Definir funções e permissões
Microsoft Defender para a Cloud utiliza o controlo de acesso baseado em funções do Azure (RBAC do Azure) para fornecer funções incorporadas. Pode atribuir estas funções a utilizadores, grupos e serviços no Azure para conceder aos utilizadores acesso aos recursos de acordo com o acesso definido na função.
O Defender para a Cloud avalia a configuração dos seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para a Cloud, só verá informações relacionadas com um recurso quando lhe for atribuída uma destas funções para a subscrição ou para o grupo de recursos em que o recurso se encontra: Proprietário, Contribuidor ou Leitor.
Além das funções incorporadas, existem duas funções específicas do Defender para a Cloud:
- Leitor de Segurança: um utilizador que pertence a esta função tem acesso só de leitura ao Defender para Cloud. O utilizador pode ver recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administração de segurança: um utilizador que pertence a esta função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar a política de segurança, dispensar alertas e recomendações e aplicar recomendações.
Recomendamos que atribua a função menos permissiva necessária para que os utilizadores concluam as respetivas tarefas. Por exemplo, atribua a função Leitor aos utilizadores que apenas precisam de ver informações sobre o estado de funcionamento de segurança de um recurso, mas que não tomam medidas, como aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela seguinte apresenta funções e ações permitidas no Defender para a Cloud.
| Ação | Leitor de Segurança / Leitor |
Administrador de Segurança | Contribuidor / Proprietário | Contribuinte | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de subscrição) | (Nível de subscrição) | |||
| Adicionar/atribuir iniciativas (incluindo) normas de conformidade regulamentar) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Ativar/desativar planos de Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Dispensar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendações de segurança para um recurso (e utilizar Correção) | - | - | ✔ | ✔ | ✔ |
| Ver alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
A função específica necessária para implementar componentes de monitorização depende da extensão que está a implementar. Saiba mais sobre os componentes de monitorização.
Funções utilizadas para aprovisionar automaticamente agentes e extensões
Para permitir que a função Administração de Segurança aprovisione automaticamente agentes e extensões utilizados nos planos do Defender para Cloud, o Defender para Cloud utiliza a remediação de políticas de forma semelhante à Azure Policy. Para utilizar a remediação, o Defender para Cloud tem de criar principais de serviço, também denominados identidades geridas que atribuem funções ao nível da subscrição. Por exemplo, os principais de serviço do plano do Defender para Contentores são:
| Principal de Serviço | Funções |
|---|---|
| Perfil de Segurança do AKS de aprovisionamento do Defender para Contentores | • Contribuidor da Extensão do Kubernetes • Contribuidor • Contribuidor Azure Kubernetes Service • Contribuidor do Log Analytics |
| Aprovisionamento do ARC K8s do Defender para Contentores ativado | • Contribuidor Azure Kubernetes Service • Contribuidor da Extensão do Kubernetes • Contribuidor • Contribuidor do Log Analytics |
| Aprovisionamento do Defender para Contentores Azure Policy Addon para Kubernetes | • Contribuidor da Extensão do Kubernetes • Contribuidor • Contribuidor Azure Kubernetes Service |
| Extensão da Política de Aprovisionamento do Defender para Contentores para Kubernetes compatível com o Arc | • Contribuidor Azure Kubernetes Service • Contribuidor da Extensão do Kubernetes • Contribuidor |
Passos seguintes
Este artigo explica como o Defender para Cloud utiliza o RBAC do Azure para atribuir permissões aos utilizadores e identificou as ações permitidas para cada função. Agora que está familiarizado com as atribuições de funções necessárias para monitorizar o estado de segurança da sua subscrição, editar políticas de segurança e aplicar recomendações, saiba como: