كيف تعمل الأذونات في Microsoft Defender for Cloud؟
يستخدم Microsoft Defender for Cloudعنصر التحكم في الوصول حسب دورAzure (Azure RBAC)، والذي يوفر أدوارًا مدمجة يمكن تعيينها للمستخدمين، والمجموعات، والخدمات في Azure.
Defender for Cloud يقيم تكوين مواردك لتحديد مشكلات الأمان ونقاط الضعف. في Defender for Cloud، لا ترى سوى المعلومات المتعلقة بمورد عند تعيين دور المالك أو المساهم أو القارئ للاشتراك أو مجموعة الموارد التي ينتمي إليها المورد.
راجع الأذونات في Microsoft Defender for Cloud لمعرفة المزيد حول الأدوار والإجراءات المسموح بها في Defender for Cloud.
من يمكنه تعديل نهج الأمان؟
لتعديل نهج أمان، يجب أن تكون مسؤول أمان أو مالكًا أو مساهمًا في هذا الاشتراك.
لمعرفة كيفية تكوين نهج أمان، راجع تعيين نهج الأمان في Microsoft Defender for Cloud.
ما هي الأذونات التي يستخدمها الفحص بدون عامل؟
يتم سرد الأدوار والأذونات المستخدمة من قبل Defender for Cloud لإجراء فحص بدون عامل على بيئات Azure وAWS وGCP هنا. في Azure، تتم إضافة هذه الأذونات تلقائيا إلى اشتراكاتك عند تمكين الفحص بدون عامل. في AWS، تتم إضافة هذه الأذونات إلى مكدس CloudFormation في موصل AWS الخاص بك، وتتم إضافة أذونات GCP إلى البرنامج النصي للإلحاق في موصل GCP.
أذونات Azure - الدور المضمن "عامل تشغيل الماسح الضوئي للجهاز الظاهري" لديه أذونات للقراءة فقط لأقراص الجهاز الظاهري المطلوبة لعملية اللقطة. القائمة التفصيلية للأذونات هي:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
عند تمكين تغطية الأقراص المشفرة CMK، يتم استخدام هذه الأذونات الإضافية:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
أذونات AWS - يتم تعيين الدور "VmScanner" إلى الماسح الضوئي عند تمكين الفحص بدون عامل. يحتوي هذا الدور على الحد الأدنى من الأذونات المعينة لإنشاء لقطات وتنظيفها (محددة النطاق حسب العلامة) وللتحقق من الحالة الحالية للجهاز الظاهري. الأذونات التفصيلية هي:
السمة القيمة SID VmScannerDeleteSnapshotAccess الإجراءات ec2:DeleteSnapshot شروط "StringEquals":{"ec2:ResourceTag/CreatedBy":
"Microsoft Defender for Cloud"}الموارد arn:aws:ec2:::snapshot/ التأثير السماح السمة القيمة SID VmScannerAccess الإجراءات ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotشروط بلا الموارد arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/التأثير السماح السمة القيمة SID VmScannerVerificationAccess الإجراءات ec2:DescribeSnapshots
ec2:DescribeInstanceStatusشروط بلا الموارد * التأثير السماح السمة القيمة SID VmScannerEncryptionKeyCreation الإجراءات kms:CreateKey شروط بلا الموارد * التأثير السماح السمة القيمة SID VmScannerEncryptionKeyManagement الإجراءات kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsشروط بلا الموارد arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyالتأثير السماح السمة القيمة SID VmScannerEncryptionKeyUsage الإجراءات kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromشروط بلا الموارد arn:aws:kms::${AWS::AccountId}:key/ التأثير السماح أذونات GCP: أثناء الإعداد - يتم إنشاء دور مخصص جديد بأقل قدر من الأذونات المطلوبة للحصول على حالة المثيلات وإنشاء لقطات. علاوة على ذلك، يتم منح الأذونات لدور GCP KMS موجود لدعم فحص الأقراص المشفرة باستخدام CMEK. الأدوار هي:
- الأدوار/MDCAgentlessScanningRole الممنوحة لحساب خدمة Defender for Cloud بأذونات: compute.disks.createSnapshot, compute.instances.get
- الأدوار/cloudkms.cryptoKeyEncrypterDecrypter الممنوحة لعامل خدمة محرك الحوسبة في Defender for Cloud
ما هو الحد الأدنى من أذونات نهج SAS المطلوبة عند تصدير البيانات إلى Azure Event Hubs؟
الإرسال هو الحد الأدنى من أذونات نهج SAS المطلوبة. للحصول على إرشادات خطوة بخطوة، راجع الخطوة 1: إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث مع أذونات الإرسال في هذه المقالة.