Microsoft Defender for Cloud では、アクセス許可はどのように機能しますか。
Microsoft Defender for Cloud では、Azure ロールベースのアクセス制御 (Azure RBAC) が使用されており、これによって提供される組み込みのロールは、Azure のユーザー、グループ、およびサービスに割り当てることができます。
Defender for Cloud は、リソースの構成を評価して、セキュリティの問題と脆弱性を特定します。 Defender for Cloud では、リソースが属するサブスクリプションまたはリソース グループに対する所有者、共同作業者、または閲覧者のロールが割り当てられている場合にのみ、リソースに関連した情報が表示されます。
クラウドの Defender でのロールと許可されたアクションの詳細については、「 Microsoft Defender for cloud のアクセス許可 」を参照してください。
セキュリティ ポリシーを変更できるのは誰ですか。
セキュリティ ポリシーを変更するには、セキュリティ管理者であるか、そのサブスクリプションの所有者または共同作成者である必要があります。
セキュリティポリシーを構成する方法については、「 Microsoft Defender For Cloud でのセキュリティポリシーの設定」を参照してください。
どのアクセス許可がエージェントレス スキャンで使用されますか?
Azure、AWS、および GCP 環境でエージェントレス スキャンを実行するために Defender for Cloud で使用されるロールとアクセス許可は、こちらに一覧表示されています。 Azure では、エージェントレス スキャンを有効にしたときに、これらのアクセス許可がサブスクリプションに自動的に追加されます。 AWS では、これらのアクセス許可は AWS コネクタの CloudFormation スタックに追加され、GCP では、アクセス許可は GCP コネクタのオンボード スクリプトに追加されます。
Azure のアクセス許可 - 組み込みロール "VM スキャナー オペレーター" には、スナップショット プロセスに必要な VM ディスクの読み取り専用アクセス許可があります。 アクセス許可の詳細な一覧は次のとおりです。
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
CMK で暗号化されたディスクが対象として有効になっている場合は、次の追加のアクセス許可が使用されます。
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
AWS のアクセス許可 - エージェントレス スキャンを有効にしたときに、ロール "VmScanner" がスキャナーに割り当てられます。 このロールには、スナップショット (タグによってスコープ指定) を作成およびクリーンアップし、VM の現在の状態を確認するための最小限のアクセス許可が設定されています。 詳細なアクセス許可は次のとおりです。
属性 値 SID VmScannerDeleteSnapshotAccess アクション ec2:DeleteSnapshot 条件 "StringEquals":{"ec2:ResourceTag/CreatedBy”:
"Microsoft Defender for Cloud"}リソース arn:aws:ec2:::snapshot/ 効果 Allow 属性 値 SID VmScannerAccess アクション ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshot条件 なし リソース arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/効果 Allow 属性 値 SID VmScannerVerificationAccess アクション ec2:DescribeSnapshots
ec2:DescribeInstanceStatus条件 なし リソース * 効果 Allow 属性 値 SID VmScannerEncryptionKeyCreation アクション kms:CreateKey 条件 なし リソース * 効果 Allow 属性 値 SID VmScannerEncryptionKeyManagement アクション kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTags条件 なし リソース arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey効果 Allow 属性 値 SID VmScannerEncryptionKeyUsage アクション kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom条件 なし リソース arn:aws:kms::${AWS::AccountId}:key/ 効果 Allow GCP アクセス許可: オンボード中 - インスタンスの状態を取得してスナップショットを作成するために必要な最小限のアクセス許可で新しいカスタム ロールが作成されます。 さらに、CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールに対するアクセス許可が付与されます。 これらのロールを次に示します。
- Defender for Cloud のサービス アカウントに次のアクセス許可と共に roles/MDCAgentlessScanningRole が付与されます: compute.disks.createSnapshot、compute.instances.get
- Defender for Cloud のコンピューティング エンジン サービス エージェントに roles/cloudkms.cryptoKeyEncrypterDecrypter が付与されます
データを Azure Event Hubs にエクスポートするときに必要な SAS ポリシーの最小限のアクセス許可は何ですか?
必要な SAS ポリシーの最小限のアクセス許可は、送信です。 詳細な手順については、こちらの記事の「手順 1: Event Hubs 名前空間と、送信アクセス許可を持つイベント ハブを作成する」を参照してください。