Bagaimana cara kerja izin di Microsoft Defender for Cloud?
Microsoft Defender for Cloud menggunakan kontrol akses berbasis peran Azure (Azure RBAC), yang menyediakan peran bawaan yang dapat ditetapkan kepada pengguna, grup, dan layanan di Azure.
Defender for Cloud menilai konfigurasi sumber daya Anda untuk mengidentifikasi masalah keamanan dan kerentanan. Di Defender untuk Cloud, Anda hanya melihat informasi yang terkait dengan sumber daya saat Anda diberi peran Pemilik, Kontributor, atau Pembaca untuk grup langganan atau sumber daya tempat sumber daya berada.
Lihat Izin di Microsoft Defender for Cloud untuk mempelajari selengkapnya tentang peran dan tindakan yang diizinkan di Defender for Cloud.
Siapa yang dapat mengubah kebijakan keamanan?
Untuk mengubah kebijakan keamanan, Anda harus menjadi Admin Keamanan atau Pemilik atau Kontributor langganan tersebut.
Untuk mempelajari cara mengonfigurasi kebijakan keamanan, lihat Mengatur kebijakan keamanan di Microsoft Defender for Cloud.
Izin mana yang digunakan oleh pemindaian tanpa agen?
Peran dan izin yang digunakan oleh Defender untuk Cloud untuk melakukan pemindaian tanpa agen di lingkungan Azure, AWS, dan GCP Anda tercantum di sini. Di Azure, izin ini secara otomatis ditambahkan ke langganan Anda saat Anda mengaktifkan pemindaian tanpa agen. Di AWS, izin ini ditambahkan ke tumpukan CloudFormation di konektor AWS Anda dan di izin GCP ditambahkan ke skrip onboarding di konektor GCP Anda.
Izin Azure - Peran bawaan "operator pemindai VM" memiliki izin baca-saja untuk disk VM yang diperlukan untuk proses rekam jepret. Daftar izin terperinci adalah:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Ketika cakupan untuk disk terenkripsi CMK diaktifkan, izin tambahan ini digunakan:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Izin AWS - Peran "VmScanner" ditetapkan ke pemindai saat Anda mengaktifkan pemindaian tanpa agen. Peran ini memiliki izin minimal yang ditetapkan untuk membuat dan membersihkan rekam jepret (dicakup oleh tag) dan untuk memverifikasi status VM saat ini. Izin terperinci adalah:
Atribut Nilai SID VmScannerDeleteSnapshotAccess Tindakan ec2:DeleteSnapshot Kondisi "StringEquals":{"ec2:ResourceTag/CreatedBy":
"Microsoft Defender untuk Cloud"}Sumber arn:aws:ec2:::snapshot/ Efek Izinkan Atribut Nilai SID VmScannerAccess Tindakan ec2:ModifikasiSnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotKondisi Tidak Sumber arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/Efek Izinkan Atribut Nilai SID VmScannerVerificationAccess Tindakan ec2:DescribeSnapshots
ec2:DescribeInstanceStatusKondisi Tidak Sumber * Efek Izinkan Atribut Nilai SID VmScannerEncryptionKeyCreation Tindakan kms:CreateKey Kondisi Tidak Sumber * Efek Izinkan Atribut Nilai SID VmScannerEncryptionKeyManagement Tindakan kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsKondisi Tidak Sumber arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyEfek Izinkan Atribut Nilai SID VmScannerEncryptionKeyUsage Tindakan kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromKondisi Tidak Sumber arn:aws:kms::${AWS::AccountId}:key/ Efek Izinkan Izin GCP: selama orientasi - peran kustom baru dibuat dengan izin minimal yang diperlukan untuk mendapatkan status instans dan membuat rekam jepret. Selain izin tersebut ke peran GCP KMS yang ada diberikan untuk mendukung pemindaian disk yang dienkripsi dengan CMEK. Perannya adalah:
- roles/MDCAgentlessScanningRole diberikan ke akun layanan Defender untuk Cloud dengan izin: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter diberikan kepada agen layanan mesin komputasi Defender untuk Cloud
Apa izin kebijakan SAS minimum yang diperlukan saat mengekspor data ke Azure Event Hubs?
Kirim adalah izin kebijakan SAS minimum yang diperlukan. Untuk instruksi langkah demi langkah, lihat Langkah 1: Membuat namespace layanan Azure Event Hubs dan pusat aktivitas dengan izin kirim di artikel ini.