Edytuj

Często zadawane pytania dotyczące uprawnień w Defender dla Chmury

  • Często zadawane pytania

Jak działają uprawnienia w Microsoft Defender dla Chmury?

Microsoft Defender dla Chmury używa Kontrola dostępu oparta na rolach (RBAC) platformy Azure, która udostępnia wbudowane role, które można przypisać do użytkowników, grup i usług na platformie Azure.

Defender dla Chmury ocenia konfigurację zasobów w celu zidentyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach. W Defender dla Chmury zobaczysz tylko informacje związane z zasobem, gdy masz przypisaną rolę Właściciel, Współautor lub Czytelnik dla subskrypcji lub grupy zasobów, do której należy zasób.

Zobacz Uprawnienia w Microsoft Defender dla Chmury, aby dowiedzieć się więcej o rolach i dozwolonych akcjach w Defender dla Chmury.

KtoTo można zmodyfikować zasady zabezpieczeń?

Aby zmodyfikować zasady zabezpieczeń, musisz być Administracja zabezpieczeń lub właścicielem lub współautorem tej subskrypcji.

Aby dowiedzieć się, jak skonfigurować zasady zabezpieczeń, zobacz Ustawianie zasad zabezpieczeń w Microsoft Defender dla Chmury.

Które uprawnienia są używane przez skanowanie bez agenta?

Role i uprawnienia używane przez Defender dla Chmury do przeprowadzania skanowania bez agenta na platformie Azure, AWS i środowiskach GCP są wymienione tutaj. Na platformie Azure te uprawnienia są automatycznie dodawane do subskrypcji po włączeniu skanowania bez agenta. W usłudze AWS te uprawnienia są dodawane do stosu CloudFormation w łączniku platformy AWS, a uprawnienia GCP są dodawane do skryptu dołączania w łączniku GCP.

  • Uprawnienia platformy Azure — wbudowana rola "Operator skanera maszyn wirtualnych" ma uprawnienia tylko do odczytu dla dysków maszyn wirtualnych, które są wymagane w procesie migawek. Szczegółowa lista uprawnień to:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Po włączeniu pokrycia dysków zaszyfrowanych za pomocą klucza CMK są używane następujące dodatkowe uprawnienia:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • Uprawnienia platformy AWS — rola "VmScanner" jest przypisywana do skanera podczas włączania skanowania bez agenta. Ta rola ma minimalny zestaw uprawnień do tworzenia i czyszczenia migawek (w zakresie według tagu) oraz sprawdzania bieżącego stanu maszyny wirtualnej. Szczegółowe uprawnienia to:

    Atrybut Wartość
    SID VmScannerDeleteSnapshotAccess
    Akcje ec2:DeleteSnapshot
    Warunki "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Microsoft Defender dla Chmury"}
    Zasoby arn:aws:ec2::snapshot/
    Efekt Zezwalaj
    Atrybut Wartość
    SID VmScannerAccess
    Akcje ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Warunki Brak
    Zasoby arn:aws:ec2::instance/
    arn:aws:ec2::snapshot/
    arn:aws:ec2::volume/
    Efekt Zezwalaj
    Atrybut Wartość
    SID VmScannerVerificationAccess
    Akcje ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Warunki Brak
    Zasoby *
    Efekt Zezwalaj
    Atrybut Wartość
    SID VmScannerEncryptionKeyCreation
    Akcje kms:CreateKey
    Warunki Brak
    Zasoby *
    Efekt Zezwalaj
    Atrybut Wartość
    SID VmScannerEncryptionKeyManagement
    Akcje kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Warunki Brak
    Zasoby arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Efekt Zezwalaj
    Atrybut Wartość
    SID VmScannerEncryptionKeyUsage
    Akcje kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Warunki Brak
    Zasoby arn:aws:kms::${AWS::AccountId}:key/
    Efekt Zezwalaj

  • Uprawnienia GCP: podczas dołączania — tworzona jest nowa rola niestandardowa z minimalnymi uprawnieniami wymaganymi do uzyskania stanu wystąpień i tworzenia migawek. Oprócz tych uprawnień do istniejącej roli usługi KMS GCP są przyznawane w celu obsługi skanowania dysków szyfrowanych przy użyciu klucza CMEK. Istnieją następujące role:

    • roles/MDCAgentlessScanningRole przyznane do konta usługi Defender dla Chmury z uprawnieniami: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter przyznane agentowi usługi aparatu obliczeniowego Defender dla Chmury

Jakie są minimalne uprawnienia zasad sygnatury dostępu współdzielonego wymagane podczas eksportowania danych do usługi Azure Event Hubs?

Wysyłanie jest minimalnymi wymaganymi uprawnieniami zasad sygnatury dostępu współdzielonego. Aby uzyskać instrukcje krok po kroku, zobacz Krok 1: Tworzenie przestrzeni nazw usługi Event Hubs i centrum zdarzeń z uprawnieniami wysyłania w tym artykule.