편집

클라우드용 Defender의 권한에 대한 일반적인 질문

  • FAQ

클라우드용 Microsoft Defender에서 권한은 어떻게 작동하나요?

클라우드용 Microsoft Defender는 Azure에서 사용자, 그룹 및 서비스에 할당할 수 있는 기본 제공 역할을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용합니다.

Defender for Cloud는 리소스 구성을 평가하여 보안 문제와 취약성을 식별합니다. 클라우드용 Defender에서는 리소스가 속한 구독 또는 리소스 그룹에 대해 소유자, 기여자 또는 읽기 권한자 역할이 할당된 경우에만 리소스와 관련된 정보를 볼 수 있습니다.

클라우드용 Defender의 역할 및 허용되는 작업에 대해 자세히 알아보려면 클라우드용 Microsoft Defender의 권한을 참조하세요.

보안 정책을 누가 수정할 수 있나요?

보안 정책을 수정하려면 해당 구독의 보안 관리자이거나 소유자 또는 기여자여야 합니다.

보안 정책을 구성하는 방법을 알아보려면 클라우드용 Microsoft Defender에서 보안 정책 설정을 참조하세요.

에이전트 없는 검사에 사용되는 권한은 무엇입니까?

Azure, AWS 및 GCP 환경에서 에이전트 없는 검사를 수행하기 위해 클라우드용 Defender에서 사용하는 역할 및 권한이 여기에 나열되어 있습니다. Azure에서 에이전트 없는 검사를 사용하도록 설정하면 이러한 권한이 구독에 자동으로 추가됩니다. AWS에서는 이러한 권한이 AWS 커넥터의 CloudFormation 스택에 추가되고 GCP 권한은 GCP 커넥터의 온보딩 스크립트에 추가됩니다.

  • Azure 권한 - 기본 제공 역할 "VM 스캐너 연산자"에는 스냅샷 프로세스에 필요한 VM 디스크에 대한 읽기 전용 권한이 있습니다. 자세한 사용 권한 목록은 다음과 같습니다.

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    CMK 암호화 디스크에 대한 검사를 사용하도록 설정하면 다음과 같은 추가 권한이 사용됩니다.

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS 권한 - 에이전트 없는 검사를 사용하도록 설정하면 "VmScanner" 역할이 스캐너에 할당됩니다. 이 역할에는 스냅샷을 만들고 정리하고(태그로 범위 지정) VM의 현재 상태를 확인하는 최소 권한 집합이 있습니다. 자세한 권한은 다음과 같습니다.

    attribute
    SID VmScannerDeleteSnapshotAccess
    actions ec2:DeleteSnapshot
    조건 "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "클라우드용 Microsoft Defender"}
    리소스 arn:aws:ec2:::snapshot/
    효과 허용
    attribute
    SID VmScannerAccess
    actions ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    조건 없음
    리소스 arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    효과 허용
    attribute
    SID VmScannerVerificationAccess
    actions ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    조건 없음
    리소스 *
    효과 허용
    attribute
    SID VmScannerEncryptionKeyCreation
    actions kms:CreateKey
    조건 없음
    리소스 *
    효과 허용
    attribute
    SID VmScannerEncryptionKeyManagement
    actions kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    조건 없음
    리소스 arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    효과 허용
    attribute
    SID VmScannerEncryptionKeyUsage
    actions kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    조건 없음
    리소스 arn:aws:kms::${AWS::AccountId}:key/
    효과 허용

  • GCP 권한: 온보딩 중에 인스턴스 상태를 가져오고 스냅샷을 만드는 데 필요한 최소한의 권한으로 새로운 사용자 지정 역할이 만들어집니다. 기존 GCP KMS 역할에 대한 권한은 CMEK로 암호화된 디스크 검색을 지원하기 위해 부여됩니다. 역할은 다음과 같습니다.

    • roles/MDCAgentlessScanningRole은 Compute.disks.createSnapshot, Compute.instances.get 권한이 있는 클라우드용 Defender의 서비스 계정에 부여됩니다.
    • roles/cloudkms.cryptoKeyEncrypterDecrypter는 클라우드용 Defender의 컴퓨팅 엔진 서비스 에이전트에 부여됩니다.

데이터를 Azure Event Hubs로 내보낼 때 필요한 최소 SAS 정책 권한은 무엇인가요?

보내기는 필요한 최소 SAS 정책 권한입니다. 단계별 지침은 이 문서1단계. 보내기 권한이 있는 Event Hubs 네임스페이스 및 Event Hubs 만들기를 참조하세요.