資訊頁面所列。
你可以透過以下方式檢查裝置使用的感測器版本:
在特定裝置上,瀏覽 C:\Program Files\Windows Defender Advanced Threat Protection 中的 MsSense.exe 檔案。 以滑鼠右鍵按一下檔案,然後按一下 [屬性]。 在 「詳情 」標籤中,檢查檔案版本。
對於多台裝置,執行 進階的搜尋 Kusto 查詢 裝置感測器版本會比較簡單,方法如下:
DeviceInfo | project DeviceName, ClientVersion
資料新鮮度、保留性及相關功能
我們目前會從第一方 Microsoft 產品中擷取並處理支援資料,使其能在企業暴露圖中取得,並在 72 小時內提供基於圖表資料的 Microsoft 安全性暴露風險管理經驗。
Microsoft 產品資料會在企業暴露圖及/或 Microsoft 安全性暴露風險管理中保留不少於 14 天。 僅保留從 Microsoft 產品收到的最新資料快照;我們不儲存歷史資料。
部分企業暴露圖及/或 Microsoft 安全性暴露風險管理經驗資料可透過進階狩獵查詢,並受進階狩獵服務限制。
我們保留未來修改部分或全部參數的權利,包括:
- 資料擷取頻率與新鮮度:我們可能會增加目前的72小時延遲 (降低部分或全部資料來源的資料擷取) 頻率Microsoft。
- 資料保留期限:我們可能會縮短目前的14天資料保留期限。
- 服務功能與功能:我們可能會更改、限制或終止建立在企業暴露圖及/或 Microsoft 安全性暴露風險管理資料之上服務的特定功能、能力或功能。
- 資料查詢限制:我們可能會對企業暴露圖或 Microsoft 安全性暴露風險管理資料所能執行的資料查詢數量、頻率或類型設限。
我們會盡合理努力提前通知服務中的任何重大變動。 然而,您承認並同意您對監控任何此類通知負全責責任。
取得支援
要獲得支援,請在 Microsoft 安全工具列中選擇「幫助問號」圖示。
你也可以參與 Microsoft Tech 社群。