Comment fonctionnent les autorisations dans Microsoft Defender pour le cloud ?
Microsoft Defender pour le cloud utilise le contrôle d’accès en fonction du rôle d’Azure (Azure RBAC), qui fournit des rôles intégrés susceptibles d’être affectés à des utilisateurs, des groupes et des services dans Azure.
Defender pour le cloud évalue la configuration de vos ressources pour identifier les vulnérabilités et les problèmes de sécurité. Dans Defender pour le cloud, vous ne voyez les informations relatives à une ressource que lorsque vous avez reçu le rôle de propriétaire, de collaborateur ou de lecteur pour l’abonnement ou le groupe de ressources auquel appartient la ressource.
Pour en savoir plus sur les rôles et les actions autorisées dans Defender pour le cloud, consultez Autorisations dans Microsoft Defender pour le cloud.
Qui peut modifier une stratégie de sécurité ?
Pour modifier une stratégie de sécurité, vous devez avoir le rôle d’administrateur de la sécurité, de propriétaire ou de collaborateur pour l’abonnement concerné.
Pour savoir comment configurer une stratégie de sécurité, consultez Définition de stratégies de sécurité dans Microsoft Defender pour le cloud.
Quelles autorisations sont utilisées par l’analyse sans agent ?
Les rôles et autorisations que Defender pour le cloud utilise pour effectuer une analyse sans agent de vos environnements Azure, AWS et GCP sont répertoriés ici. Dans Azure, ces autorisations sont automatiquement ajoutées à vos abonnements lorsque vous activez l’analyse sans agent. Dans AWS, ces autorisations sont ajoutées à la pile CloudFormation dans votre connecteur AWS et, dans GCP, les autorisations sont ajoutées au script d’intégration dans votre connecteur GCP.
Autorisations Azure : le rôle intégré « Opérateur de scanner de machine virtuelle » dispose d’autorisations de lecture seule pour les disques de machine virtuelle, qui sont requises pour le processus d’instantané. Voici la liste détaillée des autorisations :
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Lorsque la couverture des disques chiffrés CMK est activée, ces autorisations supplémentaires sont utilisées :
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Autorisations AWS : le rôle « VmScanner » est attribué au scanneur lorsque vous activez l’analyse sans agent. Ce rôle dispose de l’ensemble d’autorisations minimal pour créer et nettoyer des instantanés (délimités par balise), et vérifier l’état actuel de la machine virtuelle. Les autorisations détaillées sont les suivantes :
Attribut Valeur SID VmScannerDeleteSnapshotAccess Actions ec2:DeleteSnapshot Conditions "StringEquals":{"ec2:ResourceTag/CreatedBy”:
« Microsoft Defender pour le cloud »}Ressources arn:aws:ec2:::snapshot/ Effet Autoriser Attribut Valeur SID VmScannerAccess Actions ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotConditions None Ressources arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/Effet Autoriser Attribut Valeur SID VmScannerVerificationAccess Actions ec2:DescribeSnapshots
ec2:DescribeInstanceStatusConditions None Ressources * Effet Autoriser Attribut Valeur SID VmScannerEncryptionKeyCreation Actions kms:CreateKey Conditions None Ressources * Effet Autoriser Attribut Valeur SID VmScannerEncryptionKeyManagement Actions kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsConditions None Ressources arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyEffet Autoriser Attribut Valeur SID VmScannerEncryptionKeyUsage Actions kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromConditions None Ressources arn:aws:kms::${AWS::AccountId}:key/ Effet Allow Autorisations GCP : pendant l’intégration, un nouveau rôle personnalisé est créé avec les autorisations minimales requises pour obtenir l’état des instances et créer des instantanés. Outre cela, les autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK. Ces rôles sont les suivants :
- roles/MDCAgentlessScanningRole accordé au compte de service Defender pour le cloud avec les autorisations : compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter accordé à l’agent de service du moteur de calcul de Defender pour le cloud
Quelles sont les autorisations de stratégie SAS minimales requises lors de l’exportation de données vers Azure Event Hubs ?
Envoi correspond aux autorisations de stratégie SAS minimales requises. Pour obtenir des instructions pas à pas, consultez Étape 1 : Créer un espace de noms Event Hubs et un hub d’événements avec des autorisations d’envoi dans cet article.