أدوار المستخدمين والأذونات
يستخدم Microsoft Defender for Cloud التحكم في الوصول المستند إلى دور Azure (التحكم في الوصول المستند إلى الدور في Azure) لتوفير أدوار مضمنة. يمكنك تعيين هذه الأدوار للمستخدمين والمجموعات والخدمات في Azure لمنح المستخدمين حق الوصول إلى الموارد وفقا للوصول المحدد في الدور.
يقيم Defender for Cloud تكوين مواردك ويحدد مشكلات الأمان ونقاط الضعف. في Defender for Cloud، يمكنك عرض المعلومات المتعلقة بمورد عندما يكون لديك أحد هذه الأدوار المعينة للاشتراك أو مجموعة الموارد التي ينتمي إليها المورد: المالك أو المساهم أو القارئ.
بالإضافة إلى الأدوار المضمنة، هناك دوران محددان لـ Defender for Cloud:
- قارئ الأمان: المستخدم الذي ينتمي إلى هذا الدور لديه حق الوصول للقراءة فقط إلى Defender for Cloud. يمكن للمستخدم عرض التوصيات والتنبيهات ونهج الأمان وحالات الأمان، ولكن لا يمكنه إجراء تغييرات.
- مسؤول الأمان: المستخدم الذي ينتمي إلى هذا الدور لديه نفس الوصول مثل قارئ الأمان ويمكنه أيضا تحديث نهج الأمان، ورفض التنبيهات والتوصيات.
نوصي بتعيين الدور الأقل تساهلا المطلوب للمستخدمين لإكمال مهامهم.
على سبيل المثال، يمكنك تعيين دور القارئ للمستخدمين الذين يحتاجون فقط إلى عرض معلومات سلامة الأمان لمورد دون اتخاذ أي إجراء. يمكن للمستخدمين الذين لديهم دور Reader تطبيق التوصيات أو نهج التحرير.
الأدوار والإجراءات المسموح بها
يعرض الجدول التالي الأدوار والإجراءات المسموح بها في Defender for Cloud.
| الإجراء | قارئ معلومات الأمان / القارئ |
مسؤول الأمان | مالك / مساهم | المساهم | المالك |
|---|---|---|---|---|---|
| (مستوى مجموعة الموارد) | ( مستوى الاشتراك) | ( مستوى الاشتراك) | |||
| إضافة/تعيين مبادرات (بما في ذلك معايير الامتثال التنظيمي) | - | ✔ | - | - | ✔ |
| تحرير سياسة الأمان | - | ✔ | - | - | ✔ |
| تمكين / تعطيل خطط Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| تجاهل التنبيهات | - | ✔ | - | ✔ | ✔ |
| تطبيق توصيات الأمان لمورد (استخدام الإصلاح) |
- | - | ✔ | ✔ | ✔ |
| عرض التنبيهات والتوصيات | ✔ | ✔ | ✔ | ✔ | ✔ |
| إعفاء توصيات الأمان | - | ✔ | - | - | ✔ |
| تكوين إشعارات البريد الإلكتروني | - | ✔ | ✔ | ✔ | ✔ |
إشعار
في حين أن الأدوار الثلاثة المذكورة كافية لتمكين خطط Defender وتعطيلها، فإن دور المالك مطلوب لتمكين جميع قدرات الخطة.
يعتمد الدور المحدد المطلوب لنشر مكونات المراقبة على الملحق الذي تقوم بنشره. تعرف على المزيد حول مكونات المراقبة.
الأدوار المستخدمة لتوفير العوامل والملحقات تلقائيا
للسماح لدور مسؤول الأمان بتوفير الوكلاء والملحقات المستخدمة في خطط Defender for Cloud تلقائيا، يستخدم Defender for Cloud معالجة النهج بطريقة مشابهة لنهج Azure. لاستخدام المعالجة، يحتاج Defender for Cloud إلى إنشاء كيانات الخدمة، وتسمى أيضا الهويات المدارة التي تعين الأدوار على مستوى الاشتراك. على سبيل المثال، كيانات الخدمة لخطة Defender for Containers هي:
| كيان الخدمة | الأدوار |
|---|---|
| ملف تعريف أمان Defender for Containers الذي يقوم بتوفير خدمة Azure Kubernetes (AKS) | • مساهم ملحق Kubernetes •المساهم • مساهم خدمة Azure Kubernetes • المساهم في تحليلات السجل |
| Defender for Containers تزويد Kubernetes الممكن بواسطة Arc | • مساهم خدمة Azure Kubernetes • مساهم ملحق Kubernetes •المساهم • المساهم في تحليلات السجل |
| Defender for Containers توفير نهج Azure ل Kubernetes | • مساهم ملحق Kubernetes •المساهم • مساهم خدمة Azure Kubernetes |
| ملحق نهج توفير Defender for Containers ل Kubernetes الممكن بواسطة Arc | • مساهم خدمة Azure Kubernetes • مساهم ملحق Kubernetes •المساهم |
الأذونات على AWS
عند إلحاق موصل Amazon Web Services (AWS)، يقوم Defender for Cloud بإنشاء أدوار وتعيين أذونات على حساب AWS الخاص بك. يعرض الجدول التالي الأدوار والإذن المعينين من قبل كل خطة على حساب AWS الخاص بك.
| خطة Defender for Cloud | تم إنشاء الدور | الإذن المعين على حساب AWS |
|---|---|---|
| Defender Cloud Security Posture Management (CSPM) | CspmMonitorAws | لاكتشاف أذونات موارد AWS، اقرأ جميع الموارد باستثناء: الفواتير الموحدة: أكثر حرية: الفوتره: الدفعات: الفواتير: ضريبة: الحالي:* |
| إدارة وضع الأمان السحابي في Defender Defender for Servers |
DefenderForCloud-AgentlessScanner | لإنشاء لقطات القرص وتنظيفها (محددة حسب العلامة) "CreatedBy": أذونات "Microsoft Defender for Cloud": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus إذن إلى EncryptionKeyCreation kms:CreateKey kms:ListKeys أذونات ل EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| إدارة وضع الأمان السحابي في Defender Defender for Storage |
اكتشاف البيانات الحساسة | أذونات لاكتشاف مستودعات S3 في حساب AWS، إذن للماسح الضوئي Defender for Cloud للوصول إلى البيانات في مستودعات S3. S3 للقراءة فقط؛ KMS فك تشفير kms:فك التشفير |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
أذونات اكتشاف Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender for Servers | DefenderForCloud-DefenderForServers | أذونات لتكوين الوصول إلى شبكة JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender for Containers | DefenderForCloud-Containers-K8s | أذونات لسرد مجموعات EKS وجمع البيانات من مجموعات EKS. eks:UpdateClusterConfig eks:DescribeCluster |
| Defender for Containers | DefenderForCloud-DataCollection | أذونات لمجموعة سجل CloudWatch التي تم إنشاؤها بواسطة Defender for Cloud "logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy أذونات استخدام قائمة انتظار SQS التي تم إنشاؤها بواسطة Defender for Cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender for Containers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | أذونات الوصول إلى تدفق تسليم Kinesis Data Firehose الذي أنشأه Defender for Cloud firehose:* |
| Defender for Containers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | أذونات الوصول إلى مستودع S3 الذي تم إنشاؤه بواسطة Defender for Cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender للحاويات إدارة وضع الأمان السحابي في Defender |
MDCContainersAgentlessDiscoveryK8sRole | أذونات لجمع البيانات من مجموعات EKS. تحديث مجموعات EKS لدعم تقييد IP وإنشاء iamidentitymapping لمجموعات EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender للحاويات إدارة وضع الأمان السحابي في Defender |
MDCContainersImageAssessmentRole | أذونات لمسح الصور ضوئيا من ECR وECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | أذونات تثبيت Azure Arc على جميع مثيلات EC2 باستخدام SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| إدارة وضع الأمان السحابي في Defender | DefenderForCloud-DataSecurityPostureDB | إذن لاكتشاف مثيلات RDS في حساب AWS، وإنشاء لقطة مثيل RDS، - سرد جميع RDS DBs/clusters - سرد جميع لقطات DB/Cluster - نسخ جميع لقطات DB/cluster - حذف/تحديث لقطة DB/نظام المجموعة مع بادئة defenderfordatabases - سرد جميع مفاتيح KMS - استخدام جميع مفاتيح KMS فقط ل RDS على حساب المصدر - سرد مفاتيح KMS مع بادئة العلامة DefenderForDatabases - إنشاء اسم مستعار لمفاتيح KMS الأذونات المطلوبة لاكتشاف مثيلات RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
أذونات على GCP
عند إلحاق موصل Google Cloud Platforms (GCP)، يقوم Defender for Cloud بإنشاء أدوار وتعيين أذونات على مشروع GCP الخاص بك. يعرض الجدول التالي الأدوار والأذونات المعينة من قبل كل خطة على مشروع GCP الخاص بك.
| خطة Defender for Cloud | تم إنشاء الدور | الإذن المعين على حساب AWS |
|---|---|---|
| إدارة وضع الأمان السحابي في Defender | MDCCspmCustomRole | تسمح هذه الأذونات لدور CSPM باكتشاف الموارد ومسحها ضوئيا داخل المؤسسة: يسمح للدور بعرض المؤسسات والمشاريع والمجلدات والمنظمات: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy يسمح بعملية التوفير التلقائي للمشاريع الجديدة وإزالة المشاريع المحذوفة: resourcemanager.projects.get resourcemanager.projects.list يسمح للدور بتمكين خدمات Google Cloud المستخدمة لاكتشاف الموارد: serviceusage.services.enable يستخدم لإنشاء أدوار IAM وإدراجها: iam.roles.create iam.roles.list يسمح للدور بالعمل كحساب خدمة والحصول على إذن للموارد: iam.serviceAccounts.actAs يسمح للدور بعرض تفاصيل المشروع وتعيين بيانات تعريف المثيل الشائعة: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
الوصول للقراءة فقط للحصول على محرك الحوسبة وإدراجه resources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender لقاعدة البيانات | defender-for-databases-arc-ap | أذونات ل Defender لقواعد البيانات التوفير التلقائي ل ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| إدارة وضع الأمان السحابي في Defender Defender for Storage |
تخزين وضع أمان البيانات | إذن للماسح الضوئي ل Defender for Cloud لاكتشاف مستودعات تخزين GCP، للوصول إلى البيانات في مستودعات تخزين GCP storage.objects.list storage.objects.get storage.buckets.get |
| إدارة وضع الأمان السحابي في Defender Defender for Storage |
تخزين وضع أمان البيانات | إذن للماسح الضوئي ل Defender for Cloud لاكتشاف مستودعات تخزين GCP، للوصول إلى البيانات في مستودعات تخزين GCP storage.objects.list storage.objects.get storage.buckets.get |
| إدارة وضع الأمان السحابي في Defender | microsoft-defender-ciem | أذونات للحصول على تفاصيل حول مورد المؤسسة. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| إدارة وضع الأمان السحابي في Defender Defender for Servers |
MDCAgentlessScanningRole | أذونات فحص القرص بدون عامل: compute.disks.createSnapshot compute.instances.get |
| إدارة وضع الأمان السحابي في Defender Defender للخوادم |
cloudkms.cryptoKeyEncrypterDecrypter | يتم منح أذونات لدور GCP KMS موجود لدعم أقراص المسح الضوئي المشفرة باستخدام CMEK |
| إدارة وضع الأمان السحابي في Defender Defender for Containers |
mdc-containers-artifact-assess | إذن لمسح الصور ضوئيا من GAR وGCR. artifactregistry.reader storage.objectViewer |
| Defender for Containers | mdc-containers-k8s-operator | أذونات تجميع البيانات من مجموعات GKE. تحديث مجموعات GKE لدعم تقييد IP. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update، container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender for Containers | حاويات microsoft-defender | أذونات لإنشاء وإدارة متلقي السجل لتوجيه السجلات إلى موضوع Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender for Containers | ms-defender-containers-stream | أذونات للسماح بتسجيل الدخول لإرسال السجلات إلى pub sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
الخطوات التالية
توضح هذه المقالة كيفية استخدام Defender for Cloud ل Azure Role-Based Access Control لتعيين أذونات للمستخدمين وتحديد الإجراءات المسموح بها لكل دور. والآن، وبعد أن أصبحت على دراية بتعينات الأدوار اللازمة لمراقبة حالة الأمان في اشتراكك وتحرير سياسات الأمان وتطبيق التوصيات، تعلم كيف: