Q: Wat zijn de minimale SAS-beleidsmachtigingen die vereist zijn bij het exporteren van gegevens naar Azure Event Hubs?

Verzenden is de minimale vereiste SAS-beleidsmachtigingen. Zie stap 1 voor stapsgewijze instructies: Een Event Hubs-naamruimte en Event Hub maken met machtigingen voor verzenden in dit artikel .

Question 1

Hoe werken machtigingen in Microsoft Defender voor Cloud?

Accepted Answer

Microsoft Defender voor Cloud gebruikt Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) biedt ingebouwde rollen die kunnen worden toegewezen aan gebruikers, groepen en services in Azure.

Defender voor Cloud evalueert de configuratie van uw resources om beveiligingsproblemen en beveiligingsproblemen te identificeren. In Defender voor Cloud ziet u alleen informatie met betrekking tot een resource wanneer u de rol van Eigenaar, Inzender of Lezer krijgt toegewezen voor het abonnement of de resourcegroep waartoe een resource behoort.

Zie Machtigingen in Microsoft Defender voor Cloud voor meer informatie over rollen en toegestane acties in Defender voor Cloud.

Question 2

Wie kan een beveiligingsbeleid wijzigen?

Accepted Answer

Als u een beveiligingsbeleid wilt wijzigen, moet u een beveiligings-Beheer of een eigenaar of inzender van dat abonnement zijn.

Zie Beveiligingsbeleid instellen in Microsoft Defender voor Cloud voor meer informatie over het configureren van een beveiligingsbeleid.

Question 3

Welke machtigingen worden gebruikt door scannen zonder agent?

Accepted Answer

De rollen en machtigingen die door Defender voor Cloud worden gebruikt om agentloze scans uit te voeren op uw Azure-, AWS- en GCP-omgevingen, worden hier vermeld. In Azure worden deze machtigingen automatisch toegevoegd aan uw abonnementen wanneer u scannen zonder agent inschakelt. In AWS worden deze machtigingen toegevoegd aan de CloudFormation-stack in uw AWS-connector en worden in GCP-machtigingen toegevoegd aan het onboardingscript in uw GCP-connector.

Azure-machtigingen: de ingebouwde rol VM-scanneroperator heeft alleen-lezenmachtigingen voor VM-schijven die vereist zijn voor het momentopnameproces. De gedetailleerde lijst met machtigingen is:
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/diskEncryptionSets/read
- Microsoft.Compute/virtualMachines/instanceView/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/instanceView/read
- Microsoft.Compute/virtualMachineScaleSets/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Wanneer dekking voor versleutelde CMK-schijven is ingeschakeld, worden deze aanvullende machtigingen gebruikt:
- Microsoft.KeyVault/vaults/keys/read
- Microsoft.KeyVault/vaults/keys/wrap/action
- Microsoft.KeyVault/vaults/keys/unwrap/action

AWS-machtigingen: de rol 'VmScanner' wordt toegewezen aan de scanner wanneer u scannen zonder agent inschakelt. Deze rol heeft de minimale machtigingen ingesteld voor het maken en opschonen van momentopnamen (scoped per tag) en om de huidige status van de virtuele machine te controleren. De gedetailleerde machtigingen zijn:

Kenmerk	Weergegeven als
SID	VmScannerDeleteSnapshotAccess
Acties	ec2:DeleteSnapshot
Voorwaarden	"StringEquals":{"ec2:ResourceTag/CreatedBy": "Microsoft Defender voor Cloud"}
Resources	arn:aws:ec2:::snapshot/
Effect	Toestaan

Kenmerk	Weergegeven als
SID	VmScannerAccess
Acties	ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot
Voorwaarden	Geen
Resources	arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/
Effect	Toestaan

Kenmerk	Weergegeven als
SID	VmScannerVerificationAccess
Acties	ec2:DescribeSnapshots ec2:DescribeInstanceStatus
Voorwaarden	Geen
Resources	*
Effect	Toestaan

Kenmerk	Weergegeven als
SID	VmScannerEncryptionKeyCreation
Acties	kms:CreateKey
Voorwaarden	Geen
Resources	*
Effect	Toestaan

Kenmerk	Weergegeven als
SID	VmScannerEncryptionKeyManagement
Acties	kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags
Voorwaarden	Geen
Resources	arn:aws:kms::${AWS::AccountId}:key/ arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
Effect	Toestaan

Kenmerk	Weergegeven als
SID	VmScannerEncryptionKeyUsage
Acties	kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom
Voorwaarden	Geen
Resources	arn:aws:kms::${AWS::AccountId}:key/
Effect	Toestaan

GCP-machtigingen: tijdens onboarding wordt een nieuwe aangepaste rol gemaakt met minimale machtigingen die nodig zijn om de status van exemplaren op te halen en momentopnamen te maken. Boven op die machtigingen voor een bestaande GCP KMS-rol worden scanschijven ondersteund die zijn versleuteld met CMEK. De rollen zijn:
- roles/MDCAgentlessScanningRole verleend aan het serviceaccount van Defender voor Cloud met machtigingen: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter verleend aan de compute engine-agent van Defender voor Cloud

Question 4

Wat zijn de minimale SAS-beleidsmachtigingen die vereist zijn bij het exporteren van gegevens naar Azure Event Hubs?

Accepted Answer

Verzenden is de minimale vereiste SAS-beleidsmachtigingen. Zie stap 1 voor stapsgewijze instructies: Een Event Hubs-naamruimte en Event Hub maken met machtigingen voor verzenden in dit artikel.

Veelgestelde vragen over machtigingen in Defender voor Cloud

Hoe werken machtigingen in Microsoft Defender voor Cloud?

Wie kan een beveiligingsbeleid wijzigen?

Welke machtigingen worden gebruikt door scannen zonder agent?

Wat zijn de minimale SAS-beleidsmachtigingen die vereist zijn bij het exporteren van gegevens naar Azure Event Hubs?

Feedback

Aanvullende resources