Megosztás a következőn keresztül:


Felhasználói szerepkörök és engedélyek

Felhőhöz készült Microsoft Defender használ Azure szerepköralapú hozzáférés-vezérlés (Azure szerepköralapú hozzáférés-vezérlés) a beépített szerepkörök biztosításához. Ezeket a szerepköröket hozzárendelheti az Azure felhasználóihoz, csoportjaihoz és szolgáltatásaihoz, hogy a szerepkörben meghatározott hozzáférésnek megfelelően hozzáférést biztosítson a felhasználóknak az erőforrásokhoz.

Felhőhöz készült Defender értékeli az erőforrások konfigurációját, és azonosítja a biztonsági problémákat és a biztonsági réseket. A Felhőhöz készült Defender az erőforrással kapcsolatos információkat akkor tekintheti meg, ha az előfizetéshez vagy ahhoz az erőforráscsoporthoz van hozzárendelve valamelyik szerepkör, amelyhez az erőforrás tartozik: Tulajdonos, Közreműködő vagy Olvasó.

A beépített szerepkörök mellett a Felhőhöz készült Defender két szerepkör is van:

  • Biztonsági olvasó: A szerepkörhöz tartozó felhasználó írásvédett hozzáféréssel rendelkezik a Felhőhöz készült Defender. A felhasználó megtekintheti a javaslatokat, riasztásokat, biztonsági szabályzatokat és biztonsági állapotokat, de nem végezhet módosításokat.
  • Biztonsági rendszergazda: A szerepkörhöz tartozó felhasználók ugyanazzal a hozzáféréssel rendelkezik, mint a Biztonsági olvasó, és frissíthetik a biztonsági szabályzatot, és elutasíthatják a riasztásokat és a javaslatokat.

Javasoljuk, hogy a legkevésbé megengedő szerepkört rendelje hozzá a felhasználókhoz a feladataik elvégzéséhez.

Hozzárendelheti például az Olvasó szerepkört azokhoz a felhasználókhoz, akiknek csak egy erőforrás biztonsági állapotadatait kell megtekinteniük művelet nélkül. Az Olvasó szerepkörrel rendelkező felhasználók javaslatokat vagy szerkesztési szabályzatokat alkalmazhatnak.

Szerepkörök és engedélyezett műveletek

Az alábbi táblázat a szerepköröket és az engedélyezett műveleteket jeleníti meg Felhőhöz készült Defender.

Művelet Biztonsági olvasó /
Olvasó
Biztonsági rendszergazda Közreműködő / tulajdonosa Közreműködő Tulajdonos
(Erőforráscsoport szintje) (Előfizetési szint) (Előfizetési szint)
Kezdeményezések hozzáadása/hozzárendelése (beleértve a jogszabályi megfelelőségi szabványokat) - - -
Biztonsági szabályzat szerkesztése - - -
Microsoft Defender-csomagok engedélyezése/letiltása - -
Riasztások elvetése - -
Biztonsági javaslatok alkalmazása egy erőforráshoz
(Javítás használata)
- -
Riasztások és javaslatok megtekintése
Kivételt képező biztonsági javaslatok - - -
E-mail-értesítések konfigurálása -

Feljegyzés

Bár az említett három szerepkör elegendő a Defender-csomagok engedélyezéséhez és letiltásához, a tulajdonosi szerepkör szükséges a terv összes funkciójának engedélyezéséhez.

A monitorozási összetevők üzembe helyezéséhez szükséges szerepkör az üzembe helyezendő bővítménytől függ. További információ az összetevők monitorozásáról.

Ügynökök és bővítmények automatikus kiépítéséhez használt szerepkörök

Annak érdekében, hogy a biztonsági rendszergazda szerepkör automatikusan kiépíthesse az Felhőhöz készült Defender csomagokban használt ügynököket és bővítményeket, Felhőhöz készült Defender az Azure Policyhoz hasonlóan a szabályzatok szervizelését használja. A szervizelés használatához Felhőhöz készült Defender létre kell hoznia szolgáltatásneveket, más néven felügyelt identitásokat, amelyek szerepköröket rendelnek hozzá az előfizetés szintjén. A Defender for Containers csomag szolgáltatásnevei például a következők:

Szolgáltatásnév Szerepkörök
Az Azure Kubernetes Service (AKS) biztonsági profilját kiépítő Defender for Containers • Kubernetes-bővítmény közreműködője
•Közreműködő
• Azure Kubernetes Service-közreműködő
• Log Analytics-közreműködő
Defender for Containers– Arc-kompatibilis Kubernetes kiépítése • Azure Kubernetes Service-közreműködő
• Kubernetes-bővítmény közreműködője
•Közreműködő
• Log Analytics-közreműködő
Defender for Containers– Azure Policy kiépítése a Kuberneteshez • Kubernetes-bővítmény közreműködője
•Közreműködő
• Azure Kubernetes Service-közreműködő
A Defender for Containers kiépítési szabályzatbővítménye az Arc-kompatibilis Kuberneteshez • Azure Kubernetes Service-közreműködő
• Kubernetes-bővítmény közreműködője
•Közreműködő

Engedélyek az AWS-en

Amazon Web Services-összekötő (AWS) előkészítésekor Felhőhöz készült Defender szerepköröket hoz létre, és engedélyeket rendel hozzá az AWS-fiókjához. Az alábbi táblázat az AWS-fiók egyes csomagjai által hozzárendelt szerepköröket és engedélyeket mutatja be.

Felhőhöz készült Defender terv Szerepkör létrehozva AWS-fiókhoz rendelt engedély
Defender Cloud Security Posture Management (CSPM) CspmMonitorAws Az AWS-erőforrások engedélyeinek felderítéséhez olvassa el az összes erőforrást, kivéve:
konszolidálás:
freetier:

számlázás:
Kifizetések:

számlázás:
adó:

korcs:*
Defender CSPM

Defender kiszolgálókhoz
DefenderForCloud-AgentlessScanner Lemezpillanatképek létrehozása és törlése (hatóköre: "CreatedBy": "Felhőhöz készült Microsoft Defender" Engedélyek:
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
EncryptionKeyCreation kms:CreateKey
kms:ListKeys
EncryptionKeyManagement kms:TagResource engedélyei
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Defender CSPM

Defender for Storage
SensitiveDataDiscovery Az AWS-fiókban található S3-gyűjtők felderítésére vonatkozó engedélyek, a Felhőhöz készült Defender szkenner engedélye az S3-gyűjtőkben lévő adatok elérésére.
S3 írásvédett; KMS visszafejtése kms:Visszafejtés
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
A Ciem Discovery engedélyei
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender kiszolgálókhoz DefenderForCloud-DefenderForServers A JIT Network Access konfigurálásához szükséges engedélyek:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender tárolókhoz DefenderForCloud-Containers-K8s EkS-fürtök listázására és EKS-fürtökből származó adatok gyűjtésére vonatkozó engedélyek.
eks:UpdateClusterConfig
eks:DescribeCluster
Defender tárolókhoz DefenderForCloud-DataCollection A Felhőhöz készült Defender által létrehozott CloudWatch-naplócsoportra vonatkozó engedélyek
"logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups autp logs:PutRetentionPolicy

A Felhőhöz készült Defender által létrehozott SQS-üzenetsor használatára vonatkozó engedélyek
sqs:ReceiveMessage
sqs:DeleteMessage
Defender tárolókhoz DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Engedélyek a Felhőhöz készült Defender által létrehozott Kinesis Data Firehose kézbesítési adatfolyam eléréséhez
firehose:*
Defender tárolókhoz DefenderForCloud-Containers-K8s-kinesis-to-s3 A Felhőhöz készült Defender által létrehozott S3-gyűjtő elérésére vonatkozó engedélyek
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender tárolókhoz

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole Engedélyek az EKS-fürtökből származó adatok gyűjtéséhez. EKS-fürtök frissítése az IP-korlátozás támogatásához és az EKS-fürtök iamidentitymappingjének létrehozásához
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Defender tárolókhoz

Defender CSPM
MDCContainersImageAssessmentRole Az ECR és az ECR nyilvános rendszerképeinek vizsgálatára vonatkozó engedélyek.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender kiszolgálókhoz DefenderForCloud-ArcAutoProvisioning Az Azure Arc SSM-et használó összes EC2-példányra való telepítéséhez szükséges engedélyek
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Defender CSPM DefenderForCloud-DataSecurityPostureDB RdS-példányok felderítésének engedélyezése az AWS-fiókban, RDS-példány pillanatképének létrehozása,
– Az összes RDS-beli DBs/fürt listázása
– Az összes db/fürt pillanatképének listázása
– Az összes db/fürt pillanatképének másolása
– Adatbázis/fürt pillanatképének törlése/frissítése defenderfordatabases előtaggal
- Az összes KMS-kulcs listázása
– Az összes KMS-kulcs használata csak a forrásfiókon lévő RDS-hez
– KMS-kulcsok listázása DefenderForDatabases címkeelőtaggal
– Alias létrehozása KMS-kulcsokhoz

A felfedezéshez szükséges engedélyek, RDS-példányok
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

GCP-engedélyek

A Google Felhőplatformok (GCP) összekötőjének előkészítésekor Felhőhöz készült Defender szerepköröket hoz létre, és engedélyeket rendel hozzá a GCP-projekthez. Az alábbi táblázat a GCP-projekt egyes csomagja által hozzárendelt szerepköröket és engedélyeket mutatja be.

Felhőhöz készült Defender terv Szerepkör létrehozva AWS-fiókhoz rendelt engedély
Defender CSPM MDCCspmCustomRole Ezek az engedélyek lehetővé teszik a CSPM-szerepkör számára a szervezeten belüli erőforrások felderítését és vizsgálatát:

Lehetővé teszi a szerepkör számára, hogy megtekintse és megjelenítse a szervezeteket, projekteket és mappákat:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Lehetővé teszi az új projektek automatikus létrehozásának folyamatát és a törölt projektek eltávolítását:
resourcemanager.projects.get
resourcemanager.projects.list

Lehetővé teszi, hogy a szerepkör engedélyezze az erőforrások felderítéséhez használt Google Cloud-szolgáltatásokat:
serviceusage.services.enable

IAM-szerepkörök létrehozására és listázására szolgál:
iam.roles.create
iam.roles.list

Lehetővé teszi, hogy a szerepkör szolgáltatásfiókként működjön, és engedélyt kapjon az erőforrásokra:
iam.serviceAccounts.actAs

Lehetővé teszi a szerepkör számára a projekt részleteinek megtekintését és a gyakori példány metaadatainak beállítását:
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender kiszolgálókhoz microsoft-defender-for-servers
azure-arc-for-servers-onboard
Írásvédett hozzáférés a számítási motor lekéréséhez és listázásához
resources compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender for Database defender-for-databases-arc-ap Engedélyek a Defenderhez az adatbázisok ARC automatikus kiépítéséhez
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Defender for Storage
data-security-posture-storage A GCP-tárológyűjtők felderítésére és a GCP-tárolókban lévő adatok elérésére vonatkozó Felhőhöz készült Defender szkenner engedélye
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Defender for Storage
data-security-posture-storage A GCP-tárológyűjtők felderítésére és a GCP-tárolókban lévő adatok elérésére vonatkozó Felhőhöz készült Defender szkenner engedélye
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Engedélyek a szervezeti erőforrás részleteinek lekéréséhez.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Defender kiszolgálókhoz
MDCAgentlessScanningRole Ügynök nélküli lemezvizsgálat engedélyei:
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Defender kiszolgálókhoz
cloudkms.cryptoKeyEncrypterDecrypter A meglévő GCP KMS-szerepkörökre vonatkozó engedélyek a CMEK-sel titkosított lemezek vizsgálatának támogatására használhatók
Defender CSPM

Defender tárolókhoz
mdc-containers-artifact-assess Engedély a GAR és a GCR rendszerképének vizsgálatára.
artifactregistry.reader
storage.objectViewer
Defender tárolókhoz mdc-containers-k8s-operátor A GKE-fürtökből származó adatok gyűjtésére vonatkozó engedélyek. Frissítse a GKE-fürtöket az IP-korlátozás támogatásához.

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update,
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender tárolókhoz microsoft-defender-containers A napló fogadó létrehozásához és kezeléséhez szükséges engedélyek, hogy a naplókat egy Cloud Pub/Altémakörbe irányíthassa.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender tárolókhoz ms-defender-containers-stream Engedélyek, amelyek lehetővé teszik a naplózás számára, hogy naplókat küldjön a pub alwebhelyre:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Következő lépések

Ez a cikk azt ismertette, hogy Felhőhöz készült Defender hogyan használja az Azure szerepköralapú hozzáférés-vezérlést a felhasználók engedélyeinek hozzárendeléséhez, és hogyan azonosította az egyes szerepkörök engedélyezett műveleteit. Most, hogy megismerte az előfizetés biztonsági állapotának figyeléséhez, a biztonsági szabályzatok szerkesztéséhez és a javaslatok alkalmazásához szükséges szerepkör-hozzárendeléseket, megtudhatja, hogyan: