Szerkesztés

Gyakori kérdések a Felhőhöz készült Defender engedélyeivel kapcsolatban

  • GYIK

Hogyan működnek az engedélyek a Felhőhöz készült Microsoft Defender?

Felhőhöz készült Microsoft Defender használ Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), amely beépített szerepköröket biztosít, amelyek hozzárendelhetők az Azure felhasználóihoz, csoportjaihoz és szolgáltatásaihoz.

Felhőhöz készült Defender értékeli az erőforrások konfigurációját a biztonsági problémák és a biztonsági rések azonosítása érdekében. A Felhőhöz készült Defender csak akkor jelenik meg egy erőforrással kapcsolatos információ, ha az erőforráshoz tartozó előfizetéshez vagy erőforráscsoporthoz tulajdonosi, közreműködői vagy olvasói szerepkörrel rendelkezik.

A Felhőhöz készült Defender szerepköreivel és engedélyezett műveleteivel kapcsolatos további információkért tekintse meg a Felhőhöz készült Microsoft Defender engedélyeit.

Ki módosíthatja a biztonsági szabályzatokat?

Biztonsági szabályzat módosításához biztonsági Rendszergazda vagy az előfizetés tulajdonosának vagy közreműködőjének kell lennie.

A biztonsági szabályzatok konfigurálásáról a biztonsági szabályzatok beállítása Felhőhöz készült Microsoft Defender című témakörben olvashat.

Milyen engedélyeket használ az ügynök nélküli vizsgálat?

A Felhőhöz készült Defender által az Azure-, AWS- és GCP-környezeteken végzett ügynök nélküli vizsgálathoz használt szerepkörök és engedélyek itt találhatók. Az Azure-ban ezek az engedélyek automatikusan hozzáadódnak az előfizetésekhez az ügynök nélküli vizsgálat engedélyezésekor. Az AWS-ben ezek az engedélyek bekerülnek a CloudFormation verembe az AWS-összekötőben , és GCP-engedélyeket adnak hozzá a GCP-összekötő előkészítési szkriptjéhez.

  • Azure-engedélyek – A beépített "VM scanner operátor" szerepkör írásvédett engedélyekkel rendelkezik a pillanatkép-folyamathoz szükséges virtuálisgép-lemezekhez. Az engedélyek részletes listája a következő:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Ha a CMK-titkosított lemezek lefedettsége engedélyezve van, a rendszer a következő további engedélyeket használja:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS-engedélyek – A "VmScanner" szerepkör hozzá van rendelve a képolvasóhoz az ügynök nélküli vizsgálat engedélyezésekor. Ez a szerepkör minimális engedélykészlettel rendelkezik a pillanatképek létrehozásához és törléséhez (címke szerint hatókörben), valamint a virtuális gép aktuális állapotának ellenőrzéséhez. A részletes engedélyek a következők:

    Attribútum Érték
    SID VmScannerDeleteSnapshotAccess
    Műveletek ec2:DeleteSnapshot
    Feltételek "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Felhőhöz készült Microsoft Defender"}
    Források arn:aws:ec2::snapshot/
    Hatály Engedélyezés
    Attribútum Érték
    SID VmScannerAccess
    Műveletek ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Feltételek Egyik sem
    Források arn:aws:ec2::instance/
    arn:aws:ec2::snapshot/
    arn:aws:ec2:::volume/
    Hatály Engedélyezés
    Attribútum Érték
    SID VmScannerVerificationAccess
    Műveletek ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Feltételek Egyik sem
    Források *
    Hatály Engedélyezés
    Attribútum Érték
    SID VmScannerEncryptionKeyCreation
    Műveletek kms:CreateKey
    Feltételek Egyik sem
    Források *
    Hatály Engedélyezés
    Attribútum Érték
    SID VmScannerEncryptionKeyManagement
    Műveletek kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Feltételek Egyik sem
    Források arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Hatály Engedélyezés
    Attribútum Érték
    SID VmScannerEncryptionKeyUsage
    Műveletek kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Feltételek Egyik sem
    Források arn:aws:kms::${AWS::AccountId}:key/
    Hatály Engedélyezés

  • GCP-engedélyek: az előkészítés során egy új egyéni szerepkör jön létre, amely minimális engedélyekkel rendelkezik a példányok állapotának lekéréséhez és pillanatképek létrehozásához. A meglévő GCP KMS-szerepkörre vonatkozó engedélyeken felül a CMEK-sel titkosított lemezek vizsgálatának támogatására is van lehetőség. A szerepkörök a következők:

    • roles/MDCAgentlessScanningRole a következő engedélyekkel rendelkezik Felhőhöz készült Defender szolgáltatásfiókjához: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter a Felhőhöz készült Defender számításimotor-szolgáltatásügynökének

Milyen minimális SAS-szabályzatengedélyek szükségesek az adatok Azure Event Hubsba való exportálásához?

A küldés a minimális SAS-szabályzatengedély. Részletes útmutatásért tekintse meg az 1. lépést: Event Hubs-névtér és eseményközpont létrehozása küldési engedélyekkel ebben a cikkben.