تمكين إدارة الأذونات في Microsoft Defender for Cloud (معاينة)

  • مقالة

نظرة عامة

إدارة استحقاق البنية الأساسية السحابية (CIEM) هو نموذج أمان يساعد المؤسسات على إدارة وصول المستخدم واستحقاقاته والتحكم فيها في بنيتها الأساسية السحابية. CIEM هو مكون هام من حل Cloud Native Application Protection Platform (CNAPP) الذي يوفر رؤية لمن أو ما لديه حق الوصول إلى موارد محددة. يضمن أن حقوق الوصول تلتزم بمبدأ أقل امتياز (PoLP)، حيث يتلقى المستخدمون أو هويات حمل العمل، مثل التطبيقات والخدمات، الحد الأدنى من مستويات الوصول الضرورية لأداء مهامهم.

تقدم Microsoft كلا من حلول CNAPP و CIEM مع Microsoft Defender for Cloud (CNAPP) و إدارة الأذونات في Microsoft Entra (CIEM). دمج قدرات إدارة الأذونات مع Defender for Cloud يعزز منع الخروقات الأمنية التي يمكن أن تحدث بسبب الأذونات المفرطة أو التكوينات الخاطئة في بيئة السحابة. من خلال مراقبة وإدارة الاستحقاقات السحابية باستمرار، تساعد إدارة الأذونات على اكتشاف سطح الهجوم، واكتشاف التهديدات المحتملة، وأذونات الوصول بالحجم المناسب، والحفاظ على التوافق مع المعايير التنظيمية. وهذا يجعل نتيجة التحليلات من إدارة الأذونات ضرورية لدمج قدرات Defender for Cloud وإثراءها لتأمين التطبيقات الأصلية على السحابة وحماية البيانات الحساسة في السحابة.

يجلب هذا التكامل الرؤى التالية المشتقة من مجموعة إدارة الأذونات في Microsoft Entra إلى مدخل Microsoft Defender for Cloud. لمزيد من المعلومات، راجع مصفوفة الميزات.

حالات الاستخدام الشائعة والسيناريوهات

يتم دمج قدرات إدارة الأذونات في Microsoft Entra بسلاسة كمكون قيم داخل Defender خطة إدارة وضع الأمان السحابي (CSPM). تعد القدرات المتكاملة أساسية، وتوفر الوظائف الأساسية داخل Microsoft Defender for Cloud. باستخدام هذه الإمكانات المضافة، يمكنك تعقب تحليلات الأذونات والأذونات غير المستخدمة للهويات النشطة والهويات ذات الأذونات الزائدة والتخفيف منها لدعم أفضل ممارسة أقل امتيازا.

يمكنك العثور على التوصيات الجديدة في التحكم في أمان إدارة الوصول والأذونات ضمن علامة التبويب التوصيات في لوحة معلومات Defender for Cloud.

معاينة المتطلبات الأساسية

الجانب التفاصيل
المتطلبات البيئية المطلوبة / المفضلة إدارة وضع الأمان السحابي في Defender
يتم تضمين هذه الإمكانات في خطة إدارة وضع الأمان السحابي في Defender ولا تتطلب ترخيصا إضافيا.
الأدوار والأذونات المطلوبة AWS / GCP
مسؤول الأمان
Application.ReadWrite.All

Azure
مسؤول الأمان
Microsoft.Authorization/roleAssignments/write
الأنظمة السحابية السحب التجارية ل Azure وAWS وGCP
الأمة/ السيادة (حكومة الولايات المتحدة، حكومة الصين، حكومة أخرى)

تمكين إدارة الأذونات ل Azure

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث العلوي، ابحث عن Microsoft Defender for Cloud.

  3. في القائمة اليسرى، حدد Management/Environment settings.

  4. حدد اشتراك Azure الذي ترغب في تشغيله على خطة DCSPM CIEM.

  5. في صفحة خطط Defender، تأكد من تشغيل خطة إدارة وضع الأمان السحابي في Defender.

  6. حدد إعدادات الخطة، ثم قم بتشغيل ملحق إدارة الأذونات.

  7. حدد متابعة.

  8. حدد حفظ.

  9. بعد بضع ثوان، ستلاحظ ما يلي:

    • يحتوي اشتراكك على تعيين قارئ جديد لتطبيق إدارة استحقاق البنية الأساسية السحابية.

    • يتم تعيين معيار Azure CSPM (معاينة) الجديد لاشتراكك.

    لقطة شاشة لكيفية تمكين إدارة الأذونات ل Azure.

  10. يجب أن تكون قادرا على رؤية توصيات إدارة الأذونات القابلة للتطبيق على اشتراكك في غضون ساعات قليلة.

  11. انتقل إلى صفحة التوصيات، وتأكد من تحديد عوامل تصفية البيئات ذات الصلة. تصفية حسب المبادرة= "Azure CSPM (معاينة)" الذي يقوم بتصفية التوصيات التالية (إن أمكن):

توصيات Azure:

  • يجب أن يكون للهويات المفرطة في Azure الأذونات الضرورية فقط
  • يجب إزالة الهويات الفائقة في بيئة Azure
  • يجب إزالة الهويات غير المستخدمة في بيئة Azure

تمكين إدارة الأذونات ل AWS

اتبع هذه الخطوات لتوصيل حساب AWS الخاص بك ب Defender for Cloud

  1. للحساب/المشروع المحدد:

    • حدد المعرف في القائمة، والإعداد | سيتم فتح صفحة خطط Defender.

    • حدد الزر التالي: تحديد الخطط > في أسفل الصفحة.

  2. تمكين خطة إدارة وضع الأمان السحابي في Defender. إذا تم تمكين الخطة بالفعل، فحدد الإعدادات وقم بتشغيل ميزة إدارة الأذونات.

  3. اتبع إرشادات المعالج لتمكين الخطة باستخدام قدرات إدارة الأذونات الجديدة.

    لقطة شاشة لكيفية تمكين خطة إدارة الأذونات ل AWS.

  4. حدد تكوين الوصول، ثم اختر نوع الأذونات المناسب. اختر أسلوب النشر: البرنامج النصي 'AWS CloudFormation' / 'Terraform'.

  5. يتم ملء قالب التوزيع تلقائيا بأسماء ARN للدور الافتراضي. يمكنك تخصيص أسماء الأدوار عن طريق تحديد الارتباط التشعبي.

  6. تشغيل البرنامج النصي CFT / terraform المحدث على بيئة AWS الخاصة بك.

  7. حدد حفظ.

  8. بعد بضع ثوان، ستلاحظ أنه تم تعيين معيار AWS CSPM (معاينة) الجديد على موصل الأمان الخاص بك.

    لقطة شاشة لكيفية تمكين إدارة الأذونات ل AWS.

  9. سترى توصيات إدارة الأذونات القابلة للتطبيق على موصل أمان AWS الخاص بك في غضون ساعات قليلة.

  10. انتقل إلى صفحة التوصيات وتأكد من تحديد عوامل تصفية البيئات ذات الصلة. تصفية حسب المبادرة= "AWS CSPM (معاينة)" التي ترجع التوصيات التالية (إن أمكن):

توصيات AWS:

  • يجب أن يكون للهويات المفرطة في AWS الأذونات الضرورية فقط

  • يجب إزالة الهويات غير المستخدمة في بيئة AWS

إشعار

تتوفر التوصيات المقدمة من خلال تكامل إدارة الأذونات (معاينة) برمجيا من Azure Resource Graph.

تمكين إدارة الأذونات ل GCP

اتبع هذه الخطوات لتوصيل حساب GCP الخاص بك ب Microsoft Defender for Cloud:

  1. للحساب/المشروع المحدد:

    • حدد المعرف في القائمة والإعداد | سيتم فتح صفحة خطط Defender.

    • حدد الزر التالي: تحديد الخطط > في أسفل الصفحة.

  2. تمكين خطة إدارة وضع الأمان السحابي في Defender. إذا تم تمكين الخطة بالفعل، فحدد الإعدادات وقم بتشغيل ميزة إدارة الأذونات.

  3. اتبع إرشادات المعالج لتمكين الخطة باستخدام قدرات إدارة الأذونات الجديدة.

  4. تشغيل البرنامج النصي CFT / terraform المحدث على بيئة GCP الخاصة بك.

  5. حدد حفظ.

  6. بعد بضع ثوان، ستلاحظ أنه تم تعيين معيار GCP CSPM (معاينة) الجديد على موصل الأمان الخاص بك.

    لقطة شاشة لكيفية تمكين إدارة الأذونات ل GCP.

  7. سترى توصيات إدارة الأذونات القابلة للتطبيق على موصل أمان GCP الخاص بك في غضون ساعات قليلة.

  8. انتقل إلى صفحة التوصيات، وتأكد من تحديد عوامل تصفية البيئات ذات الصلة. تصفية حسب المبادرة= "GCP CSPM (معاينة)" التي ترجع التوصيات التالية (إن أمكن):

توصيات GCP:

  • يجب أن يكون للهويات الزائدة عن GCP الأذونات الضرورية فقط

  • يجب إزالة الهويات الفائقة غير المستخدمة في بيئة GCP

  • يجب إزالة الهويات غير المستخدمة في بيئة GCP

القيود المعروفة

  • لا يمكن دمج حسابات AWS أو GCP التي تم إعدادها في البداية إلى إدارة الأذونات في Microsoft Entra عبر Microsoft Defender for Cloud.

مصفوفة الميزات

تأتي ميزة التكامل كجزء من خطة إدارة وضع الأمان السحابي في Defender ولا تتطلب ترخيص إدارة الأذونات في Microsoft Entra (MEPM). لمعرفة المزيد حول القدرات الإضافية التي يمكنك تلقيها من MEPM، راجع مصفوفة الميزات:

الفئة القدرات Defender للسحابة إدارة الأذونات
اكتشاف اكتشاف الأذونات للهويات الخطرة (بما في ذلك الهويات غير المستخدمة والهويات النشطة الزائدة عن التزويد والهويات الفائقة) في Azure وAWS وGCP
اكتشاف فهرس زحف الأذونات (PCI) للبيئات متعددة السحابات (Azure وAWS وGCP) وجميع الهويات
اكتشاف اكتشاف الأذونات لجميع الهويات والمجموعات في Azure وAWS وGCP
اكتشاف تحليلات استخدام الأذونات، تعيينات الدور / النهج في Azure، AWS، GCP
اكتشاف دعم موفري الهوية (بما في ذلك مركز هوية AWS IAM، Okta، GSuite)
تصحيح الحذف التلقائي للأذونات
تصحيح معالجة الهويات عن طريق إرفاق / فصل الأذونات
تصحيح دور مخصص / إنشاء نهج AWS استنادا إلى أنشطة الهويات والمجموعات وما إلى ذلك.
تصحيح الأذونات عند الطلب (الوصول المحدد زمنيا) للهويات البشرية وهويات حمل العمل عبر مركز إدارة Microsoft Entra، واجهات برمجة التطبيقات، تطبيق ServiceNow.
Monitor الكشف عن الحالات الشاذة التي تعمل التعلم الآلي
Monitor التنبيهات المستندة إلى النشاط والمستندة إلى القواعد
Monitor تقارير الطب الشرعي الغنية بالسياق (على سبيل المثال تقرير محفوظات PCI، تقرير استحقاق المستخدم والاستخدام، وما إلى ذلك)

الخطوات التالية

  • لمزيد من المعلومات حول حل CIEM من Microsoft، راجع إدارة الأذونات في Microsoft Entra.
  • للحصول على نسخة تجريبية مجانية من إدارة الأذونات في Microsoft Entra، راجع مركز إدارة Microsoft Entra.