Q: كيف تعمل الأذونات في Microsoft Defender for Cloud؟

يستخدم Microsoft Defender for Cloud عنصر التحكم في الوصول حسب دورAzure (Azure RBAC) ، والذي يوفر أدوارًا مدمجة يمكن تعيينها للمستخدمين، والمجموعات، والخدمات في Azure. Defender for Cloud يقيم تكوين مواردك لتحديد مشكلات الأمان ونقاط الضعف. في Defender for Cloud، لا ترى سوى المعلومات المتعلقة بمورد عند تعيين دور المالك أو المساهم أو القارئ للاشتراك أو مجموعة الموارد التي ينتمي إليها المورد. راجع الأذونات في Microsoft Defender for Cloud لمعرفة المزيد حول الأدوار والإجراءات المسموح بها في Defender for Cloud.

Q: ما هو الحد الأدنى من أذونات نهج SAS المطلوبة عند تصدير البيانات إلى Azure Event Hubs؟

الإرسال هو الحد الأدنى من أذونات نهج SAS المطلوبة. للحصول على إرشادات خطوة بخطوة، راجع الخطوة 1: إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث مع أذونات الإرسال في هذه المقالة .

Question 1

كيف تعمل الأذونات في Microsoft Defender for Cloud؟

Accepted Answer

يستخدم Microsoft Defender for Cloudعنصر التحكم في الوصول حسب دورAzure (Azure RBAC)، والذي يوفر أدوارًا مدمجة يمكن تعيينها للمستخدمين، والمجموعات، والخدمات في Azure.

Defender for Cloud يقيم تكوين مواردك لتحديد مشكلات الأمان ونقاط الضعف. في Defender for Cloud، لا ترى سوى المعلومات المتعلقة بمورد عند تعيين دور المالك أو المساهم أو القارئ للاشتراك أو مجموعة الموارد التي ينتمي إليها المورد.

راجع الأذونات في Microsoft Defender for Cloud لمعرفة المزيد حول الأدوار والإجراءات المسموح بها في Defender for Cloud.

Question 2

من يمكنه تعديل نهج الأمان؟

Accepted Answer

لتعديل نهج أمان، يجب أن تكون مسؤول أمان أو مالكًا أو مساهمًا في هذا الاشتراك.

لمعرفة كيفية تكوين نهج أمان، راجع تعيين نهج الأمان في Microsoft Defender for Cloud.

Question 3

ما هي الأذونات التي يستخدمها الفحص بدون عامل؟

Accepted Answer

يتم سرد الأدوار والأذونات المستخدمة من قبل Defender for Cloud لإجراء فحص بدون عامل على بيئات Azure وAWS وGCP هنا. في Azure، تتم إضافة هذه الأذونات تلقائيا إلى اشتراكاتك عند تمكين الفحص بدون عامل. في AWS، تتم إضافة هذه الأذونات إلى مكدس CloudFormation في موصل AWS الخاص بك، وتتم إضافة أذونات GCP إلى البرنامج النصي للإلحاق في موصل GCP.

أذونات Azure - الدور المضمن "عامل تشغيل الماسح الضوئي للجهاز الظاهري" لديه أذونات للقراءة فقط لأقراص الجهاز الظاهري المطلوبة لعملية اللقطة. القائمة التفصيلية للأذونات هي:
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/diskEncryptionSets/read
- Microsoft.Compute/virtualMachines/instanceView/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/instanceView/read
- Microsoft.Compute/virtualMachineScaleSets/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
عند تمكين تغطية الأقراص المشفرة CMK، يتم استخدام هذه الأذونات الإضافية:
- Microsoft.KeyVault/vaults/keys/read
- Microsoft.KeyVault/vaults/keys/wrap/action
- Microsoft.KeyVault/vaults/keys/unwrap/action

أذونات AWS - يتم تعيين الدور "VmScanner" إلى الماسح الضوئي عند تمكين الفحص بدون عامل. يحتوي هذا الدور على الحد الأدنى من الأذونات المعينة لإنشاء لقطات وتنظيفها (محددة النطاق حسب العلامة) وللتحقق من الحالة الحالية للجهاز الظاهري. الأذونات التفصيلية هي:

السمة	القيمة‬
SID	VmScannerDeleteSnapshotAccess
الإجراءات	ec2:DeleteSnapshot
‏‏شروط	"StringEquals":{"ec2:ResourceTag/CreatedBy": "Microsoft Defender for Cloud"}
الموارد	arn:aws:ec2:::snapshot/
التأثير	السماح

السمة	القيمة‬
SID	VmScannerAccess
الإجراءات	ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot
‏‏شروط	بلا
الموارد	arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/
التأثير	السماح

السمة	القيمة‬
SID	VmScannerVerificationAccess
الإجراءات	ec2:DescribeSnapshots ec2:DescribeInstanceStatus
‏‏شروط	بلا
الموارد	*
التأثير	السماح

السمة	القيمة‬
SID	VmScannerEncryptionKeyCreation
الإجراءات	kms:CreateKey
‏‏شروط	بلا
الموارد	*
التأثير	السماح

السمة	القيمة‬
SID	VmScannerEncryptionKeyManagement
الإجراءات	kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags
‏‏شروط	بلا
الموارد	arn:aws:kms::${AWS::AccountId}:key/ arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
التأثير	السماح

السمة	القيمة‬
SID	VmScannerEncryptionKeyUsage
الإجراءات	kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom
‏‏شروط	بلا
الموارد	arn:aws:kms::${AWS::AccountId}:key/
التأثير	السماح

أذونات GCP: أثناء الإعداد - يتم إنشاء دور مخصص جديد بأقل قدر من الأذونات المطلوبة للحصول على حالة المثيلات وإنشاء لقطات. علاوة على ذلك، يتم منح الأذونات لدور GCP KMS موجود لدعم فحص الأقراص المشفرة باستخدام CMEK. الأدوار هي:
- الأدوار/MDCAgentlessScanningRole الممنوحة لحساب خدمة Defender for Cloud بأذونات: compute.disks.createSnapshot, compute.instances.get
- الأدوار/cloudkms.cryptoKeyEncrypterDecrypter الممنوحة لعامل خدمة محرك الحوسبة في Defender for Cloud

Question 4

ما هو الحد الأدنى من أذونات نهج SAS المطلوبة عند تصدير البيانات إلى Azure Event Hubs؟

Accepted Answer

الإرسال هو الحد الأدنى من أذونات نهج SAS المطلوبة. للحصول على إرشادات خطوة بخطوة، راجع الخطوة 1: إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث مع أذونات الإرسال في هذه المقالة.

الأسئلة الشائعة حول الأذونات في Defender for Cloud

كيف تعمل الأذونات في Microsoft Defender for Cloud؟

من يمكنه تعديل نهج الأمان؟

ما هي الأذونات التي يستخدمها الفحص بدون عامل؟

ما هو الحد الأدنى من أذونات نهج SAS المطلوبة عند تصدير البيانات إلى Azure Event Hubs؟

الملاحظات

الموارد الإضافية