編集

Defender for Cloud のアクセス許可に関する一般的な質問

  • よく寄せられる質問

Microsoft Defender for Cloud では、アクセス許可はどのように機能しますか。

Defender for Cloud では、Azure ロールベースのアクセス制御 (Azure RBAC) が使用されており、これによって提供される組み込みのロールは、Azure のユーザー、グループ、およびサービスに割り当てることができます。

Defender for Cloud は、リソースの構成を評価して、セキュリティの問題と脆弱性を特定します。 Defender for Cloud では、リソースが属するサブスクリプションまたはリソース グループに対する所有者、共同作業者、または閲覧者のロールが割り当てられている場合にのみ、リソースに関連した情報が表示されます。

クラウドの Defender でのロールと許可されたアクションの詳細については、「 Microsoft defender For cloud のアクセス許可 」を参照してください。

セキュリティ ポリシーを変更できるのは誰ですか。

セキュリティ ポリシーを変更するには、セキュリティ管理者であるか、そのサブスクリプションの所有者または共同作成者である必要があります。

セキュリティポリシーを構成する方法については、「 Microsoft Defender For Cloud でのセキュリティポリシーの設定」を参照してください。

どのアクセス許可がエージェントレス スキャンで使用されますか?

Azure、AWS、および GCP 環境でエージェントレス スキャンを実行するために Defender for Cloud で使用されるロールとアクセス許可は、こちらに一覧表示されています。 Azure では、エージェントレス スキャンを有効にしたときに、これらのアクセス許可がサブスクリプションに自動的に追加されます。 AWS では、これらのアクセス許可は AWS コネクタの CloudFormation スタックに追加され、GCP では、アクセス許可は GCP コネクタのオンボード スクリプトに追加されます。

  • Azure のアクセス許可 - 組み込みロール "VM スキャナー オペレーター" には、スナップショット プロセスに必要な VM ディスクの読み取り専用アクセス許可があります。 アクセス許可の詳細な一覧は次のとおりです。

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    CMK で暗号化されたディスクが対象として有効になっている場合は、次の追加のアクセス許可が使用されます。

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS のアクセス許可 - エージェントレス スキャンを有効にしたときに、ロール "VmScanner" がスキャナーに割り当てられます。 このロールには、スナップショット (タグによってスコープ指定) を作成およびクリーンアップし、VM の現在の状態を確認するための最小限のアクセス許可が設定されています。 詳細なアクセス許可は次のとおりです。

    属性
    SID VmScannerDeleteSnapshotAccess
    アクション ec2:DeleteSnapshot
    条件 "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "Microsoft Defender for Cloud"}
    リソース arn:aws:ec2:::snapshot/
    効果 Allow
    属性
    SID VmScannerAccess
    アクション ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    条件 なし
    リソース arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    効果 Allow
    属性
    SID VmScannerVerificationAccess
    アクション ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    条件 なし
    リソース *
    効果 Allow
    属性
    SID VmScannerEncryptionKeyCreation
    アクション kms:CreateKey
    条件 なし
    リソース *
    効果 Allow
    属性
    SID VmScannerEncryptionKeyManagement
    アクション kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    条件 なし
    リソース arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    効果 Allow
    属性
    SID VmScannerEncryptionKeyUsage
    アクション kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    条件 なし
    リソース arn:aws:kms::${AWS::AccountId}:key/
    効果 Allow

  • GCP アクセス許可: オンボード中 - インスタンスの状態を取得してスナップショットを作成するために必要な最小限のアクセス許可で新しいカスタム ロールが作成されます。 さらに、CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールに対するアクセス許可が付与されます。 これらのロールを次に示します。

    • Defender for Cloud のサービス アカウントに次のアクセス許可と共に roles/MDCAgentlessScanningRole が付与されます: compute.disks.createSnapshot、compute.instances.get
    • Defender for Cloud のコンピューティング エンジン サービス エージェントに roles/cloudkms.cryptoKeyEncrypterDecrypter が付与されます

データを Azure Event Hubs にエクスポートするときに必要な SAS ポリシーの最小限のアクセス許可は何ですか?

必要な SAS ポリシーの最小限のアクセス許可は、送信です。 詳細な手順については、こちらの記事の「手順 1: Event Hubs 名前空間と、送信アクセス許可を持つイベント ハブを作成する」を参照してください。