Funções de usuário e permissões
O Microsoft Defender para Nuvem usa o RBAC do Azure (controle de acesso baseado em função do Azure) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso aos recursos de acordo com o acesso definido na função.
O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para Nuvem, você só vê as informações relacionadas a um recurso quando recebe uma destas funções para a assinatura ou o grupo de recursos em que ele está: Proprietário, Colaborador ou Leitor.
Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:
- Leitor de Segurança: um usuário que pertence a essa função tem acesso somente leitura para o Defender para Nuvem. O usuário pode exibir as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de segurança: um usuário que pertence a essa função tem os mesmos direitos do Leitor de segurança e também pode atualizar a política de segurança, bem como ignorar alertas e recomendações.
Recomendamos que você atribua a função menos permissiva necessária para os usuários realizarem suas tarefas. Por exemplo, atribua a função Leitor aos usuários que precisam apenas exibir informações sobre a integridade da segurança de um recurso, mas que não precisam executar nenhuma ação, como aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.
| Ação | Leitor de segurança / Leitor |
Administrador de Segurança | Colaborador / Proprietário | Colaborador | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de assinatura) | (Nível de assinatura) | |||
| Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Habilitar/desabilitar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar as recomendações de segurança a um recurso (e usar Correção) |
- | - | ✔ | ✔ | ✔ |
| Exibir alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendações de isenção de segurança | - | ✔ | - | - | ✔ |
| Configurar notificações por email | - | ✔ | ✔ | ✔ | ✔ |
Observação
Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar planos do Defender, para habilitar todos os recursos de um plano, a função de Proprietário é necessária.
A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre componentes de monitoramento.
Funções usadas para provisionar automaticamente agentes e extensões
Para permitir que a função Administração segurança provisione automaticamente agentes e extensões usados nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política de maneira semelhante à Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:
| Entidade de Serviço | Funções |
|---|---|
| Perfil de Segurança do AKS de provisionamento do Defender para contêineres | • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Serviço de Kubernetes do Azure • Colaborador do Log Analytics |
| Defender para contêineres provisionando Kubernetes habilitados para Arc | • Colaborador do Serviço de Kubernetes do Azure • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Log Analytics |
| Provisionamento do Defender para contêineres do Azure Policy para Kubernetes | • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Serviço de Kubernetes do Azure |
| Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc | • Colaborador do Serviço de Kubernetes do Azure • Colaborador da Extensão Kubernetes • Colaborador |
Permissões no AWS
Quando você integra um conector do Amazon Web Services (AWS), o Defender para Nuvem criará funções e atribuirá permissões em sua conta do AWS. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em sua conta do AWS.
| Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
|---|---|---|
| GPSN do Defender | CspmMonitorAws | Para descobrir permissões de recursos do AWS, leia todos os recursos, exceto: "consolidatedbilling:" "freetier:" "invoicing:" "payments:" "billing:" "tax:" "cur:*" |
| GPSN do Defender Defender para Servidores |
DefenderForCloud-AgentlessScanner | Para criar e limpar instantâneos de disco (delimitados por marca) “CreatedBy”: Permissões do "Microsoft Defender para Nuvem": "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Permissão para EncryptionKeyCreation "kms:CreateKey" "kms:ListKeys" Permissões para EncryptionKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| GPSN do Defender Defender para Armazenamento |
SensitiveDataDiscovery | Permissões para descobrir buckets S3 na conta do AWS, permissão para o scanner do Defender para Nuvem acessar dados nos buckets S3. S3 somente leitura; descriptografia do KMS "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permissões para descoberta de CIEM "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender para Servidores | DefenderForCloud-DefenderForServers | Permissões para configurar o acesso à rede JIT: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender para Contêineres | DefenderForCloud-Containers-K8s | Permissões para listar clusters EKS e coletar dados de clusters EKS. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender para Contêineres | DefenderForCloud-DataCollection | Permissões para o Grupo de Logs do CloudWatch criado pelo Defender para Nuvem “logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Permissões para usar a fila do SQS criada pelo Defender para Nuvem "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender para Contêineres | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Permissões para acessar o fluxo de entrega do Kinesis Data Firehose criado pelo Defender para Nuvem "firehose:*" |
| Defender para Contêineres | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Permissões para acessar o bucket S3 criado pelo Defender para Nuvem "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender para contêineres GPSN do Defender |
MDCContainersAgentlessDiscoveryK8sRole | Permissões para coletar dados de clusters do EKS. Atualizar clusters do EKS para dar suporte à restrição de IP e criar iamidentitymapping para clusters do EKS “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender para contêineres GPSN do Defender |
MDCContainersImageAssessmentRole | Permissões para examinar imagens do ECR e do ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender para Servidores | DefenderForCloud-ArcAutoProvisioning | Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| GPSN do Defender | DefenderForCloud-DataSecurityPostureDB | Permissão para descobrir instâncias de RDS na conta do AWS, criar um instantâneo da instância de RDS, – Listar todos os BDs/clusters do RDS – Copiar todos os instantâneos de BD/cluster – Copiar todos os instantâneos de BD/cluster – Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases – Listar todas as chaves KMS – Usar todas as chaves de KMS somente para os RDS na conta de origem – Listar chaves de KMS com o prefixo de marca DefenderForDatabases – Criar alias para chaves de KMS Permissões necessárias para descobrir, instâncias RDS "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Permissões no GCP
Quando você integra um conector do Google Cloud Projects (GCP), o Defender para Nuvem criará funções e atribuirá permissões ao seu projeto GCP. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em seu projeto GCP.
| Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
|---|---|---|
| GPSN do Defender | MDCCspmCustomRole | Para descobrir recursos do GCP resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender para Servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acesso somente leitura para obter e listar o Mecanismo de Computação resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender para Banco de Dados | defender-for-databases-arc-ap | Permissões para provisionamento automático ARC do Defender para bancos de dados roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSN do Defender | microsoft-defender-ciem | Permissões para obter detalhes sobre o recurso da organização. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| GPSN do Defender Defender para Servidores |
MDCAgentlessScanningRole | Permissões para verificação de disco sem agente: compute.disks.createSnapshot compute.instances.get |
| GPSN do Defender Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | As permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK |
| GPSN do Defender Defender para Contêineres |
mdc-containers-artifact-assess | Permissão para examinar imagens de GAR e GCR. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender para Contêineres | mdc-containers-k8s-operator | Permissões para coletar dados de clusters do GKE. Atualize os clusters do GKE para dar suporte à restrição de IP. Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender para Contêineres | microsoft-defender-containers | Permissões para criar e gerenciar o coletor de logs para rotear logs para um tópico do Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender para Contêineres | ms-defender-containers-stream | Permissões para permitir que o log de eventos envie logs para o pub sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Próximas etapas
Este artigo explicou como o Defender para Nuvem usa o Azure RBAC para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como:
- Definir políticas de segurança no Defender para Nuvem
- Gerencie recomendações de segurança no Defender para Nuvem
- Gerencie e responda a alertas de segurança na Defender para Nuvem
- Monitoring partner solutions with Azure Security Center (Monitorando soluções de parceiros com a Central de Segurança do Azure)
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de