Włączanie zarządzania uprawnieniami w Microsoft Defender dla Chmury (wersja zapoznawcza)
Omówienie
Zarządzanie upoważnieniami do infrastruktury chmurowej (CIEM) to model zabezpieczeń, który pomaga organizacjom zarządzać dostępem użytkowników i uprawnieniami w infrastrukturze chmury oraz kontrolować je. CIEM to krytyczny składnik rozwiązania Cloud Native Application Protection Platform (CNAPP), który zapewnia wgląd w to, kto lub co ma dostęp do określonych zasobów. Gwarantuje to, że prawa dostępu są zgodne z zasadą najniższych uprawnień (PoLP), gdzie tożsamości użytkowników lub obciążeń, takich jak aplikacje i usługi, otrzymują tylko minimalne poziomy dostępu niezbędne do wykonywania swoich zadań.
Firma Microsoft dostarcza zarówno rozwiązania CNAPP, jak i CIEM z Microsoft Defender dla Chmury (CNAPP) i Zarządzanie uprawnieniami Microsoft Entra (CIEM). Integracja możliwości zarządzania uprawnieniami z Defender dla Chmury wzmacnia zapobieganie naruszeniom zabezpieczeń, które mogą wystąpić z powodu nadmiernych uprawnień lub błędów konfiguracji w środowisku chmury. Dzięki ciągłemu monitorowaniu uprawnień do chmury i zarządzaniu nimi usługa Permissions Management pomaga wykrywać obszar ataków, wykrywać potencjalne zagrożenia, uprawnienia dostępu o odpowiednim rozmiarze i utrzymywać zgodność ze standardami prawnymi. Dzięki temu szczegółowe informacje z zarządzania uprawnieniami są niezbędne do integracji i wzbogacania możliwości Defender dla Chmury na potrzeby zabezpieczania aplikacji natywnych dla chmury i ochrony poufnych danych w chmurze.
Ta integracja zapewnia następujące szczegółowe informacje pochodzące z pakietu Zarządzanie uprawnieniami Microsoft Entra w portalu Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz macierz funkcji.
Typowe przypadki użycia i scenariusze
Zarządzanie uprawnieniami Microsoft Entra możliwości są bezproblemowo zintegrowane jako cenny składnik w usłudze Defender Plan zarządzania stanem zabezpieczeń w chmurze (CSPM). Zintegrowane możliwości są podstawowe, zapewniając podstawowe funkcje w ramach Microsoft Defender dla Chmury. Dzięki tym dodanym funkcjom możesz śledzić analizę uprawnień, nieużywane uprawnienia dla aktywnych tożsamości i tożsamości z nadmiernymi uprawnieniami oraz ograniczać je w celu zapewnienia obsługi najlepszych rozwiązań dotyczących najniższych uprawnień.
Nowe zalecenia można znaleźć na karcie Zarządzanie kontrolą zabezpieczeń dostępu i uprawnień na karcie Rekomendacje na pulpicie nawigacyjnym Defender dla Chmury.
Wymagania wstępne dotyczące wersji zapoznawczej
Aspekt | Szczegóły |
---|---|
Wymagane/preferowane wymagania środowiskowe | CSPM w usłudze Defender Te możliwości są uwzględnione w planie CSPM w usłudze Defender i nie wymagają dodatkowej licencji. |
Wymagane role i uprawnienia | AWS / GCP Administracja zabezpieczeń Application.ReadWrite.All Azure Administracja zabezpieczeń Microsoft.Authorization/roleAssignments/write |
Chmury | Chmury komercyjne platform Azure, AWS i GCP Naród/Suwerenne (US Gov, China Gov, Other Gov) |
Włączanie zarządzania uprawnieniami dla platformy Azure
Zaloguj się w witrynie Azure Portal.
W górnym polu wyszukiwania wyszukaj Microsoft Defender dla Chmury.
W menu po lewej stronie wybierz pozycję Zarządzanie/Ustawienia środowiska.
Wybierz subskrypcję platformy Azure, dla której chcesz włączyć plan CIEM DCSPM.
Na stronie Plany usługi Defender upewnij się, że plan CSPM w usłudze Defender jest włączony.
Wybierz ustawienia planu i włącz rozszerzenie Zarządzanie uprawnieniami .
Wybierz Kontynuuj.
Wybierz pozycję Zapisz.
Po kilku sekundach zauważysz, że:
Twoja subskrypcja ma nowe przypisanie czytelnika dla aplikacji do zarządzania upoważnieniami infrastruktury w chmurze.
Nowy standard Azure CSPM (wersja zapoznawcza) jest przypisywany do twojej subskrypcji.
W ciągu kilku godzin powinny być widoczne odpowiednie zalecenia dotyczące zarządzania uprawnieniami w ramach subskrypcji.
Przejdź do strony Rekomendacje i upewnij się, że zaznaczone są odpowiednie filtry środowisk. Filtruj według inicjatywy= "Azure CSPM (wersja zapoznawcza)" , który filtruje następujące zalecenia (jeśli dotyczy):
Zalecenia dotyczące platformy Azure:
- Tożsamości z nadmierną aprowizą platformy Azure powinny mieć tylko niezbędne uprawnienia
- Super Tożsamości w środowisku platformy Azure należy usunąć
- Nieużywane tożsamości w środowisku platformy Azure należy usunąć
Włączanie zarządzania uprawnieniami dla platformy AWS
Wykonaj następujące kroki, aby połączyć konto platformy AWS z Defender dla Chmury
Dla wybranego konta/projektu:
Wybierz identyfikator na liście i ustawienie | Zostanie otwarta strona planów usługi Defender.
Wybierz przycisk Dalej: Wybierz plany > w dolnej części strony.
Włącz plan CSPM w usłudze Defender. Jeśli plan jest już włączony, wybierz pozycję Ustawienia i włącz funkcję Zarządzanie uprawnieniami.
Postępuj zgodnie z instrukcjami kreatora, aby włączyć plan z nowymi funkcjami zarządzania uprawnieniami.
Wybierz pozycję Konfiguruj dostęp, a następnie wybierz odpowiedni typ uprawnień . Wybierz metodę wdrażania: skrypt "AWS CloudFormation" / "Terraform".
Szablon wdrożenia jest wypełniany automatycznie przy użyciu domyślnych nazw usługi ARN roli. Nazwy ról można dostosować, wybierając hiperlink.
Uruchom zaktualizowany skrypt CFT/terraform w środowisku platformy AWS.
Wybierz pozycję Zapisz.
Po kilku sekundach zauważysz, że nowy standard AWS CSPM (wersja zapoznawcza) jest przypisany do łącznika zabezpieczeń.
Odpowiednie zalecenia dotyczące zarządzania uprawnieniami zostaną wyświetlone w łączniku zabezpieczeń platformy AWS w ciągu kilku godzin.
Przejdź do strony Rekomendacje i upewnij się, że zaznaczone są odpowiednie filtry środowisk. Filtruj według inicjatywy= "AWS CSPM (wersja zapoznawcza)" , która zwraca następujące zalecenia (jeśli dotyczy):
Zalecenia dotyczące platformy AWS:
Tożsamości z nadmierną aprowizowaną usługą AWS powinny mieć tylko niezbędne uprawnienia
Nieużywane tożsamości w środowisku platformy AWS powinny zostać usunięte
Uwaga
Zalecenia oferowane za pośrednictwem integracji z usługą Permissions Management (wersja zapoznawcza) są programowo dostępne w usłudze Azure Resource Graph.
Włączanie zarządzania uprawnieniami dla GCP
Wykonaj następujące kroki, aby połączyć konto GCP z Microsoft Defender dla Chmury:
Dla wybranego konta/projektu:
Wybierz identyfikator na liście i ustawienie | Zostanie otwarta strona planów usługi Defender.
Wybierz przycisk Dalej: Wybierz plany > w dolnej części strony.
Włącz plan CSPM w usłudze Defender. Jeśli plan jest już włączony, wybierz pozycję Ustawienia i włącz funkcję Zarządzanie uprawnieniami.
Postępuj zgodnie z instrukcjami kreatora, aby włączyć plan z nowymi funkcjami zarządzania uprawnieniami.
Uruchom zaktualizowany skrypt CFT/terraform w środowisku GCP.
Wybierz pozycję Zapisz.
Po kilku sekundach zauważysz, że nowy standard GCP CSPM (wersja zapoznawcza) jest przypisany do łącznika zabezpieczeń.
W ciągu kilku godzin zobaczysz odpowiednie zalecenia dotyczące zarządzania uprawnieniami w łączniku zabezpieczeń GCP.
Przejdź do strony Rekomendacje i upewnij się, że zaznaczone są odpowiednie filtry środowisk. Filtruj według inicjatywy = "GCP CSPM (wersja zapoznawcza)" , która zwraca następujące zalecenia (jeśli dotyczy):
Zalecenia dotyczące platformy GCP:
Tożsamości z nadmierną aprowizowaną usługą GCP powinny mieć tylko niezbędne uprawnienia
Nieużywane super tożsamości w środowisku GCP powinny zostać usunięte
Nieużywane tożsamości w środowisku GCP powinny zostać usunięte
Znane ograniczenia
- Konta platformy AWS lub GCP, które są początkowo dołączone do Zarządzanie uprawnieniami Microsoft Entra nie można zintegrować za pośrednictwem Microsoft Defender dla Chmury.
Macierz funkcji
Funkcja integracji jest częścią planu CSPM w usłudze Defender i nie wymaga licencji Zarządzanie uprawnieniami Microsoft Entra (MEPM). Aby dowiedzieć się więcej o dodatkowych możliwościach, które można otrzymywać z programu MEPM, zapoznaj się z macierzą funkcji:
Kategoria | Możliwości | Defender dla Chmury | Zarządzanie uprawnieniami |
---|---|---|---|
Odnajdywanie | Odnajdywanie uprawnień dla ryzykownych tożsamości (w tym nieużywanych tożsamości, nadmiernie aprowizowanych aktywnych tożsamości, super tożsamości) na platformie Azure, AWS, GCP | ✓ | ✓ |
Odnajdywanie | Indeks pełzania uprawnień (PCI) dla środowisk wielochmurowych (Azure, AWS, GCP) i wszystkich tożsamości | ✓ | ✓ |
Odnajdywanie | Odnajdywanie uprawnień dla wszystkich tożsamości, grup na platformie Azure, AWS, GCP | ❌ | ✓ |
Odnajdywanie | Uprawnienia analizy użycia, ról/ przypisań zasad na platformie Azure, AWS, GCP | ❌ | ✓ |
Odnajdywanie | Obsługa dostawców tożsamości (w tym AWS IAM Identity Center, Okta, GSuite) | ❌ | ✓ |
Korygowanie | Automatyczne usuwanie uprawnień | ❌ | ✓ |
Korygowanie | Korygowanie tożsamości przez dołączenie/odłączenie uprawnień | ❌ | ✓ |
Korygowanie | Niestandardowa rola/generowanie zasad platformy AWS na podstawie działań tożsamości, grup itp. | ❌ | ✓ |
Korygowanie | Uprawnienia na żądanie (dostęp ograniczony czasowo) dla tożsamości człowieka i obciążenia za pośrednictwem centrum administracyjnego firmy Microsoft Entra, interfejsów API, aplikacji ServiceNow. | ❌ | ✓ |
Monitor | Wykrywanie anomalii opartych na maszynie Edukacja | ❌ | ✓ |
Monitor | Alerty oparte na działaniach oparte na regułach | ❌ | ✓ |
Monitor | Raporty kryminalistyczne bogate w kontekst (na przykład raport historii PCI, raport uprawnień użytkowników i użycia itp.) | ❌ | ✓ |
Następne kroki
- Aby uzyskać więcej informacji na temat rozwiązania CIEM firmy Microsoft, zobacz Zarządzanie uprawnieniami Microsoft Entra.
- Aby uzyskać bezpłatną wersję próbną Zarządzanie uprawnieniami Microsoft Entra, zobacz Centrum administracyjne firmy Microsoft Entra.