Bewerken

Delen via

Veelgestelde vragen over machtigingen in Defender voor Cloud

  • Veelgestelde vragen

Hoe werken machtigingen in Microsoft Defender voor Cloud?

Microsoft Defender voor Cloud gebruikt Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) biedt ingebouwde rollen die kunnen worden toegewezen aan gebruikers, groepen en services in Azure.

Defender voor Cloud evalueert de configuratie van uw resources om beveiligingsproblemen en beveiligingsproblemen te identificeren. In Defender voor Cloud ziet u alleen informatie met betrekking tot een resource wanneer u de rol van Eigenaar, Inzender of Lezer krijgt toegewezen voor het abonnement of de resourcegroep waartoe een resource behoort.

Zie Machtigingen in Microsoft Defender voor Cloud voor meer informatie over rollen en toegestane acties in Defender voor Cloud.

Wie kan een beveiligingsbeleid wijzigen?

Als u een beveiligingsbeleid wilt wijzigen, moet u een beveiligingsbeheerder of een eigenaar of inzender van dat abonnement zijn.

Zie Beveiligingsbeleid instellen in Microsoft Defender voor Cloud voor meer informatie over het configureren van een beveiligingsbeleid.

Welke machtigingen worden gebruikt door scannen zonder agent?

De rollen en machtigingen die door Defender voor Cloud worden gebruikt om agentloze scans uit te voeren op uw Azure-, AWS- en GCP-omgevingen, worden hier vermeld. In Azure worden deze machtigingen automatisch toegevoegd aan uw abonnementen wanneer u scannen zonder agent inschakelt. In AWS worden deze machtigingen toegevoegd aan de CloudFormation-stack in uw AWS-connector en worden in GCP-machtigingen toegevoegd aan het onboardingscript in uw GCP-connector.

  • Azure-machtigingen: de ingebouwde rol VM-scanneroperator heeft alleen-lezenmachtigingen voor VM-schijven die vereist zijn voor het momentopnameproces. De gedetailleerde lijst met machtigingen is:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Wanneer dekking voor versleutelde CMK-schijven is ingeschakeld, worden deze aanvullende machtigingen gebruikt:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS-machtigingen: de rol 'VmScanner' wordt toegewezen aan de scanner wanneer u scannen zonder agent inschakelt. Deze rol heeft de minimale machtigingen ingesteld voor het maken en opschonen van momentopnamen (scoped per tag) en om de huidige status van de virtuele machine te controleren. De gedetailleerde machtigingen zijn:

    Kenmerk Weergegeven als
    SID VmScannerDeleteSnapshotAccess
    Acties ec2:DeleteSnapshot
    Voorwaarden "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Microsoft Defender voor Cloud"}
    Resources arn:aws:ec2:::snapshot/
    Effect Toestaan
    Kenmerk Weergegeven als
    SID VmScannerAccess
    Acties ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Voorwaarden Geen
    Resources arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Effect Toestaan
    Kenmerk Weergegeven als
    SID VmScannerVerificationAccess
    Acties ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Voorwaarden Geen
    Resources *
    Effect Toestaan
    Kenmerk Weergegeven als
    SID VmScannerEncryptionKeyCreation
    Acties kms:CreateKey
    Voorwaarden Geen
    Resources *
    Effect Toestaan
    Kenmerk Weergegeven als
    SID VmScannerEncryptionKeyManagement
    Acties kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Voorwaarden Geen
    Resources arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Effect Toestaan
    Kenmerk Weergegeven als
    SID VmScannerEncryptionKeyUsage
    Acties kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Voorwaarden Geen
    Resources arn:aws:kms::${AWS::AccountId}:key/
    Effect Toestaan

  • GCP-machtigingen: tijdens onboarding wordt een nieuwe aangepaste rol gemaakt met minimale machtigingen die nodig zijn om de status van exemplaren op te halen en momentopnamen te maken. Boven op die machtigingen voor een bestaande GCP KMS-rol worden scanschijven ondersteund die zijn versleuteld met CMEK. De rollen zijn:

    • roles/MDCAgentlessScanningRole verleend aan het serviceaccount van Defender voor Cloud met machtigingen: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter verleend aan de compute engine-agent van Defender voor Cloud

Wat zijn de minimale SAS-beleidsmachtigingen die vereist zijn bij het exporteren van gegevens naar Azure Event Hubs?

Verzenden is de minimale vereiste SAS-beleidsmachtigingen. Zie stap 1 voor stapsgewijze instructies: Een Event Hubs-naamruimte en Event Hub maken met machtigingen voor verzenden in dit artikel.