Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i requisiti e i prerequisiti per l'uso di Microsoft Security Exposure Management nel portale Microsoft Defender unificato.
Accesso al portale e configurazione
Microsoft Security Exposure Management è integrato nel portale Microsoft Defender XDR all'indirizzo security.microsoft.com. Non è necessaria alcuna installazione separata: tutte le funzionalità di Gestione esposizione sono accessibili tramite la sezione Gestione esposizione nel portale unificato.
Requisiti di licenza
Le funzionalità di Microsoft Security Exposure Management sono disponibili con i seguenti piani di licenza:
- Microsoft 365 E5
- Microsoft 365 E3 con determinati componenti aggiuntivi
- licenze Microsoft Defender suite
- Altre licenze idonee come specificato nella documentazione di integrazione e licenza
Connettori dati esterni (anteprima)
I connettori dati esterni sono attualmente in anteprima pubblica con prezzi separati in base al consumo. Durante la fase di anteprima, l'uso dei connettori dati è gratuito. Una volta disponibili a livello generale, saranno previsti costi basati sul consumo per ogni connettore dati non Microsoft in base al numero di asset recuperati dagli strumenti di sicurezza connessi.
Requisiti regionali e del tenant
Tutti i dati vengono elaborati all'interno dell'infrastruttura del portale Microsoft Defender XDR. Verificare che il tenant soddisfi i requisiti standard per l'accesso al portale di Defender.
Autorizzazioni
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Gestire le autorizzazioni con il controllo degli accessi in base al ruolo (RBAC) unificato di Microsoft Defender
Il controllo degli accessi unificato basato sui ruoli (RBAC) di Microsoft Defender consente di creare ruoli personalizzati con autorizzazioni specifiche per la Gestione esposizione. Queste autorizzazioni si trovano nella categoria Postura di sicurezza nel modello di autorizzazioni RBAC unificato di Defender e sono denominate:
- Gestione dell'esposizione (lettura) per l'accesso in sola lettura
- Gestione dell'esposizione (manage) per accedere alle esperienze di Gestione dell'esposizione
Per le azioni più sensibili in Gestione esposizione, gli utenti devono disporre dell'autorizzazione Impostazioni di sicurezza di base (gestione) che si trova nella categoria Autorizzazioni e impostazioni .
Per accedere ai dati e alle azioni di Gestione dell'esposizione, è necessario assegnare all'origine dati Microsoft Security Exposure Management un ruolo personalizzato nel RBAC unificato di Defender con una qualsiasi delle autorizzazioni qui indicate.
Per altre informazioni su come usare il controllo degli accessi in base al ruolo (RBAC) unificato di Microsoft Defender per gestire le autorizzazioni di Secure Score, vedere Controllo degli accessi in base al ruolo (RBAC) unificato di Microsoft Defender. Per l'elenco completo delle autorizzazioni disponibili e delle relative descrizioni, vedere Autorizzazioni nel RBAC unificato di Microsoft Defender.
Nella tabella seguente vengono evidenziati gli elementi a cui un utente può accedere o eseguire con ognuna delle autorizzazioni:
| Nome dell'autorizzazione | Azioni |
|---|---|
| Gestione dell'esposizione (lettura) | Accesso a tutte le esperienze di Gestione esposizione e accesso in lettura a tutti i dati disponibili |
| Gestione dell'esposizione (gestione) | Oltre all'accesso in lettura, l'utente può impostare il punteggio obiettivo dell'iniziativa e modificare i valori delle metriche, purché abbia accesso a tutti i gruppi di dispositivi di Defender per endpoint device groups. |
| Impostazioni di sicurezza di base (gestione) | Collegare o cambiare fornitore nell'iniziativa Gestione della superficie di attacco esterna |
Per avere accesso completo a Gestione dell'esposizione di Microsoft Security, i ruoli utente devono avere accesso a tutti i gruppi di dispositivi di Defender per endpoint. Gli utenti con accesso limitato ad alcuni gruppi di dispositivi dell'organizzazione possono:
- Accedere ai dati di Informazioni dettagliate sull'esposizione globale.
- Visualizzare gli asset interessati nelle metriche, nelle raccomandazioni, negli eventi e nella cronologia delle iniziative solo nel rispettivo ambito.
- Visualizzare i dispositivi presenti nei percorsi di attacco che rientrano nel proprio ambito.
- Accedere alla mappa della superficie di attacco di Security Exposure Management e agli schemi di ricerca avanzata (ExposureGraphNodes e ExposureGraphEdges) per i gruppi di dispositivi a cui hanno accesso.
Nota
L'accesso con autorizzazioni di gestione per la gestione degli asset critici, in Impostazioni> di sistema> Microsoft Defender XDR richiede agli utenti di avere accesso a tutti i gruppi di dispositivi defender per endpoint.
Accesso tramite ruoli di Microsoft Entra ID
Un'alternativa alla gestione dell'accesso con le autorizzazioni RBAC unificate di Microsoft Defender è l'accesso ai dati e alle azioni di Microsoft Security Exposure Management, che è possibile anche con i ruoli di Microsoft Entra ID. È necessario un tenant con almeno un Amministratore globale o un Amministratore della sicurezza per creare un'area di lavoro Gestione dell'esposizione per la sicurezza.
Per l'accesso completo, gli utenti devono avere uno dei ruoli di Microsoft Entra ID seguenti:
Amministrazione globale (autorizzazioni di lettura e scrittura)
Amministrazione di sicurezza (autorizzazioni di lettura e scrittura)
Operatore di sicurezza (autorizzazioni di lettura e scrittura limitate)
Lettore globale (autorizzazioni di lettura)
Lettore di sicurezza (autorizzazioni di lettura)
Supporto del servizio Amministratore (autorizzazioni di lettura)
Amministratore utente (autorizzazioni di lettura)
Amministratore helpdesk (autorizzazioni di lettura)
Amministratore di Exchange (autorizzazioni di lettura e scrittura)
Amministratore di SharePoint (autorizzazioni di lettura e scrittura)
I livelli di autorizzazione vengono riepilogati nella tabella .
| Azione | Amministratore globale | Global Reader | Amministratore della sicurezza | Operatore della sicurezza | Lettore di sicurezza |
|---|---|---|---|---|---|
| Concedere autorizzazioni ad altri utenti | ✔ | - | - | - | - |
| Esegui l'onboarding dell'organizzazione all'iniziativa Gestione della superficie di attacco esterna di Microsoft Defender (EASM) | ✔ | ✔ | ✔ | ✔ | ✔ |
| Contrassegna l'iniziativa come preferita | ✔ | ✔ | ✔ | ✔ | ✔ |
| Impostare il punteggio obiettivo dell'iniziativa | ✔ | - | ✔ | - | - |
| Visualizzare le iniziative generali | ✔ | ✔ | ✔ | ✔ | ✔ |
| Condividi metrica/raccomandazione | ✔ | ✔ | ✔ | ✔ | ✔ |
| Modificare il peso delle metriche | ✔ | - | ✔ | - | - |
| Metrica di esportazione (PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
| Visualizza le metriche | ✔ | ✔ | ✔ | ✔ | ✔ |
| Esportare gli asset (metrica/raccomandazione) | ✔ | ✔ | ✔ | ✔ | ✔ |
| Gestire le raccomandazioni | ✔ | - | ✔ | - | - |
| Visualizza le raccomandazioni | ✔ | ✔ | ✔ | ✔ | ✔ |
| Esporta eventi | ✔ | ✔ | ✔ | ✔ | ✔ |
| Modificare il livello di criticità | ✔ | - | ✔ | ✔ | - |
| Imposta la regola per gli asset critici | ✔ | - | ✔ | - | - |
| Creare una regola di criticità | ✔ | - | ✔ | - | - |
| Attivare/disattivare la regola di criticità | ✔ | - | ✔ | ✔ | - |
| Eseguire una query sui dati del grafico di esposizione | ✔ | ✔ | ✔ | ✔ | ✔ |
| Configurare i connettori dati | ✔ | ✔ | ✔ | ||
| Visualizzare i connettori dati | ✔ | ✔ | ✔ | ✔ | ✔ |
Requisiti per il browser
È possibile accedere a Gestione dell'esposizione in Security nel portale di Microsoft Defender usando Microsoft Edge, Internet Explorer 11 o qualsiasi Web browser conforme a HTML 5.
Classificazione degli asset critici
Prima di iniziare, scopri la gestione degli asset critici in Gestione dell'esposizione della sicurezza.
Esaminare le autorizzazioni necessarie per l'uso degli asset critici.
Quando si classificano gli asset critici, supportiamo i dispositivi che eseguono la versione 10.3740.XXXX del sensore Defender per endpoint o versioni successive. Abbiamo consigliato di usare una versione più recente del sensore, come elencato nella pagina Novità di Defender for Endpoint.
È possibile verificare quale versione del sensore è in esecuzione su un dispositivo come segue:
Su un dispositivo specifico, passare al file MsSense.exe in C:\Program Files\Windows Defender Advanced Threat Protection. Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà. Nella scheda Dettagli controllare la versione del file.
Per più dispositivi, è più semplice eseguire una query Kusto di ricerca avanzata per controllare le versioni dei sensori del dispositivo, come indicato di seguito:
DeviceInfo | project DeviceName, ClientVersion
Aggiornamento dei dati, conservazione e funzionalità correlate
Attualmente acquisiamo ed elaboriamo i dati supportati dai prodotti Microsoft proprietari, rendendoli disponibili all'interno del grafo dell'esposizione aziendale e nelle funzionalità applicabili di Microsoft Security Exposure Management basate sui dati del grafo entro 72 ore dalla loro produzione nel prodotto di origine.
I dati dei prodotti Microsoft vengono conservati per non meno di 14 giorni nel grafico dell'esposizione aziendale e/o Gestione dell'esposizione in Microsoft Security. Viene conservato solo lo snapshot dei dati più recente ricevuto dai prodotti Microsoft; non vengono archiviati dati cronologici.
Alcuni dati relativi al grafo di esposizione aziendale e/o alle esperienze di Gestione dell'esposizione di Microsoft Security sono disponibili per essere interrogati tramite Ricerca avanzata e sono soggetti alle limitazioni del servizio Ricerca avanzata.
Ci si riserva il diritto di modificare alcuni o tutti questi parametri in futuro, tra cui:
- Frequenza e aggiornamento dell'inserimento dei dati: è possibile aumentare la latenza corrente di 72 ore (ridurre la frequenza di inserimento dei dati) per alcune o tutte le origini dati Microsoft.
- Periodo di conservazione dei dati: è possibile ridurre il periodo di conservazione dei dati di 14 giorni corrente.
- Funzionalità e funzionalità del servizio: è possibile modificare, limitare o interrompere funzionalità, funzionalità o funzionalità specifiche del servizio basate sul grafico di esposizione aziendale e/o sui dati Gestione dell'esposizione in Microsoft Security.
- Limiti delle query sui dati: è possibile che vengano imposte limitazioni sul numero, la frequenza o il tipo di query sui dati che possono essere eseguite su un grafico di esposizione aziendale o su dati Gestione dell'esposizione in Microsoft Security.
Faremo ogni sforzo ragionevole per fornire un preavviso di eventuali modifiche significative al servizio. Tuttavia, l'utente riconosce e accetta di essere l'unico responsabile del monitoraggio di tali notifiche.
Ottenere supporto
Per ottenere supporto, seleziona l'icona con il punto interrogativo della Guida nella barra degli strumenti di Microsoft Security.
È anche possibile interagire con la community microsoft tech.
Passaggi successivi
Iniziare a usare Gestione dell'esposizione in Microsoft Security.