Come funzionano le autorizzazioni in Microsoft Defender per il cloud?
Microsoft Defender per il cloud usa Controllo degli accessi in base al ruolo di Azure, che fornisce ruoli predefiniti che possono essere assegnati a utenti, gruppi e servizi in Azure.
Defender per il Cloud consente di valutare la configurazione delle risorse per identificare problemi di sicurezza e vulnerabilità. In Defender per il cloud vengono visualizzate solo le informazioni correlate a una risorsa quando viene assegnato il ruolo proprietario, collaboratore o lettore per la sottoscrizione o il gruppo di risorse a cui appartiene una risorsa.
Per altre informazioni sui ruoli e sulle azioni consentite in Defender per il cloud, vedere Autorizzazioni in Microsoft Defender per il cloud.
Chi può modificare i criteri di sicurezza?
Per modificare i criteri di sicurezza, è necessario essere un amministratore della sicurezza o un proprietario o un collaboratore di tale sottoscrizione.
Per informazioni su come configurare criteri di sicurezza, vedere Impostazione dei criteri di sicurezza in Microsoft Defender per il cloud.
Quali autorizzazioni vengono usate dall'analisi senza agente?
I ruoli e le autorizzazioni usati da Defender per il cloud per eseguire l'analisi senza agente negli ambienti Azure, AWS e GCP sono elencati qui. In Azure queste autorizzazioni vengono aggiunte automaticamente alle sottoscrizioni quando si abilita l'analisi senza agente. In AWS queste autorizzazioni vengono aggiunte allo stack CloudFormation nel connettore AWS e in GCP le autorizzazioni vengono aggiunte allo script di onboarding nel connettore GCP.
Autorizzazioni di Azure: il ruolo predefinito "Operatore dello scanner di macchine virtuali" dispone di autorizzazioni di sola lettura per i dischi delle macchine virtuali necessari per il processo di snapshot. L'elenco dettagliato delle autorizzazioni è:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Quando la copertura per i dischi crittografati cmk è abilitata, vengono usate queste autorizzazioni aggiuntive:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Autorizzazioni AWS: il ruolo "VmScanner" viene assegnato allo scanner quando si abilita l'analisi senza agente. Questo ruolo dispone dell'autorizzazione minima impostata per creare e pulire gli snapshot (con ambito per tag) e per verificare lo stato corrente della macchina virtuale. Le autorizzazioni dettagliate sono:
Attributo valore SID VmScannerDeleteSnapshotAccess Azioni ec2:DeleteSnapshot Condizioni "StringEquals":{"ec2:ResourceTag/CreatedBy":
"Microsoft Defender per il cloud"}Risorse arn:aws:ec2:::snapshot/ Effetto Consenti Attributo valore SID VmScannerAccess Azioni ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotCondizioni None Risorse arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/Effetto Consenti Attributo valore SID VmScannerVerificationAccess Azioni ec2:DescribeSnapshots
ec2:DescribeInstanceStatusCondizioni None Risorse * Effetto Consenti Attributo valore SID VmScannerEncryptionKeyCreation Azioni kms:CreateKey Condizioni None Risorse * Effetto Consenti Attributo valore SID VmScannerEncryptionKeyManagement Azioni kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsCondizioni None Risorse arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyEffetto Consenti Attributo valore SID VmScannerEncryptionKeyUsage Azioni kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromCondizioni None Risorse arn:aws:kms::${AWS::AccountId}:key/ Effetto Consenti Autorizzazioni GCP: durante l'onboarding, viene creato un nuovo ruolo personalizzato con autorizzazioni minime necessarie per ottenere lo stato delle istanze e creare snapshot. Oltre a queste autorizzazioni a un ruolo del Servizio di gestione delle chiavi GCP esistente, vengono concesse per supportare l'analisi dei dischi crittografati con CMEK. I ruoli sono:
- roles/MDCAgentlessScanningRole concesso all'account del servizio di Defender per il cloud con autorizzazioni: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter concesso all'agente del servizio del motore di calcolo di Defender per il cloud
Quali sono le autorizzazioni minime dei criteri di firma di accesso condiviso necessarie per l'esportazione dei dati in Hub eventi di Azure?
Send è l'autorizzazione minima per i criteri di firma di accesso condiviso necessaria. Per istruzioni dettagliate, vedere Passaggio 1: Creare uno spazio dei nomi di Hub eventi e un hub eventi con autorizzazioni di invio in questo articolo.