Permisos de Microsoft Defender for Cloud

Defender for Cloud usa el control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados. Puede asignar estos roles a usuarios, grupos y servicios en Azure para conceder a los usuarios acceso a los recursos según el acceso definido en el rol.

Defender for Cloud evalúa la configuración de los recursos para identificar problemas de seguridad y vulnerabilidades. En Defender for Cloud, solo verá información relacionada con un recurso cuando se le asigna uno de estos roles para la suscripción o para el grupo de recursos en el que se encuentra el recurso: Propietario, Colaborador o Lector

Además de los roles integrados, hay dos roles específicos de Defender for Cloud:

  • Lector de seguridad: un usuario que pertenece a este rol tiene acceso de solo lectura en Defender for Cloud. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.
  • Administrador de seguridad: un usuario que pertenece a este rol tiene el mismo acceso que el lector de seguridad y puede actualizar la directiva de seguridad, descartar las alertas y las recomendaciones y aplicar las recomendación.

Es recomendable que asigne el rol de menos permisos que los usuarios necesiten para realizar sus tareas. Por ejemplo, asigne el rol Lector a los usuarios que solo necesiten ver información sobre el estado de seguridad de los recursos, pero no llevar a cabo acciones como aplicar recomendaciones o editar directivas.

Roles y acciones permitidas

En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.

Acción Lector de seguridad /
Lector
Administrador de seguridad Colaborador / Propietario Colaborador Propietario
(Nivel de grupo de recursos) (Nivel de suscripción) (Nivel de suscripción)
Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) - - -
Editar directivas de seguridad - - -
Habilitar o deshabilitar planes de Microsoft Defender - -
Descartar alertas - -
Aplicar recomendaciones de seguridad en un recurso
(y usar el botón Corregir)
- -
Ver alertas y recomendaciones

El rol específico necesario para implementar componentes de supervisión depende de la extensión que se va a implementar. Obtenga más información sobre la supervisión de componentes.

Roles usados para aprovisionar automáticamente agentes y extensiones

Para permitir que el rol de Administrador de seguridad aprovisione automáticamente agentes y extensiones usados en los planes de Defender for Cloud, Defender for Cloud usa la corrección de directivas de forma similar a Azure Policy. Para usar la corrección, Defender for Cloud debe crear entidades de servicio, también denominadas identidades administradas, que asignan roles en el nivel de suscripción. Por ejemplo, las entidades de servicio del plan de Defender para contenedores son:

Entidad de servicio Roles
Perfil de seguridad de AKS de aprovisionamiento de Defender para contenedores • Colaborador de la extensión de Kubernetes
• Colaborador
• Colaborador de Azure Kubernetes Service
• Colaborador de Log Analytics
Aprovisionamiento de ARC k8s habilitado en Defender para contenedores • Colaborador de Azure Kubernetes Service
• Colaborador de la extensión de Kubernetes
• Colaborador
• Colaborador de Log Analytics
Aprovisionamiento del complemento Azure Policy para Kubernetes de Defender para contenedores • Colaborador de la extensión de Kubernetes
• Colaborador
• Colaborador de Azure Kubernetes Service
Extensión de directiva de aprovisionamiento de Defender para contenedores para Kubernetes habilitado para Arc • Colaborador de Azure Kubernetes Service
• Colaborador de la extensión de Kubernetes
• Colaborador

Pasos siguientes

En este artículo se ha explicado cómo usa Defender for Cloud RBAC de Azure para asignar permisos a usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos: