Como funcionam as permissões no Microsoft Defender for Cloud?
O Microsoft Defender for Cloud usa o controle de acesso baseado em função do Azure (Azure RBAC), que fornece funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure.
O Defender for Cloud avalia a configuração dos seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender for Cloud, você só vê informações relacionadas a um recurso quando lhe é atribuída a função de Proprietário, Colaborador ou Leitor para a assinatura ou grupo de recursos ao qual um recurso pertence.
Consulte Permissões no Microsoft Defender for Cloud para saber mais sobre funções e ações permitidas no Defender for Cloud.
Quem pode modificar uma política de segurança?
Para modificar uma política de segurança, tem de ser um Administrador de Segurança ou um Proprietário ou Colaborador dessa subscrição.
Para saber como configurar uma política de segurança, consulte Definindo políticas de segurança no Microsoft Defender for Cloud.
Quais permissões são usadas pela verificação sem agente?
As funções e permissões usadas pelo Defender for Cloud para executar a verificação sem agente em seus ambientes Azure, AWS e GCP estão listadas aqui. No Azure, essas permissões são adicionadas automaticamente às suas assinaturas quando você habilita a verificação sem agente. Na AWS, essas permissões são adicionadas à pilha do CloudFormation no conector da AWS e, no GCP, as permissões são adicionadas ao script de integração no conector GCP.
Permissões do Azure - A função interna "operador de scanner de VM" tem permissões somente leitura para discos de VM que são necessários para o processo de instantâneo. A lista detalhada de permissões é:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Quando a cobertura para discos criptografados CMK está habilitada, estas permissões adicionais são usadas:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Permissões da AWS - A função "VmScanner" é atribuída ao mecanismo de varredura quando você habilita a verificação sem agente. Essa função tem a permissão mínima definida para criar e limpar instantâneos (com escopo por tag) e verificar o estado atual da VM. As permissões detalhadas são:
Atributo Value SID VmScannerDeleteSnapshotAccess Ações ec2:DeleteSnapshot Condições "StringEquals":{"ec2:ResourceTag/CreatedBy":
"Microsoft Defender para Cloud"}Recursos arn:aws:ec2:::snapshot/ Efeito Permitir Atributo Value SID VmScannerAccess Ações ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CriarTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotCondições Nenhuma Recursos arn:aws:ec2:::instância/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/Efeito Permitir Atributo Value SID VmScannerVerificationAccess Ações ec2:DescribeSnapshots
ec2:DescribeInstanceStatusCondições Nenhuma Recursos * Efeito Permitir Atributo Value SID VmScannerEncryptionKeyCreation Ações kms:CreateKey Condições Nenhuma Recursos * Efeito Permitir Atributo Value SID VmScannerEncryptionKeyManagement Ações kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsCondições Nenhuma Recursos arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyEfeito Permitir Atributo Value SID VmScannerEncryptionKeyUsage Ações kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromCondições Nenhuma Recursos arn:aws:kms::${AWS::AccountId}:key/ Efeito Permitir Permissões GCP: durante a integração - uma nova função personalizada é criada com permissões mínimas necessárias para obter o status das instâncias e criar instantâneos. Além disso, as permissões para uma função KMS existente do GCP são concedidas para dar suporte à verificação de discos criptografados com CMEK. As funções são:
- roles/MDCAgentlessScanningRole concedido à conta de serviço do Defender for Cloud com permissões: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter concedido ao agente de serviço do mecanismo de computação do Defender for Cloud
Quais são as permissões mínimas de política SAS necessárias ao exportar dados para os Hubs de Eventos do Azure?
Send é o mínimo de permissões de política SAS necessárias. Para obter instruções passo a passo, consulte Etapa 1: Criar um namespace de Hubs de Eventos e um hub de eventos com permissões de envio neste artigo.