Microsoft Defender for Cloud usa el control de acceso basado en rol de Azure (Azure RBAC), que proporciona roles integrados que se pueden asignar a usuarios, grupos y servicios en Azure.
Defender for Cloud evalúa la configuración de los recursos para identificar problemas de seguridad y vulnerabilidades. En Defender for Cloud, solo puede ver la información relacionada con un recurso cuando se le asigna el rol de Propietario, Colaborador o Lector para la suscripción o el grupo de recursos al que pertenece un recurso.
Consulte Permisos en Microsoft Defender for Cloud para obtener más información sobre los roles y las acciones permitidas en Defender for Cloud.
Para modificar una directiva de seguridad, debe ser administrador de seguridad o propietario/colaborador de esa suscripción.
Para obtener información sobre cómo configurar una directiva de seguridad, consulte Establecimiento de directivas de seguridad en Microsoft Defender for Cloud.
Los roles y permisos usados por Defender for Cloud para realizar análisis sin agente en sus entornos Azure, AWS y GCP se enumeran aquí. En Azure, estos permisos se agregan automáticamente a las suscripciones al habilitar el examen sin agente. En AWS, estos permisos se agregan a la pila de CloudFormation en el conector de AWS y en los permisos de GCP se agregan al script de incorporación en el conector de GCP.
Permisos de Azure: el rol integrado "Operador de examen de máquina virtual" tiene permisos de solo lectura para los discos de máquina virtual que son necesarios para el proceso de la instantánea. La lista detallada de permisos es:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Cuando se habilita la cobertura de los discos cifrados de CMK, se usan estos permisos adicionales:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Permisos de AWS: el rol "VmScanner" se asigna al analizador al habilitar el examen sin agente. Este rol tiene el conjunto de permisos mínimo para crear y limpiar instantáneas (con ámbito por etiqueta) y para comprobar el estado actual de la máquina virtual. Los permisos detallados son:
Atributo Value SID VmScannerDeleteSnapshotAccess Actions ec2:DeleteSnapshot Condiciones "StringEquals":{"ec2:ResourceTag/CreatedBy”:
"Microsoft Defender for Cloud"}Recursos arn:aws:ec2:::snapshot/ Efecto Allow Atributo Value SID VmScannerAccess Acciones ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotCondiciones None Recursos arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/Efecto Allow Atributo Value SID VmScannerVerificationAccess Acciones ec2:DescribeSnapshots
ec2:DescribeInstanceStatusCondiciones None Recursos * Efecto Allow Atributo Value SID VmScannerEncryptionKeyCreation Actions kms:CreateKey Condiciones None Recursos * Efecto Allow Atributo Value SID VmScannerEncryptionKeyManagement Acciones kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsCondiciones None Recursos arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyEfecto Allow Atributo Value SID VmScannerEncryptionKeyUsage Acciones kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromCondiciones None Recursos arn:aws:kms::${AWS::AccountId}:key/ Efecto Permitir Permisos de GCP: durante la incorporación, se crea un nuevo rol personalizado con los permisos mínimos necesarios para obtener el estado de las instancias y crear instantáneas. Además de esos permisos para un rol de KMS de GCP existente se conceden para admitir el examen de discos cifrados con CMEK. Los roles son:
- roles/MDCAgentlessScanningRole concedido a la cuenta de servicio de Defender for Cloud con permisos: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter concedido al agente de servicio del motor de proceso de Defender for Cloud
¿Cuáles son los permisos mínimos de directiva de SAS necesarios al exportar datos a Azure Event Hubs?
Enviar es el mínimo de permisos de directiva de SAS necesarios. Para obtener instrucciones paso a paso, vea Paso 1: Creación de un espacio de nombres de Event Hubs y un centro de eventos con permisos de envío en este artículo.