Q: Apa izin kebijakan SAS minimum yang diperlukan saat mengekspor data ke Azure Event Hubs?

Kirim adalah izin kebijakan SAS minimum yang diperlukan. Untuk instruksi langkah demi langkah, lihat Langkah 1: Membuat namespace layanan Azure Event Hubs dan pusat aktivitas dengan izin kirim di artikel ini.

Question 1

Bagaimana cara kerja izin di Microsoft Defender for Cloud?

Accepted Answer

Microsoft Defender for Cloud menggunakan kontrol akses berbasis peran Azure (Azure RBAC), yang menyediakan peran bawaan yang dapat ditetapkan kepada pengguna, grup, dan layanan di Azure.

Defender for Cloud menilai konfigurasi sumber daya Anda untuk mengidentifikasi masalah keamanan dan kerentanan. Di Defender untuk Cloud, Anda hanya melihat informasi yang terkait dengan sumber daya saat Anda diberi peran Pemilik, Kontributor, atau Pembaca untuk grup langganan atau sumber daya tempat sumber daya berada.

Lihat Izin di Microsoft Defender for Cloud untuk mempelajari selengkapnya tentang peran dan tindakan yang diizinkan di Defender for Cloud.

Question 2

Siapa yang dapat mengubah kebijakan keamanan?

Accepted Answer

Untuk mengubah kebijakan keamanan, Anda harus menjadi Admin Keamanan atau Pemilik atau Kontributor langganan tersebut.

Untuk mempelajari cara mengonfigurasi kebijakan keamanan, lihat Mengatur kebijakan keamanan di Microsoft Defender for Cloud.

Question 3

Izin mana yang digunakan oleh pemindaian tanpa agen?

Accepted Answer

Peran dan izin yang digunakan oleh Defender untuk Cloud untuk melakukan pemindaian tanpa agen di lingkungan Azure, AWS, dan GCP Anda tercantum di sini. Di Azure, izin ini secara otomatis ditambahkan ke langganan Anda saat Anda mengaktifkan pemindaian tanpa agen. Di AWS, izin ini ditambahkan ke tumpukan CloudFormation di konektor AWS Anda dan di izin GCP ditambahkan ke skrip onboarding di konektor GCP Anda.

Izin Azure - Peran bawaan "operator pemindai VM" memiliki izin baca-saja untuk disk VM yang diperlukan untuk proses rekam jepret. Daftar izin terperinci adalah:
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/diskEncryptionSets/read
- Microsoft.Compute/virtualMachines/instanceView/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/instanceView/read
- Microsoft.Compute/virtualMachineScaleSets/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Ketika cakupan untuk disk terenkripsi CMK diaktifkan, izin tambahan ini digunakan:
- Microsoft.KeyVault/vaults/keys/read
- Microsoft.KeyVault/vaults/keys/wrap/action
- Microsoft.KeyVault/vaults/keys/unwrap/action

Izin AWS - Peran "VmScanner" ditetapkan ke pemindai saat Anda mengaktifkan pemindaian tanpa agen. Peran ini memiliki izin minimal yang ditetapkan untuk membuat dan membersihkan rekam jepret (dicakup oleh tag) dan untuk memverifikasi status VM saat ini. Izin terperinci adalah:

Atribut	Nilai
SID	VmScannerDeleteSnapshotAccess
Tindakan	ec2:DeleteSnapshot
Kondisi	"StringEquals":{"ec2:ResourceTag/CreatedBy": "Microsoft Defender untuk Cloud"}
Sumber	arn:aws:ec2:::snapshot/
Efek	Izinkan

Atribut	Nilai
SID	VmScannerAccess
Tindakan	ec2:ModifikasiSnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot
Kondisi	Tidak
Sumber	arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/
Efek	Izinkan

Atribut	Nilai
SID	VmScannerVerificationAccess
Tindakan	ec2:DescribeSnapshots ec2:DescribeInstanceStatus
Kondisi	Tidak
Sumber	*
Efek	Izinkan

Atribut	Nilai
SID	VmScannerEncryptionKeyCreation
Tindakan	kms:CreateKey
Kondisi	Tidak
Sumber	*
Efek	Izinkan

Atribut	Nilai
SID	VmScannerEncryptionKeyManagement
Tindakan	kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags
Kondisi	Tidak
Sumber	arn:aws:kms::${AWS::AccountId}:key/ arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
Efek	Izinkan

Atribut	Nilai
SID	VmScannerEncryptionKeyUsage
Tindakan	kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom
Kondisi	Tidak
Sumber	arn:aws:kms::${AWS::AccountId}:key/
Efek	Izinkan

Izin GCP: selama orientasi - peran kustom baru dibuat dengan izin minimal yang diperlukan untuk mendapatkan status instans dan membuat rekam jepret. Selain izin tersebut ke peran GCP KMS yang ada diberikan untuk mendukung pemindaian disk yang dienkripsi dengan CMEK. Perannya adalah:
- roles/MDCAgentlessScanningRole diberikan ke akun layanan Defender untuk Cloud dengan izin: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter diberikan kepada agen layanan mesin komputasi Defender untuk Cloud

Question 4

Apa izin kebijakan SAS minimum yang diperlukan saat mengekspor data ke Azure Event Hubs?

Accepted Answer

Kirim adalah izin kebijakan SAS minimum yang diperlukan. Untuk instruksi langkah demi langkah, lihat Langkah 1: Membuat namespace layanan Azure Event Hubs dan pusat aktivitas dengan izin kirim di artikel ini.

Pertanyaan umum tentang izin di Defender untuk Cloud

Bagaimana cara kerja izin di Microsoft Defender for Cloud?

Siapa yang dapat mengubah kebijakan keamanan?

Izin mana yang digunakan oleh pemindaian tanpa agen?

Apa izin kebijakan SAS minimum yang diperlukan saat mengekspor data ke Azure Event Hubs?

Saran dan Komentar

Sumber Daya Tambahan: