Felhasználói szerepkörök és engedélyek
Felhőhöz készült Microsoft Defender használ Azure szerepköralapú hozzáférés-vezérlés (Azure szerepköralapú hozzáférés-vezérlés) a beépített szerepkörök biztosításához. Ezeket a szerepköröket hozzárendelheti az Azure felhasználóihoz, csoportjaihoz és szolgáltatásaihoz, hogy a szerepkörben meghatározott hozzáférésnek megfelelően hozzáférést biztosítson a felhasználóknak az erőforrásokhoz.
Felhőhöz készült Defender értékeli az erőforrások konfigurációját, és azonosítja a biztonsági problémákat és a biztonsági réseket. A Felhőhöz készült Defender az erőforrással kapcsolatos információkat akkor tekintheti meg, ha az előfizetéshez vagy ahhoz az erőforráscsoporthoz van hozzárendelve valamelyik szerepkör, amelyhez az erőforrás tartozik: Tulajdonos, Közreműködő vagy Olvasó.
A beépített szerepkörök mellett a Felhőhöz készült Defender két szerepkör is van:
- Biztonsági olvasó: A szerepkörhöz tartozó felhasználó írásvédett hozzáféréssel rendelkezik a Felhőhöz készült Defender. A felhasználó megtekintheti a javaslatokat, riasztásokat, biztonsági szabályzatokat és biztonsági állapotokat, de nem végezhet módosításokat.
- Biztonsági rendszergazda: A szerepkörhöz tartozó felhasználók ugyanazzal a hozzáféréssel rendelkezik, mint a Biztonsági olvasó, és frissíthetik a biztonsági szabályzatot, és elutasíthatják a riasztásokat és a javaslatokat.
Javasoljuk, hogy a legkevésbé megengedő szerepkört rendelje hozzá a felhasználókhoz a feladataik elvégzéséhez.
Hozzárendelheti például az Olvasó szerepkört azokhoz a felhasználókhoz, akiknek csak egy erőforrás biztonsági állapotadatait kell megtekinteniük művelet nélkül. Az Olvasó szerepkörrel rendelkező felhasználók javaslatokat vagy szerkesztési szabályzatokat alkalmazhatnak.
Szerepkörök és engedélyezett műveletek
Az alábbi táblázat a szerepköröket és az engedélyezett műveleteket jeleníti meg Felhőhöz készült Defender.
Művelet | Biztonsági olvasó / Olvasó |
Biztonsági rendszergazda | Közreműködő / tulajdonosa | Közreműködő | Tulajdonos |
---|---|---|---|---|---|
(Erőforráscsoport szintje) | (Előfizetési szint) | (Előfizetési szint) | |||
Kezdeményezések hozzáadása/hozzárendelése (beleértve a jogszabályi megfelelőségi szabványokat) | - | ✔ | - | - | ✔ |
Biztonsági szabályzat szerkesztése | - | ✔ | - | - | ✔ |
Microsoft Defender-csomagok engedélyezése/letiltása | - | ✔ | - | ✔ | ✔ |
Riasztások elvetése | - | ✔ | - | ✔ | ✔ |
Biztonsági javaslatok alkalmazása egy erőforráshoz (Javítás használata) |
- | - | ✔ | ✔ | ✔ |
Riasztások és javaslatok megtekintése | ✔ | ✔ | ✔ | ✔ | ✔ |
Kivételt képező biztonsági javaslatok | - | ✔ | - | - | ✔ |
E-mail-értesítések konfigurálása | - | ✔ | ✔ | ✔ | ✔ |
Feljegyzés
Bár az említett három szerepkör elegendő a Defender-csomagok engedélyezéséhez és letiltásához, a tulajdonosi szerepkör szükséges a terv összes funkciójának engedélyezéséhez.
A monitorozási összetevők üzembe helyezéséhez szükséges szerepkör az üzembe helyezendő bővítménytől függ. További információ az összetevők monitorozásáról.
Ügynökök és bővítmények automatikus kiépítéséhez használt szerepkörök
Annak érdekében, hogy a biztonsági rendszergazda szerepkör automatikusan kiépíthesse az Felhőhöz készült Defender csomagokban használt ügynököket és bővítményeket, Felhőhöz készült Defender az Azure Policyhoz hasonlóan a szabályzatok szervizelését használja. A szervizelés használatához Felhőhöz készült Defender létre kell hoznia szolgáltatásneveket, más néven felügyelt identitásokat, amelyek szerepköröket rendelnek hozzá az előfizetés szintjén. A Defender for Containers csomag szolgáltatásnevei például a következők:
Szolgáltatásnév | Szerepkörök |
---|---|
Az Azure Kubernetes Service (AKS) biztonsági profilját kiépítő Defender for Containers | • Kubernetes-bővítmény közreműködője •Közreműködő • Azure Kubernetes Service-közreműködő • Log Analytics-közreműködő |
Defender for Containers– Arc-kompatibilis Kubernetes kiépítése | • Azure Kubernetes Service-közreműködő • Kubernetes-bővítmény közreműködője •Közreműködő • Log Analytics-közreműködő |
Defender for Containers– Azure Policy kiépítése a Kuberneteshez | • Kubernetes-bővítmény közreműködője •Közreműködő • Azure Kubernetes Service-közreműködő |
A Defender for Containers kiépítési szabályzatbővítménye az Arc-kompatibilis Kuberneteshez | • Azure Kubernetes Service-közreműködő • Kubernetes-bővítmény közreműködője •Közreműködő |
Engedélyek az AWS-en
Amazon Web Services-összekötő (AWS) előkészítésekor Felhőhöz készült Defender szerepköröket hoz létre, és engedélyeket rendel hozzá az AWS-fiókjához. Az alábbi táblázat az AWS-fiók egyes csomagjai által hozzárendelt szerepköröket és engedélyeket mutatja be.
Felhőhöz készült Defender terv | Szerepkör létrehozva | AWS-fiókhoz rendelt engedély |
---|---|---|
Defender Cloud Security Posture Management (CSPM) | CspmMonitorAws | Az AWS-erőforrások engedélyeinek felderítéséhez olvassa el az összes erőforrást, kivéve: konszolidálás: freetier: számlázás: Kifizetések: számlázás: adó: korcs:* |
Defender CSPM Defender kiszolgálókhoz |
DefenderForCloud-AgentlessScanner | Lemezpillanatképek létrehozása és törlése (hatóköre: "CreatedBy": "Felhőhöz készült Microsoft Defender" Engedélyek: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey kms:ListKeys EncryptionKeyManagement kms:TagResource engedélyei kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
Defender CSPM Defender for Storage |
SensitiveDataDiscovery | Az AWS-fiókban található S3-gyűjtők felderítésére vonatkozó engedélyek, a Felhőhöz készült Defender szkenner engedélye az S3-gyűjtőkben lévő adatok elérésére. S3 írásvédett; KMS visszafejtése kms:Visszafejtés |
CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
A Ciem Discovery engedélyei sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
Defender kiszolgálókhoz | DefenderForCloud-DefenderForServers | A JIT Network Access konfigurálásához szükséges engedélyek: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
Defender tárolókhoz | DefenderForCloud-Containers-K8s | EkS-fürtök listázására és EKS-fürtökből származó adatok gyűjtésére vonatkozó engedélyek. eks:UpdateClusterConfig eks:DescribeCluster |
Defender tárolókhoz | DefenderForCloud-DataCollection | A Felhőhöz készült Defender által létrehozott CloudWatch-naplócsoportra vonatkozó engedélyek "logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy A Felhőhöz készült Defender által létrehozott SQS-üzenetsor használatára vonatkozó engedélyek sqs:ReceiveMessage sqs:DeleteMessage |
Defender tárolókhoz | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Engedélyek a Felhőhöz készült Defender által létrehozott Kinesis Data Firehose kézbesítési adatfolyam eléréséhez firehose:* |
Defender tárolókhoz | DefenderForCloud-Containers-K8s-kinesis-to-s3 | A Felhőhöz készült Defender által létrehozott S3-gyűjtő elérésére vonatkozó engedélyek s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
Defender tárolókhoz Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Engedélyek az EKS-fürtökből származó adatok gyűjtéséhez. EKS-fürtök frissítése az IP-korlátozás támogatásához és az EKS-fürtök iamidentitymappingjének létrehozásához "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
Defender tárolókhoz Defender CSPM |
MDCContainersImageAssessmentRole | Az ECR és az ECR nyilvános rendszerképeinek vizsgálatára vonatkozó engedélyek. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
Defender kiszolgálókhoz | DefenderForCloud-ArcAutoProvisioning | Az Azure Arc SSM-et használó összes EC2-példányra való telepítéséhez szükséges engedélyek ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
Defender CSPM | DefenderForCloud-DataSecurityPostureDB | RdS-példányok felderítésének engedélyezése az AWS-fiókban, RDS-példány pillanatképének létrehozása, – Az összes RDS-beli DBs/fürt listázása – Az összes db/fürt pillanatképének listázása – Az összes db/fürt pillanatképének másolása – Adatbázis/fürt pillanatképének törlése/frissítése defenderfordatabases előtaggal - Az összes KMS-kulcs listázása – Az összes KMS-kulcs használata csak a forrásfiókon lévő RDS-hez – KMS-kulcsok listázása DefenderForDatabases címkeelőtaggal – Alias létrehozása KMS-kulcsokhoz A felfedezéshez szükséges engedélyek, RDS-példányok rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP-engedélyek
A Google Felhőplatformok (GCP) összekötőjének előkészítésekor Felhőhöz készült Defender szerepköröket hoz létre, és engedélyeket rendel hozzá a GCP-projekthez. Az alábbi táblázat a GCP-projekt egyes csomagja által hozzárendelt szerepköröket és engedélyeket mutatja be.
Felhőhöz készült Defender terv | Szerepkör létrehozva | AWS-fiókhoz rendelt engedély |
---|---|---|
Defender CSPM | MDCCspmCustomRole | Ezek az engedélyek lehetővé teszik a CSPM-szerepkör számára a szervezeten belüli erőforrások felderítését és vizsgálatát: Lehetővé teszi a szerepkör számára, hogy megtekintse és megjelenítse a szervezeteket, projekteket és mappákat: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Lehetővé teszi az új projektek automatikus létrehozásának folyamatát és a törölt projektek eltávolítását: resourcemanager.projects.get resourcemanager.projects.list Lehetővé teszi, hogy a szerepkör engedélyezze az erőforrások felderítéséhez használt Google Cloud-szolgáltatásokat: serviceusage.services.enable IAM-szerepkörök létrehozására és listázására szolgál: iam.roles.create iam.roles.list Lehetővé teszi, hogy a szerepkör szolgáltatásfiókként működjön, és engedélyt kapjon az erőforrásokra: iam.serviceAccounts.actAs Lehetővé teszi a szerepkör számára a projekt részleteinek megtekintését és a gyakori példány metaadatainak beállítását: compute.projects.get compute.projects.setCommonInstanceMetadata |
Defender kiszolgálókhoz | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Írásvédett hozzáférés a számítási motor lekéréséhez és listázásához resources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
Defender for Database | defender-for-databases-arc-ap | Engedélyek a Defenderhez az adatbázisok ARC automatikus kiépítéséhez compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
Defender CSPM Defender for Storage |
data-security-posture-storage | A GCP-tárológyűjtők felderítésére és a GCP-tárolókban lévő adatok elérésére vonatkozó Felhőhöz készült Defender szkenner engedélye storage.objects.list storage.objects.get storage.buckets.get |
Defender CSPM Defender for Storage |
data-security-posture-storage | A GCP-tárológyűjtők felderítésére és a GCP-tárolókban lévő adatok elérésére vonatkozó Felhőhöz készült Defender szkenner engedélye storage.objects.list storage.objects.get storage.buckets.get |
Defender CSPM | microsoft-defender-ciem | Engedélyek a szervezeti erőforrás részleteinek lekéréséhez. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
Defender CSPM Defender kiszolgálókhoz |
MDCAgentlessScanningRole | Ügynök nélküli lemezvizsgálat engedélyei: compute.disks.createSnapshot compute.instances.get |
Defender CSPM Defender kiszolgálókhoz |
cloudkms.cryptoKeyEncrypterDecrypter | A meglévő GCP KMS-szerepkörökre vonatkozó engedélyek a CMEK-sel titkosított lemezek vizsgálatának támogatására használhatók |
Defender CSPM Defender tárolókhoz |
mdc-containers-artifact-assess | Engedély a GAR és a GCR rendszerképének vizsgálatára. artifactregistry.reader storage.objectViewer |
Defender tárolókhoz | mdc-containers-k8s-operátor | A GKE-fürtökből származó adatok gyűjtésére vonatkozó engedélyek. Frissítse a GKE-fürtöket az IP-korlátozás támogatásához. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update, container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
Defender tárolókhoz | microsoft-defender-containers | A napló fogadó létrehozásához és kezeléséhez szükséges engedélyek, hogy a naplókat egy Cloud Pub/Altémakörbe irányíthassa. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
Defender tárolókhoz | ms-defender-containers-stream | Engedélyek, amelyek lehetővé teszik a naplózás számára, hogy naplókat küldjön a pub alwebhelyre: pubsub.subscriptions.consume pubsub.subscriptions.get |
Következő lépések
Ez a cikk azt ismertette, hogy Felhőhöz készült Defender hogyan használja az Azure szerepköralapú hozzáférés-vezérlést a felhasználók engedélyeinek hozzárendeléséhez, és hogyan azonosította az egyes szerepkörök engedélyezett műveleteit. Most, hogy megismerte az előfizetés biztonsági állapotának figyeléséhez, a biztonsági szabályzatok szerkesztéséhez és a javaslatok alkalmazásához szükséges szerepkör-hozzárendeléseket, megtudhatja, hogyan: