Jak fungují oprávnění v Programu Microsoft Defender for Cloud?
Microsoft Defender pro cloud používá řízení přístupu na základě role v Azure (Azure RBAC), které poskytuje předdefinované role , které je možné přiřadit uživatelům, skupinám a službám v Azure.
Defender for Cloud vyhodnocuje konfiguraci vašich prostředků za účelem identifikace problémů se zabezpečením a ohrožení zabezpečení. V defenderu pro cloud se zobrazí jenom informace související s prostředkem, pokud máte přiřazenou roli vlastníka, přispěvatele nebo čtenáře pro předplatné nebo skupinu prostředků, ke které prostředek patří.
Další informace o rolích a povolených akcích v programu Defender for Cloud najdete v části Oprávnění v Programu Microsoft Defender for Cloud .
Kdo může upravit zásady zabezpečení?
Pokud chcete upravit zásady zabezpečení, musíte být Správa zabezpečení nebo vlastník nebo přispěvatel daného předplatného.
Informace o konfiguraci zásad zabezpečení najdete v tématu Nastavení zásad zabezpečení v programu Microsoft Defender for Cloud.
Která oprávnění používá kontrola bez agentů?
Tady jsou uvedené role a oprávnění používaná defenderem for Cloud k provádění kontroly bez agentů v prostředíCh Azure, AWS a GCP. V Azure se tato oprávnění automaticky přidají do vašich předplatných, když povolíte kontrolu bez agentů. V AWS se tato oprávnění přidají do zásobníku CloudFormation v konektoru AWS a v oprávněních GCP se přidají do skriptu onboardingu v konektoru GCP.
Oprávnění Azure – Předdefinovaná role Operátor skeneru virtuálních počítačů má oprávnění jen pro čtení pro disky virtuálních počítačů, které jsou potřeba pro proces snímku. Podrobný seznamoprávněních
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Pokud je povolené pokrytí šifrovaných disků CMK, použijí se tato další oprávnění:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Oprávnění AWS – Role VmScanner je přiřazena skeneru, když povolíte kontrolu bez agentů. Tato role má minimální nastavená oprávnění k vytváření a čištění snímků (vymezených značkou) a k ověření aktuálního stavu virtuálního počítače. Podrobná oprávnění jsou:
Atribut Hodnota SID VmScannerDeleteSnapshotAccess Akce ec2:DeleteSnapshot Podmínky "StringEquals":{"ec2:ResourceTag/CreatedBy":
"Microsoft Defender for Cloud"}Zdroje informací arn:aws:ec2::snapshot/ Účinnost Povolit Atribut Hodnota SID VmScannerAccess Akce ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotPodmínky Nic Zdroje informací arn:aws:ec2::instance/
arn:aws:ec2::snapshot/
arn:aws:ec2:::volume/Účinnost Povolit Atribut Hodnota SID VmScannerVerificationAccess Akce ec2:DescribeSnapshots
ec2:DescribeInstanceStatusPodmínky Nic Zdroje informací * Účinnost Povolit Atribut Hodnota SID VmScannerEncryptionKeyCreation Akce kms:CreateKey Podmínky Nic Zdroje informací * Účinnost Povolit Atribut Hodnota SID VmScannerEncryptionKeyManagement Akce kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsPodmínky Nic Zdroje informací arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyÚčinnost Povolit Atribut Hodnota SID VmScannerEncryptionKeyUsage Akce kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
Kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromPodmínky Nic Zdroje informací arn:aws:kms::${AWS::AccountId}:key/ Účinnost Povolit Oprávnění GCP: Během připojování se vytvoří nová vlastní role s minimálními oprávněními potřebnými k získání stavu instancí a vytváření snímků. Nad tím, že oprávnění k existující roli GCP Služba správy klíčů jsou udělena pro podporu skenování disků, které jsou šifrované pomocí CMEK. Jedná se o následující role:
- role/MDCAgentlessScanningRole udělený účtu služby Defender for Cloud s oprávněními: compute.disks.createSnapshot, compute.instances.get
- role /cloudkms.cryptoKeyEncrypterDecrypterDecrypter udělený agentovi služby výpočetního stroje v programu Defender for Cloud
Jaká jsou minimální požadovaná oprávnění zásad SAS při exportu dat do služby Azure Event Hubs?
Odeslat je minimální požadovaná oprávnění zásad SAS. Podrobné pokyny najdete v kroku 1: Vytvoření oboru názvů služby Event Hubs a centra událostí s oprávněními k odeslání v tomto článku.