Jak działają uprawnienia w Microsoft Defender dla Chmury?
Microsoft Defender dla Chmury używa Kontrola dostępu oparta na rolach (RBAC) platformy Azure, która udostępnia wbudowane role, które można przypisać do użytkowników, grup i usług na platformie Azure.
Defender dla Chmury ocenia konfigurację zasobów w celu zidentyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach. W Defender dla Chmury zobaczysz tylko informacje związane z zasobem, gdy masz przypisaną rolę Właściciel, Współautor lub Czytelnik dla subskrypcji lub grupy zasobów, do której należy zasób.
Zobacz Uprawnienia w Microsoft Defender dla Chmury, aby dowiedzieć się więcej o rolach i dozwolonych akcjach w Defender dla Chmury.
Kto może modyfikować zasady zabezpieczeń?
Aby zmodyfikować zasady zabezpieczeń, musisz być administratorem zabezpieczeń lub właścicielem lub współautorem tej subskrypcji.
Aby dowiedzieć się, jak skonfigurować zasady zabezpieczeń, zobacz Ustawianie zasad zabezpieczeń w Microsoft Defender dla Chmury.
Które uprawnienia są używane przez skanowanie bez agenta?
Role i uprawnienia używane przez Defender dla Chmury do przeprowadzania skanowania bez agenta na platformie Azure, AWS i środowiskach GCP są wymienione tutaj. Na platformie Azure te uprawnienia są automatycznie dodawane do subskrypcji po włączeniu skanowania bez agenta. W usłudze AWS te uprawnienia są dodawane do stosu CloudFormation w łączniku platformy AWS, a uprawnienia GCP są dodawane do skryptu dołączania w łączniku GCP.
Uprawnienia platformy Azure — wbudowana rola "Operator skanera maszyn wirtualnych" ma uprawnienia tylko do odczytu dla dysków maszyn wirtualnych, które są wymagane w procesie migawek. Szczegółowa lista uprawnień to:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Po włączeniu pokrycia dysków zaszyfrowanych za pomocą klucza CMK są używane następujące dodatkowe uprawnienia:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Uprawnienia platformy AWS — rola "VmScanner" jest przypisywana do skanera podczas włączania skanowania bez agenta. Ta rola ma minimalny zestaw uprawnień do tworzenia i czyszczenia migawek (w zakresie według tagu) oraz sprawdzania bieżącego stanu maszyny wirtualnej. Szczegółowe uprawnienia to:
Atrybut Wartość SID VmScannerDeleteSnapshotAccess Akcje ec2:DeleteSnapshot Warunki "StringEquals":{"ec2:ResourceTag/CreatedBy":
"Microsoft Defender dla Chmury"}Zasoby arn:aws:ec2::snapshot/ Efekt Zezwalaj Atrybut Wartość SID VmScannerAccess Akcje ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotWarunki Brak Zasoby arn:aws:ec2::instance/
arn:aws:ec2::snapshot/
arn:aws:ec2::volume/Efekt Zezwalaj Atrybut Wartość SID VmScannerVerificationAccess Akcje ec2:DescribeSnapshots
ec2:DescribeInstanceStatusWarunki Brak Zasoby * Efekt Zezwalaj Atrybut Wartość SID VmScannerEncryptionKeyCreation Akcje kms:CreateKey Warunki Brak Zasoby * Efekt Zezwalaj Atrybut Wartość SID VmScannerEncryptionKeyManagement Akcje kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsWarunki Brak Zasoby arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyEfekt Zezwalaj Atrybut Wartość SID VmScannerEncryptionKeyUsage Akcje kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromWarunki Brak Zasoby arn:aws:kms::${AWS::AccountId}:key/ Efekt Zezwalaj Uprawnienia GCP: podczas dołączania — tworzona jest nowa rola niestandardowa z minimalnymi uprawnieniami wymaganymi do uzyskania stanu wystąpień i tworzenia migawek. Oprócz tych uprawnień do istniejącej roli usługi KMS GCP są przyznawane w celu obsługi skanowania dysków szyfrowanych przy użyciu klucza CMEK. Istnieją następujące role:
- roles/MDCAgentlessScanningRole przyznane do konta usługi Defender dla Chmury z uprawnieniami: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter przyznane agentowi usługi aparatu obliczeniowego Defender dla Chmury
Jakie są minimalne uprawnienia zasad sygnatury dostępu współdzielonego wymagane podczas eksportowania danych do usługi Azure Event Hubs?
Wysyłanie jest minimalnymi wymaganymi uprawnieniami zasad sygnatury dostępu współdzielonego. Aby uzyskać instrukcje krok po kroku, zobacz Krok 1: Tworzenie przestrzeni nazw usługi Event Hubs i centrum zdarzeń z uprawnieniami wysyłania w tym artykule.