Role użytkowników i uprawnienia
Microsoft Defender dla Chmury używa Kontrola dostępu oparta na rolach platformy Azure (Kontrola dostępu oparta na rolach na platformie Azure) w celu zapewnienia wbudowanych ról. Te role można przypisać do użytkowników, grup i usług na platformie Azure, aby zapewnić użytkownikom dostęp do zasobów zgodnie z dostępem zdefiniowanym w roli.
Defender dla Chmury ocenia konfigurację zasobów i identyfikuje problemy z zabezpieczeniami i luki w zabezpieczeniach. W Defender dla Chmury można wyświetlić informacje związane z zasobem, gdy masz jedną z tych ról przypisanych do subskrypcji lub grupy zasobów, do której należy zasób: Właściciel, Współautor lub Czytelnik.
Oprócz wbudowanych ról istnieją dwie role specyficzne dla Defender dla Chmury:
- Czytelnik zabezpieczeń: użytkownik należący do tej roli ma dostęp tylko do odczytu do Defender dla Chmury. Użytkownik może wyświetlać zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.
- Administrator zabezpieczeń: użytkownik należący do tej roli ma taki sam dostęp jak czytelnik zabezpieczeń, a także może zaktualizować zasady zabezpieczeń oraz odrzucić alerty i zalecenia.
Zalecamy przypisanie najmniej permissywnej roli wymaganej dla użytkowników do wykonania swoich zadań.
Można na przykład przypisać rolę Czytelnik do użytkowników, którzy muszą wyświetlać tylko informacje o kondycji zabezpieczeń zasobu bez podejmowania żadnych działań. Użytkownicy z rolą Czytelnik mogą stosować rekomendacje lub edytować zasady.
Role i dozwolone akcje
W poniższej tabeli przedstawiono role i dozwolone akcje w Defender dla Chmury.
| Akcja | Czytelnik zabezpieczeń / Czytelnik |
Administrator zabezpieczeń | Właściciel współautora / | Współautor | Właściciel |
|---|---|---|---|---|---|
| (Poziom grupy zasobów) | (Poziom subskrypcji) | (Poziom subskrypcji) | |||
| Dodawanie/przypisywanie inicjatyw (w tym standardów zgodności z przepisami) | - | ✔ | - | - | ✔ |
| Edytowanie zasad zabezpieczeń | - | ✔ | - | - | ✔ |
| Włączanie/wyłączanie planów usługi Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Odrzucanie alertów | - | ✔ | - | ✔ | ✔ |
| Stosowanie zaleceń dotyczących zabezpieczeń dla zasobu (użyj poprawki) |
- | - | ✔ | ✔ | ✔ |
| Wyświetlanie alertów i zaleceń | ✔ | ✔ | ✔ | ✔ | ✔ |
| Zalecenia dotyczące wykluczonych zabezpieczeń | - | ✔ | - | - | ✔ |
| Konfigurowanie powiadomień e-mail | - | ✔ | ✔ | ✔ | ✔ |
Uwaga
Chociaż wymienione trzy role są wystarczające do włączania i wyłączania planów usługi Defender, aby włączyć wszystkie możliwości planu, wymagana jest rola właściciel.
Określona rola wymagana do wdrożenia składników monitorowania zależy od wdrażanych rozszerzeń. Dowiedz się więcej o składnikach monitorowania.
Role używane do automatycznej aprowizacji agentów i rozszerzeń
Aby zezwolić administratorowi zabezpieczeń na automatyczne aprowizowania agentów i rozszerzeń używanych w planach Defender dla Chmury, Defender dla Chmury używa korygowania zasad w podobny sposób do usługi Azure Policy. Aby użyć korygowania, Defender dla Chmury musi utworzyć jednostki usługi, nazywane również tożsamościami zarządzanymi, które przypisują role na poziomie subskrypcji. Na przykład jednostki usługi dla planu usługi Defender for Containers to:
| Jednostka usługi | Role |
|---|---|
| Usługa Defender for Containers aprowizacja profilu zabezpieczeń usługi Azure Kubernetes Service (AKS) | * Współautor rozszerzenia Kubernetes *Współautorów * Współautor usługi Azure Kubernetes Service * Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja platformy Kubernetes z obsługą usługi Arc | * Współautor usługi Azure Kubernetes Service * Współautor rozszerzenia Kubernetes *Współautorów * Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja usługi Azure Policy dla platformy Kubernetes | * Współautor rozszerzenia Kubernetes *Współautorów * Współautor usługi Azure Kubernetes Service |
| Rozszerzenie zasad aprowizacji usługi Defender for Containers dla platformy Kubernetes z obsługą usługi Arc | * Współautor usługi Azure Kubernetes Service * Współautor rozszerzenia Kubernetes *Współautorów |
Uprawnienia na platformie AWS
Po dołączeniu łącznika usług Amazon Web Services (AWS) Defender dla Chmury tworzy role i przypisuje uprawnienia na koncie platformy AWS. W poniższej tabeli przedstawiono role i uprawnienia przypisane przez każdy plan na koncie platformy AWS.
| plan Defender dla Chmury | Utworzono rolę | Uprawnienie przypisane na koncie platformy AWS |
|---|---|---|
| Zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) | CspmMonitorAws | Aby odnaleźć uprawnienia zasobów platformy AWS, przeczytaj wszystkie zasoby z wyjątkiem: consolidatedbilling:* freetier:* Fakturowania:* Płatności:* Rozliczeń:* podatek:* kundel:* |
| CSPM w usłudze Defender Defender for Servers |
DefenderForCloud-AgentlessScanner | Aby utworzyć i wyczyścić migawki dysku (w zakresie według tagu) "CreatedBy": "Microsoft Defender dla Chmury" Uprawnienia: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Uprawnienie do klucza EncryptionKeyCreation kms:CreateKey kms:ListKeys Uprawnienia do klucza EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM w usłudze Defender Defender for Storage |
SensitiveDataDiscovery | Uprawnienia do odnajdywania zasobników S3 na koncie platformy AWS, uprawnienia do skanera Defender dla Chmury w celu uzyskania dostępu do danych w zasobnikach S3 Tylko do odczytu S3 Odszyfrowywanie usługi KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Uprawnienia do odnajdywania ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender for Servers | DefenderForCloud-DefenderForServers | Uprawnienia do konfigurowania dostępu sieciowego JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender dla Kontenerów | DefenderForCloud-Containers-K8s | Uprawnienia do wyświetlania listy klastrów EKS i zbierania danych z klastrów EKS eks:UpdateClusterConfig eks:DescribeCluster |
| Defender dla Kontenerów | DefenderForCloud-DataCollection | Uprawnienia do grupy dzienników usługi CloudWatch utworzonej przez Defender dla Chmury logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Uprawnienia do korzystania z kolejki SQS utworzonej przez Defender dla Chmury sqs:ReceiveMessage sqs:DeleteMessage |
| Defender dla Kontenerów | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Uprawnienia dostępu do strumienia dostarczania Usługi Kinesis Data Firehose utworzonego przez Defender dla Chmury firehose:* |
| Defender dla Kontenerów | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Uprawnienia dostępu do zasobnika S3 utworzonego przez Defender dla Chmury s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Uprawnienia do zbierania danych z klastrów EKS. Aktualizowanie klastrów EKS w celu obsługi ograniczeń adresów IP i tworzenie mapowania iamidentitymapping dla klastrów EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | Uprawnienia do skanowania obrazów z ECR i ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | Uprawnienia do instalowania usługi Azure Arc we wszystkich wystąpieniach usługi EC2 przy użyciu programu SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Uprawnienie do odnajdywania wystąpień usług pulpitu zdalnego na koncie platformy AWS, tworzenia migawki wystąpienia usług pulpitu zdalnego, — Wyświetlanie listy wszystkich baz danych/klastrów usług pulpitu zdalnego — Wyświetlanie listy wszystkich migawek bazy danych/klastra — Kopiowanie wszystkich migawek bazy danych/klastra — Usuwanie/aktualizowanie migawki bazy danych/klastra za pomocą prefiksu defenderfordatabases — Wyświetlanie listy wszystkich kluczy usługi KMS — Używaj wszystkich kluczy usługi KMS tylko dla usług pulpitu zdalnego na koncie źródłowym — Wyświetlanie listy kluczy usługi KMS z prefiksem tagu DefenderForDatabases — Tworzenie aliasu dla kluczy usługi KMS Uprawnienia wymagane do odnajdywania wystąpień usług pulpitu zdalnego rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Szyfruj kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Uprawnienia na platformie GCP
Po dołączeniu łącznika Google Cloud Platforms (GCP) Defender dla Chmury tworzy role i przypisuje uprawnienia do projektu GCP. W poniższej tabeli przedstawiono role i uprawnienia przypisane przez każdy plan w projekcie GCP.
| plan Defender dla Chmury | Utworzono rolę | Uprawnienie przypisane na koncie platformy AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Te uprawnienia umożliwiają roli CSPM odnajdywanie i skanowanie zasobów w organizacji: Umożliwia roli wyświetlanie i organizacje, projekty i foldery: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Umożliwia automatyczne aprowizowanie nowych projektów i usuwanie usuniętych projektów: resourcemanager.projects.get resourcemanager.projects.list Umożliwia roli włączenie usług Google Cloud używanych do odnajdywania zasobów: serviceusage.services.enable Służy do tworzenia i wyświetlania listy ról IAM: iam.roles.create iam.roles.list Umożliwia roli działanie jako konto usługi i uzyskiwanie uprawnień do zasobów: iam.serviceAccounts.actAs Umożliwia roli wyświetlanie szczegółów projektu i ustawianie typowych metadanych wystąpienia: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Dostęp tylko do odczytu w celu pobrania i wyświetlenia listy zasobów aparatu obliczeniowego: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Uprawnienia do automatycznej aprowizacji usługi Defender dla baz danych ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM w usłudze Defender Defender for Storage |
data-security-posture-storage | Uprawnienie do skanera Defender dla Chmury odnajdywania zasobników magazynu GCP w celu uzyskania dostępu do danych w zasobnikach magazynu GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM w usłudze Defender Defender for Storage |
data-security-posture-storage | Uprawnienie do skanera Defender dla Chmury odnajdywania zasobników magazynu GCP w celu uzyskania dostępu do danych w zasobnikach magazynu GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Uprawnienia do uzyskiwania szczegółowych informacji o zasobie organizacji. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM w usłudze Defender Defender for Servers |
MDCAgentlessScanningRole | Uprawnienia do skanowania dysków bez agenta: compute.disks.createSnapshot compute.instances.get |
| CSPM w usłudze Defender Usługa Defender dla serwerów |
cloudkms.cryptoKeyEncrypterDecrypter | Uprawnienia do istniejącej roli usługi KMS GCP są przyznawane w celu obsługi skanowania dysków zaszyfrowanych przy użyciu klucza CMEK |
| CSPM w usłudze Defender Defender dla Kontenerów |
mdc-containers-artifact-assess | Uprawnienie do skanowania obrazów z gar i GCR. artifactregistry.reader storage.objectViewer |
| Defender dla Kontenerów | mdc-containers-k8s-operator | Uprawnienia do zbierania danych z klastrów GKE. Zaktualizuj klastry GKE, aby obsługiwały ograniczenia adresów IP. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender dla Kontenerów | microsoft-defender-containers | Uprawnienia do tworzenia ujścia dziennika i zarządzania nim w celu kierowania dzienników do tematu Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender dla Kontenerów | ms-defender-containers-stream | Uprawnienia umożliwiające rejestrowanie wysyłania dzienników do podkatalogu pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Następne kroki
W tym artykule wyjaśniono, jak Defender dla Chmury używa kontroli dostępu opartej na rolach platformy Azure w celu przypisania uprawnień do użytkowników i zidentyfikowania dozwolonych akcji dla każdej roli. Teraz, gdy znasz przypisania ról potrzebne do monitorowania stanu zabezpieczeń subskrypcji, edytowania zasad zabezpieczeń i stosowania zaleceń, dowiedz się, jak: