Rollen en machtigingen instellen
Microsoft Defender voor Cloud gebruikt Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor ingebouwde rollen. U kunt deze rollen toewijzen aan gebruikers, groepen en services in Azure om gebruikers toegang te geven tot resources op basis van de toegang die is gedefinieerd in de rol.
Defender voor Cloud evalueert de configuratie van uw resources om beveiligingsproblemen en beveiligingsproblemen te identificeren. In Defender voor Cloud ziet u alleen informatie met betrekking tot een resource wanneer u een van deze rollen voor het abonnement of voor de resourcegroep krijgt waarin de resource zich bevindt: Eigenaar, Inzender of Lezer.
Naast de ingebouwde rollen zijn er twee rollen die specifiek zijn voor Defender voor Cloud:
- Beveiligingslezer: een gebruiker die deel uitmaakt van deze rol heeft alleen-lezentoegang tot Defender voor Cloud. De gebruiker kan aanbevelingen, waarschuwingen, een beveiligingsbeleid en beveiligingsstatussen bekijken, maar geen wijzigingen aanbrengen.
- Beveiligingsbeheerder: een gebruiker die deel uitmaakt van deze rol heeft dezelfde toegang als de beveiligingslezer en kan ook het beveiligingsbeleid bijwerken en waarschuwingen en aanbevelingen negeren.
We raden u aan de rol toe te wijzen die gebruikers minimaal nodig hebben om hun taken uit te voeren. Wijs bijvoorbeeld gebruikers die alleen informatie hoeven te bekijken over de beveiligingsstatus van resources, maar geen maatregelen hoeven te nemen zoals het toepassen van aanbevelingen of het bewerken van beleid, de rol Lezer toe.
Rollen en toegestane acties
In de volgende tabel worden rollen en toegestane acties in Defender voor Cloud weergegeven.
| Actie | Beveiligingslezer / Lezer |
Beveiligingsbeheerder | Eigenaar van inzender / | Inzender | Eigenaar |
|---|---|---|---|---|---|
| (Niveau van resourcegroep) | (Abonnementsniveau) | (Abonnementsniveau) | |||
| Initiatieven toevoegen/toewijzen (inclusief standaarden voor naleving van regelgeving) | - | ✔ | - | - | ✔ |
| Beveiligingsbeleid bewerken | - | ✔ | - | - | ✔ |
| Microsoft Defender-abonnementen in- of uitschakelen | - | ✔ | - | ✔ | ✔ |
| Waarschuwingen verwijderen | - | ✔ | - | ✔ | ✔ |
| Beveiligingsaanaanveling toepassen voor een resource (en fix gebruiken) |
- | - | ✔ | ✔ | ✔ |
| Meldingen en aanbevelingen weergeven | ✔ | ✔ | ✔ | ✔ | ✔ |
| Beveiligingsaanaanveling uitsluiten | - | ✔ | - | - | ✔ |
| E-mailmeldingen configureren | - | ✔ | ✔ | ✔ | ✔ |
Notitie
Hoewel de drie genoemde rollen voldoende zijn voor het in- en uitschakelen van Defender-abonnementen, is de rol Eigenaar vereist om alle mogelijkheden van een plan in te schakelen.
De specifieke rol die is vereist voor het implementeren van bewakingsonderdelen, is afhankelijk van de extensie die u implementeert. Meer informatie over bewakingsonderdelen.
Rollen die worden gebruikt om agents en extensies automatisch in te richten
Om de rol Beveiligingsbeheerder toe te staan om agents en extensies die worden gebruikt in Defender voor Cloud plannen automatisch in te richten, gebruikt Defender voor Cloud beleidherstel op een vergelijkbare manier als Azure Policy. Als u herstel wilt gebruiken, moet Defender voor Cloud service-principals maken, ook wel beheerde identiteiten genoemd die rollen toewijzen op abonnementsniveau. De service-principals voor het Defender for Containers-plan zijn bijvoorbeeld:
| Service-principal | Rollen |
|---|---|
| AKS-beveiligingsprofiel inrichten met Defender for Containers | • Inzender voor Kubernetes-extensies •Donateur • Inzender voor Azure Kubernetes Service • Log Analytics-inzender |
| Defender for Containers inrichten met Kubernetes met Arc | • Inzender voor Azure Kubernetes Service • Inzender voor Kubernetes-extensies •Donateur • Log Analytics-inzender |
| Defender for Containers inrichten van Azure Policy voor Kubernetes | • Inzender voor Kubernetes-extensies •Donateur • Inzender voor Azure Kubernetes Service |
| Defender for Containers-inrichtingsbeleidsextensie voor Kubernetes met Arc | • Inzender voor Azure Kubernetes Service • Inzender voor Kubernetes-extensies •Donateur |
Machtigingen voor AWS
Wanneer u een Amazon Web Services-connector (AWS) onboardt, maakt Defender voor Cloud rollen en wijst u machtigingen toe voor uw AWS-account. In de volgende tabel ziet u de rollen en machtigingen die zijn toegewezen door elk plan in uw AWS-account.
| Defender voor Cloud-abonnement | Rol gemaakt | Machtiging toegewezen aan AWS-account |
|---|---|---|
| Defender CSPM | CspmMonitorAws | Als u machtigingen voor AWS-resources wilt detecteren, leest u alle resources, behalve: "geconsolideerdebilling:" "freetier:" "facturering:" "betalingen:" "facturering:" "belasting:" "cur:*" |
| Defender CSPM Defender voor Servers |
DefenderForCloud-AgentlessScanner | Schijfmomentopnamen maken en opschonen (scoped by tag) CreatedBy: "Microsoft Defender voor Cloud" Machtigingen: "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Machtiging voor EncryptionKeyCreation 'kms:CreateKey' "kms:ListKeys" Machtigingen voor EncryptionKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Defender CSPM Defender for Storage |
SensitiveDataDiscovery | Machtigingen voor het detecteren van S3-buckets in het AWS-account, machtiging voor de Defender voor Cloud scanner voor toegang tot gegevens in de S3-buckets. Alleen-lezen S3; KMS ontsleutelen "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Machtigingen voor Ciem Discovery "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender voor Servers | DefenderForCloud-DefenderForServers | Machtigingen voor het configureren van JIT-netwerktoegang: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender voor Containers | DefenderForCloud-Containers-K8s | Machtigingen voor het weergeven van EKS-clusters en het verzamelen van gegevens uit EKS-clusters. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender voor Containers | DefenderForCloud-DataCollection | Machtigingen voor de CloudWatch-logboekgroep die is gemaakt door Defender voor Cloud "logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Machtigingen voor het gebruik van SQS-wachtrij die is gemaakt door Defender voor Cloud "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender voor Containers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Machtigingen voor toegang tot Kinesis Data Firehose-leveringsstroom die is gemaakt door Defender voor Cloud "firehose:*" |
| Defender voor Containers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Machtigingen voor toegang tot S3-bucket die is gemaakt door Defender voor Cloud "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Machtigingen voor het verzamelen van gegevens uit EKS-clusters. EKS-clusters bijwerken ter ondersteuning van IP-beperking en iamidentitymapping maken voor EKS-clusters "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | Machtigingen voor het scannen van afbeeldingen van ECR en ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender voor Servers | DefenderForCloud-ArcAutoProvisioning | Machtigingen voor het installeren van Azure Arc op alle EC2-exemplaren met behulp van SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Machtiging voor het detecteren van RDS-exemplaren in het AWS-account, het maken van een momentopname van het RDS-exemplaar, - Alle RDS DB's/clusters weergeven - Alle db-/clustermomentopnamen weergeven - Alle momentopnamen van db/cluster kopiëren - Db-/clustermomentopname verwijderen/bijwerken met voorvoegsel defenderfordatabases - Alle KMS-sleutels weergeven - Gebruik alle KMS-sleutels alleen voor RDS in het bronaccount - KMS-sleutels vermelden met tagvoorvoegsel DefenderForDatabases - Alias maken voor KMS-sleutels Vereiste machtigingen voor het detecteren van RDS-exemplaren "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Machtigingen voor GCP
Wanneer u een Google Cloud Projects-connector (GCP) onboardt, maakt Defender voor Cloud rollen en wijst u machtigingen toe aan uw GCP-project. In de volgende tabel ziet u de rollen en machtigingen die door elk plan in uw GCP-project zijn toegewezen.
| Defender voor Cloud-abonnement | Rol gemaakt | Machtiging toegewezen aan AWS-account |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | GCP-resources detecteren resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender voor Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Alleen-lezentoegang om compute-engine op te halen en weer te geven resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Machtigingen voor automatische inrichting van Defender for Databases ARC roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender for Storage |
gegevensbeveiliging-houding-opslag | Machtiging voor de Defender voor Cloud scanner voor het detecteren van GCP-opslagbuckets voor toegang tot gegevens in de GCP-opslagbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender for Storage |
gegevensbeveiliging-houding-opslag | Machtiging voor de Defender voor Cloud scanner voor het detecteren van GCP-opslagbuckets voor toegang tot gegevens in de GCP-opslagbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Machtigingen voor het ophalen van details over de organisatieresource. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender voor Servers |
MDCAgentlessScanningRole | Machtigingen voor scannen op schijven zonder agent: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender voor servers |
cloudkms.cryptoKeyEncrypterDecrypter | Machtigingen voor een bestaande GCP KMS-rol worden verleend ter ondersteuning van scanschijven die zijn versleuteld met CMEK |
| Defender CSPM Defender voor Containers |
mdc-containers-artifact-assess | Machtiging voor het scannen van afbeeldingen van GAR en GCR. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender voor Containers | mdc-containers-k8s-operator | Machtigingen voor het verzamelen van gegevens uit GKE-clusters. Werk GKE-clusters bij om IP-beperking te ondersteunen. Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender voor Containers | microsoft-defender-containers | Machtigingen voor het maken en beheren van de logboeksink om logboeken naar een Cloud Pub/Sub-onderwerp te routeren. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender voor Containers | ms-defender-containers-stream | Machtigingen om logboekregistratie toe te staan logboeken te verzenden naar pub-sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Volgende stappen
In dit artikel wordt uitgelegd hoe Defender voor Cloud Azure RBAC gebruikt om machtigingen toe te wijzen aan gebruikers en de toegestane acties voor elke rol te identificeren. Nu u bekend bent met de roltoewijzingen die nodig zijn voor het bewaken van de beveiligingsstatus van uw abonnement, het bewerken van beveiligingsbeleid en het toepassen van aanbevelingen, kunt u het volgende gaan leren:
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor