Definir funções e permissões

O Microsoft Defender for Cloud usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso a recursos de acordo com o acesso definido na função.

O Defender for Cloud avalia a configuração dos seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender for Cloud, você só vê informações relacionadas a um recurso quando recebe uma dessas funções para a assinatura ou para o grupo de recursos em que o recurso está: Proprietário, Colaborador ou Leitor.

Além das funções internas, há duas funções específicas do Defender for Cloud:

  • Leitor de segurança: um usuário que pertence a essa função tem acesso somente leitura ao Defender for Cloud. O usuário pode exibir recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
  • Administrador de segurança: um usuário que pertence a essa função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar a política de segurança e descartar alertas e recomendações.

Recomendamos que atribua a função menos permissiva necessária para que os utilizadores concluam as respetivas tarefas. Por exemplo, atribua a função Leitor a usuários que só precisam exibir informações sobre a integridade da segurança de um recurso, mas não tomar medidas, como aplicar recomendações ou editar políticas.

Funções e ações permitidas

A tabela a seguir exibe funções e ações permitidas no Defender for Cloud.

Ação Leitor de Segurança /
Leitor
Administrador de Segurança Proprietário do / Colaborador Contribuinte Proprietário
(Nível do grupo de recursos) (Nível de subscrição) (Nível de subscrição)
Adicionar/atribuir iniciativas (incluindo) normas de conformidade regulamentar) - - -
Editar política de segurança - - -
Ativar/desativar planos do Microsoft Defender - -
Ignorar alertas - -
Aplicar recomendações de segurança para um recurso
(e usar Correção)
- -
Ver alertas e recomendações
Recomendações de segurança isentas - - -

A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre o monitoramento de componentes.

Funções usadas para provisionar automaticamente agentes e extensões

Para permitir que a função de Administrador de Segurança provisione automaticamente agentes e extensões usados nos planos do Defender for Cloud, o Defender for Cloud usa a correção de políticas de maneira semelhante à Política do Azure. Para usar a correção, o Defender for Cloud precisa criar entidades de serviço, também chamadas de identidades gerenciadas que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano Defender for Containers são:

Principal de Serviço Funções
Defender for Containers provisionamento AKS Security Profile • Colaborador de Extensão Kubernetes
• Colaborador
• Colaborador do Serviço Kubernetes do Azure
• Colaborador do Log Analytics
Kubernetes habilitado para Arc do Defender for Containers • Colaborador do Serviço Kubernetes do Azure
• Colaborador de Extensão Kubernetes
• Colaborador
• Colaborador do Log Analytics
Defender for Containers provisionando a Política do Azure para Kubernetes • Colaborador de Extensão Kubernetes
• Colaborador
• Colaborador do Serviço Kubernetes do Azure
Extensão da política de provisionamento do Defender for Containers para Kubernetes habilitado para Arc • Colaborador do Serviço Kubernetes do Azure
• Colaborador de Extensão Kubernetes
• Colaborador

Próximos passos

Este artigo explicou como o Defender for Cloud usa o RBAC do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança da sua assinatura, editar políticas de segurança e aplicar recomendações, saiba como: