Role użytkowników i uprawnienia
Microsoft Defender dla Chmury używa Kontrola dostępu oparta na rolach (RBAC) platformy Azure w celu zapewnienia wbudowanych ról. Te role można przypisać do użytkowników, grup i usług na platformie Azure, aby zapewnić użytkownikom dostęp do zasobów zgodnie z dostępem zdefiniowanym w roli.
Defender dla Chmury ocenia konfigurację zasobów w celu zidentyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach. W Defender dla Chmury zobaczysz tylko informacje związane z zasobem, gdy masz przypisaną jedną z tych ról dla subskrypcji lub dla grupy zasobów, w której znajduje się zasób: Właściciel, Współautor lub Czytelnik.
Oprócz wbudowanych ról istnieją dwie role specyficzne dla Defender dla Chmury:
- Czytelnik zabezpieczeń: użytkownik należący do tej roli ma dostęp tylko do odczytu do Defender dla Chmury. Użytkownik może wyświetlać zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.
- Administrator zabezpieczeń: użytkownik należący do tej roli ma taki sam dostęp jak czytelnik zabezpieczeń, a także może zaktualizować zasady zabezpieczeń oraz odrzucić alerty i zalecenia.
Zaleca się przypisanie użytkownikom najbardziej ograniczonej roli wystarczającej do wykonywania zadań. Na przykład przypisz rolę Czytelnik do użytkowników, którzy muszą wyświetlać tylko informacje o kondycji zabezpieczeń zasobu, ale nie podejmują działań, takich jak stosowanie zaleceń lub edytowanie zasad.
Role i dozwolone akcje
W poniższej tabeli przedstawiono role i dozwolone akcje w Defender dla Chmury.
| Akcja | Czytelnik zabezpieczeń / Czytelnik |
Administrator zabezpieczeń | Właściciel współautora / | Współautor | Właściciel |
|---|---|---|---|---|---|
| (Poziom grupy zasobów) | (Poziom subskrypcji) | (Poziom subskrypcji) | |||
| Dodawanie/przypisywanie inicjatyw (w tym standardów zgodności z przepisami) | - | ✔ | - | - | ✔ |
| Edytowanie zasad zabezpieczeń | - | ✔ | - | - | ✔ |
| Włączanie/wyłączanie planów usługi Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Odrzucanie alertów | - | ✔ | - | ✔ | ✔ |
| Stosowanie zaleceń dotyczących zabezpieczeń dla zasobu (i używanie poprawki) |
- | - | ✔ | ✔ | ✔ |
| Wyświetlanie alertów i zaleceń | ✔ | ✔ | ✔ | ✔ | ✔ |
| Zalecenia dotyczące wykluczonych zabezpieczeń | - | ✔ | - | - | ✔ |
| Konfigurowanie powiadomień e-mail | - | ✔ | ✔ | ✔ | ✔ |
Uwaga
Chociaż wymienione trzy role są wystarczające do włączania i wyłączania planów usługi Defender, aby włączyć wszystkie możliwości planu, wymagana jest rola właściciel.
Określona rola wymagana do wdrożenia składników monitorowania zależy od wdrażanych rozszerzeń. Dowiedz się więcej o składnikach monitorowania.
Role używane do automatycznej aprowizacji agentów i rozszerzeń
Aby zezwolić administratorowi zabezpieczeń na automatyczne aprowizowania agentów i rozszerzeń używanych w planach Defender dla Chmury, Defender dla Chmury używa korygowania zasad w podobny sposób do usługi Azure Policy. Aby użyć korygowania, Defender dla Chmury musi utworzyć jednostki usługi, nazywane również tożsamościami zarządzanymi, które przypisują role na poziomie subskrypcji. Na przykład jednostki usługi dla planu usługi Defender for Containers to:
| Jednostka usługi | Role |
|---|---|
| Usługa Defender for Containers aprowizacja profilu zabezpieczeń usługi AKS | • Współautor rozszerzenia Kubernetes •Współautorów • Współautor usługi Azure Kubernetes Service • Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja platformy Kubernetes z obsługą usługi Arc | • Współautor usługi Azure Kubernetes Service • Współautor rozszerzenia Kubernetes •Współautorów • Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja usługi Azure Policy dla platformy Kubernetes | • Współautor rozszerzenia Kubernetes •Współautorów • Współautor usługi Azure Kubernetes Service |
| Rozszerzenie zasad aprowizacji usługi Defender for Containers dla platformy Kubernetes z obsługą usługi Arc | • Współautor usługi Azure Kubernetes Service • Współautor rozszerzenia Kubernetes •Współautorów |
Uprawnienia na platformie AWS
Po dołączeniu łącznika usług Amazon Web Services (AWS) Defender dla Chmury utworzy role i przypisze uprawnienia na koncie platformy AWS. W poniższej tabeli przedstawiono role i uprawnienia przypisane przez każdy plan na koncie platformy AWS.
| plan Defender dla Chmury | Utworzono rolę | Uprawnienie przypisane na koncie platformy AWS |
|---|---|---|
| Defender CSPM | CspmMonitorAws | Aby odnaleźć uprawnienia zasobów platformy AWS, przeczytaj wszystkie zasoby z wyjątkiem: "consolidatedbilling:" "freetier:" "fakturowanie:" "płatności:" "rozliczenia:" "tax:" "cur:*" |
| CSPM w usłudze Defender Defender for Servers |
DefenderForCloud-AgentlessScanner | Aby utworzyć i wyczyścić migawki dysku (w zakresie według tagu) "CreatedBy": "Microsoft Defender dla Chmury" Uprawnienia: "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Uprawnienie do szyfrowaniaKeyCreation "kms:CreateKey" "kms:ListKeys" Uprawnienia do szyfrowaniaKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| CSPM w usłudze Defender Defender for Storage |
SensitiveDataDiscovery | Uprawnienia do odnajdywania zasobników S3 na koncie platformy AWS, uprawnienia do skanera Defender dla Chmury w celu uzyskania dostępu do danych w zasobnikach S3. Tylko do odczytu S3; Odszyfrowywanie usługi KMS "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Uprawnienia do odnajdywania ciem "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender for Servers | DefenderForCloud-DefenderForServers | Uprawnienia do konfigurowania dostępu sieciowego JIT: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender dla Kontenerów | DefenderForCloud-Containers-K8s | Uprawnienia do wyświetlania listy klastrów EKS i zbierania danych z klastrów EKS. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender dla Kontenerów | DefenderForCloud-DataCollection | Uprawnienia do grupy dzienników usługi CloudWatch utworzonej przez Defender dla Chmury "logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Uprawnienia do korzystania z kolejki SQS utworzonej przez Defender dla Chmury "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender dla Kontenerów | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Uprawnienia dostępu do strumienia dostarczania Usługi Kinesis Data Firehose utworzonego przez Defender dla Chmury "firehose:*" |
| Defender dla Kontenerów | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Uprawnienia dostępu do zasobnika S3 utworzonego przez Defender dla Chmury "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Uprawnienia do zbierania danych z klastrów EKS. Aktualizowanie klastrów EKS w celu obsługi ograniczeń adresów IP i tworzenie mapowania iamidentitymapping dla klastrów EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | Uprawnienia do skanowania obrazów z ECR i ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | Uprawnienia do instalowania usługi Azure Arc we wszystkich wystąpieniach usługi EC2 przy użyciu programu SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Uprawnienie do odnajdywania wystąpień usług pulpitu zdalnego na koncie platformy AWS, tworzenia migawki wystąpienia usług pulpitu zdalnego, — Wyświetlanie listy wszystkich baz danych/klastrów usług pulpitu zdalnego — Wyświetlanie listy wszystkich migawek bazy danych/klastra — Kopiowanie wszystkich migawek bazy danych/klastra — Usuwanie/aktualizowanie migawki bazy danych/klastra za pomocą prefiksu defenderfordatabases — Wyświetlanie listy wszystkich kluczy usługi KMS — Używaj wszystkich kluczy usługi KMS tylko dla usług pulpitu zdalnego na koncie źródłowym — Wyświetlanie listy kluczy usługi KMS z prefiksem tagu DefenderForDatabases — Tworzenie aliasu dla kluczy usługi KMS Uprawnienia wymagane do odnajdywania wystąpień usług pulpitu zdalnego "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Uprawnienia na platformie GCP
Po dołączeniu łącznika Google Cloud Projects (GCP) Defender dla Chmury utworzy role i przypisze uprawnienia do projektu GCP. W poniższej tabeli przedstawiono role i uprawnienia przypisane przez każdy plan w projekcie GCP.
| plan Defender dla Chmury | Utworzono rolę | Uprawnienie przypisane na koncie platformy AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Aby odnaleźć zasoby GCP resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Dostęp tylko do odczytu w celu pobrania i wyświetlenia listy aparatów obliczeniowych resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Uprawnienia do automatycznej aprowizacji usługi Defender dla baz danych ARC roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| CSPM w usłudze Defender Defender for Storage |
data-security-posture-storage | Uprawnienie do skanera Defender dla Chmury odnajdywania zasobników magazynu GCP w celu uzyskania dostępu do danych w zasobnikach magazynu GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM w usłudze Defender Defender for Storage |
data-security-posture-storage | Uprawnienie do skanera Defender dla Chmury odnajdywania zasobników magazynu GCP w celu uzyskania dostępu do danych w zasobnikach magazynu GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Uprawnienia do uzyskiwania szczegółowych informacji o zasobie organizacji. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM w usłudze Defender Defender for Servers |
MDCAgentlessScanningRole | Uprawnienia do skanowania dysków bez agenta: compute.disks.createSnapshot compute.instances.get |
| CSPM w usłudze Defender Usługa Defender dla serwerów |
cloudkms.cryptoKeyEncrypterDecrypter | Uprawnienia do istniejącej roli usługi KMS GCP są przyznawane w celu obsługi skanowania dysków zaszyfrowanych przy użyciu klucza CMEK |
| CSPM w usłudze Defender Defender dla Kontenerów |
mdc-containers-artifact-assess | Uprawnienie do skanowania obrazów z gar i GCR. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender dla Kontenerów | mdc-containers-k8s-operator | Uprawnienia do zbierania danych z klastrów GKE. Zaktualizuj klastry GKE, aby obsługiwały ograniczenia adresów IP. Role/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender dla Kontenerów | microsoft-defender-containers | Uprawnienia do tworzenia ujścia dziennika i zarządzania nim w celu kierowania dzienników do tematu Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender dla Kontenerów | ms-defender-containers-stream | Uprawnienia umożliwiające rejestrowanie wysyłania dzienników do podkatalogu pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Następne kroki
W tym artykule wyjaśniono, jak Defender dla Chmury używa kontroli dostępu opartej na rolach platformy Azure w celu przypisania uprawnień do użytkowników i zidentyfikowania dozwolonych akcji dla każdej roli. Teraz, gdy znasz przypisania ról potrzebne do monitorowania stanu zabezpieczeń subskrypcji, edytowania zasad zabezpieczeń i stosowania zaleceń, dowiedz się, jak:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla