Microsoft Defender For Endpoint Article Series : Membuat Tier Role di Microsoft Defender for Endpoint

RBAC atau Role Based Access Control memiliki fungsi untuk membuat role dan grup di tim SOC. Intinya adalah membagi akses per-Tier.

Syarat Pre-Requisites Sebelum Config :

  • Role = Global Administrator/Security Administrator role.
  • Memiliki Azure AD Security group

Cara Enable Role

Buka security.microsoft.com > Settings > Endpoints > Roles > Turn On Roles

Pengaturan Role di MDE

Pengaturan Role

Setiap akun Tier masing-masing mendapatkan akses dan dapat melakukan apa saja. Secara default setiap Tier dari 1–3 sudah memiliki akses READ.

  1. Tier 1 —SecOps team / IT team local. (Untuk operations di 1 kota saja)

Permission :

  • View Data
  • Alert Investigation

Input Role dengan cara Add Item > Isi seperti berikut :

Nama Role Adalah Tier 1

Konfigurasi Permission diisi seperti berikut :

Konfigurasi Permission Tier 1

Note : Untuk mengetahui fungsi dari tiap permission, kursor dapat diarahkan ke permission dan akan menampilkan tampilan informasi seperti gambar diatas.

Next untuk memasukkan AAD Security Group, Pilih Group (checklist)

Gambar memilih Group

lalu Add selected groups

Contoh Penggunaan Group dan Penamaan Group

Save.

2. Tier 2 — Regional SecOps team (Untuk operations di berbagai kota)

Cara Membuat Role nya sama seperti Tier 1, hanya permissionnya saja berbeda.

Konfigurasi Permission Tier 2

Permission :

  • View Data
  • Alert Investigation
  • Active Remediation Actions

Next dan Save.

3. Tier 3 — Global security operations team (Akses ke semua organizations)

Cara Membuat Role nya sama seperti Tier 1, hanya permissionnya saja berbeda.

Permission :

  • View Data
  • Alert Investigation
  • Active Remediation Actions
  • Manage Security Settings in Security Center
  • Manage Endpoint Security Settings in Microsoft Endpoint Manager
  • Live response capabilities

Next dan Save.

Contoh hasil :

Contoh Jika Seluruh Config Tier 1 sampai 3 telah selesai

Fungsi Lain Menggunakan RBAC

Untuk Mempermudah Incident Response atau memonitoring endpoint, dapat menggunakan Machine Group yang di integrasikan dengan SOC Team terkait seperti gambar berikut :

Konfigurasi User Access di Machine Group

Studi Kasus SOC yang Sudah Kompleks Menggunakan RBAC

Is your SOC running flat with limited RBAC? — Microsoft Tech Community

Apakah Permission di setiap Tier dapat di custom ? Tentu Dapat.

Daftar Pustaka :

Use role-based access control to grant fine-grained access to Microsoft 365 Defender portal | Microsoft Docs

Create and manage roles for role-based access control | Microsoft Docs

--

--

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Jeffry Gunawan

Jeffry Gunawan

Cyber Security Consultant | CEH(P), CSA, CSCU, ACE(GCP), SC200