Funções de usuário e permissões
O Microsoft Defender para Nuvem usa o RBAC do Azure (controle de acesso baseado em função do Azure) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso aos recursos de acordo com o acesso definido na função.
O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para Nuvem, você só vê as informações relacionadas a um recurso quando recebe uma destas funções para a assinatura ou o grupo de recursos em que ele está: Proprietário, Colaborador ou Leitor.
Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:
- Leitor de Segurança: um usuário que pertence a essa função tem acesso somente leitura para o Defender para Nuvem. O usuário pode exibir as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de segurança: um usuário que pertence a essa função tem os mesmos direitos do Leitor de segurança e também pode atualizar a política de segurança, bem como ignorar alertas e recomendações.
Recomendamos que você atribua a função menos permissiva necessária para os usuários realizarem suas tarefas. Por exemplo, atribua a função Leitor aos usuários que precisam apenas exibir informações sobre a integridade da segurança de um recurso, mas que não precisam executar nenhuma ação, como aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.
| Ação | Leitor de segurança / Leitor |
Administrador de Segurança | Colaborador / Proprietário | Colaborador | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de assinatura) | (Nível de assinatura) | |||
| Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Habilitar/desabilitar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar as recomendações de segurança a um recurso (e usar Correção) |
- | - | ✔ | ✔ | ✔ |
| Exibir alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendações de isenção de segurança | - | ✔ | - | - | ✔ |
A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre componentes de monitoramento.
Funções usadas para provisionar automaticamente agentes e extensões
Para permitir que a função Administração segurança provisione automaticamente agentes e extensões usados nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política de maneira semelhante à Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:
| Entidade de Serviço | Funções |
|---|---|
| Perfil de Segurança do AKS de provisionamento do Defender para contêineres | • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Serviço de Kubernetes do Azure • Colaborador do Log Analytics |
| Defender para contêineres provisionando Kubernetes habilitados para Arc | • Colaborador do Serviço de Kubernetes do Azure • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Log Analytics |
| Provisionamento do Defender para contêineres do Azure Policy para Kubernetes | • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Serviço de Kubernetes do Azure |
| Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc | • Colaborador do Serviço de Kubernetes do Azure • Colaborador da Extensão Kubernetes • Colaborador |
Próximas etapas
Este artigo explicou como o Defender para Nuvem usa o Azure RBAC para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como:
- Definir políticas de segurança no Defender para Nuvem
- Gerencie recomendações de segurança no Defender para Nuvem
- Gerencie e responda a alertas de segurança na Defender para Nuvem
- Monitoring partner solutions with Azure Security Center (Monitorando soluções de parceiros com a Central de Segurança do Azure)