Permissões no Microsoft Defender para Nuvem

O Defender para Nuvem usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso aos recursos de acordo com o acesso definido na função.

O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para Nuvem, você só vê as informações relacionadas a um recurso quando recebe uma destas funções para a assinatura ou para o grupo de recursos em que o recurso está: Proprietário, Colaborador ou Leitor

Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:

  • Leitor de Segurança: um usuário que pertence a essa função tem acesso somente leitura para o Defender para Nuvem. O usuário pode exibir as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
  • Administrador de Segurança: um usuário que pertence a essa função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar a política de segurança, ignorar alertas e recomendações e aplicar recomendações.

Recomendamos que você atribua a função menos permissiva necessária para os usuários realizarem suas tarefas. Por exemplo, atribua a função Leitor aos usuários que precisam apenas exibir informações sobre a integridade da segurança de um recurso, mas que não precisam executar nenhuma ação, como aplicar recomendações ou editar políticas.

Funções e ações permitidas

A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.

Ação Leitor de segurança /
Leitor
Administrador de Segurança Colaborador / Proprietário Colaborador Proprietário
(Nível do grupo de recursos) (Nível de assinatura) (Nível de assinatura)
Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) - - -
Editar política de segurança - - -
Habilitar/desabilitar planos do Microsoft Defender - -
Ignorar alertas - -
Aplicar as recomendações de segurança a um recurso
(e usar Correção)
- -
Exibir alertas e recomendações

A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre componentes de monitoramento.

Funções usadas para provisionar automaticamente agentes e extensões

Para permitir que a função Administração segurança provisione automaticamente agentes e extensões usados nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política de maneira semelhante à Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:

Entidade de Serviço Funções
Perfil de Segurança do AKS de provisionamento do Defender para contêineres • Colaborador da Extensão Kubernetes
• Colaborador
• Colaborador do Serviço de Kubernetes do Azure
• Colaborador do Log Analytics
ARC k8s de provisionamento do Defender para contêineres habilitado • Colaborador do Serviço de Kubernetes do Azure
• Colaborador da Extensão Kubernetes
• Colaborador
• Colaborador do Log Analytics
Complemento de provisionamento do Defender para contêineres Azure Policy para Kubernetes • Colaborador da Extensão Kubernetes
• Colaborador
• Colaborador do Serviço de Kubernetes do Azure
Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc • Colaborador do Serviço de Kubernetes do Azure
• Colaborador da Extensão Kubernetes
• Colaborador

Próximas etapas

Este artigo explicou como o Defender para Nuvem usa o Azure RBAC para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como: