Definir funções e permissões
O Microsoft Defender for Cloud usa o controle de acesso baseado em função do Azure (Controle de Acesso Baseado em Função do Azure) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso a recursos de acordo com o acesso definido na função.
O Defender for Cloud avalia a configuração dos seus recursos e identifica problemas de segurança e vulnerabilidades. No Defender for Cloud, você pode exibir informações relacionadas a um recurso quando tiver uma dessas funções atribuídas para a assinatura ou o grupo de recursos ao qual o recurso pertence: Proprietário, Colaborador ou Leitor.
Além das funções internas, há duas funções específicas do Defender for Cloud:
- Leitor de segurança: um usuário que pertence a essa função tem acesso somente leitura ao Defender for Cloud. O usuário pode exibir recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de segurança: um usuário que pertence a essa função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar a política de segurança e descartar alertas e recomendações.
Recomendamos atribuir a função menos permissiva necessária para que os usuários concluam suas tarefas.
Por exemplo, você pode atribuir a função Leitor a usuários que só precisam exibir informações de integridade de segurança de um recurso sem tomar nenhuma ação. Os usuários com uma função de Leitor podem aplicar recomendações ou políticas de edição.
Funções e ações permitidas
A tabela a seguir exibe funções e ações permitidas no Defender for Cloud.
| Ação | Leitor de Segurança / Leitor |
Administrador de Segurança | Proprietário do / Colaborador | Contribuinte | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de subscrição) | (Nível de subscrição) | |||
| Adicionar/atribuir iniciativas (incluindo normas de conformidade regulamentar) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Ativar/desativar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendações de segurança para um recurso (Usar correção) |
- | - | ✔ | ✔ | ✔ |
| Ver alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendações de segurança isentas | - | ✔ | - | - | ✔ |
| Configurar as notificações por e-mail | - | ✔ | ✔ | ✔ | ✔ |
Nota
Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar os planos do Defender, para habilitar todos os recursos de um plano, a função Proprietário é necessária.
A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre o monitoramento de componentes.
Funções usadas para provisionar automaticamente agentes e extensões
Para permitir que a função de Administrador de Segurança provisione automaticamente agentes e extensões usados nos planos do Defender for Cloud, o Defender for Cloud usa a correção de políticas de maneira semelhante à Política do Azure. Para usar a correção, o Defender for Cloud precisa criar entidades de serviço, também chamadas de identidades gerenciadas que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano Defender for Containers são:
| Principal de Serviço | Funções |
|---|---|
| Defender for Containers provisionando o Perfil de Segurança do Serviço Kubernetes do Azure (AKS) | * Contribuidor de extensão Kubernetes * Contribuidor * Azure Kubernetes Service Contributor * Colaborador do Log Analytics |
| Kubernetes habilitado para Arc do Defender for Containers | * Azure Kubernetes Service Contributor * Contribuidor de extensão Kubernetes * Contribuidor * Colaborador do Log Analytics |
| Defender for Containers provisionando a Política do Azure para Kubernetes | * Contribuidor de extensão Kubernetes * Contribuidor * Azure Kubernetes Service Contributor |
| Extensão da política de provisionamento do Defender for Containers para Kubernetes habilitado para Arc | * Azure Kubernetes Service Contributor * Contribuidor de extensão Kubernetes * Contribuidor |
Permissões na AWS
Quando você integra um conector da Amazon Web Services (AWS), o Defender for Cloud cria funções e atribui permissões à sua conta da AWS. A tabela a seguir mostra as funções e permissões atribuídas por cada plano em sua conta da AWS.
| Plano Defender for Cloud | Função criada | Permissão atribuída na conta da AWS |
|---|---|---|
| Gestão de Postura de Segurança na Nuvem do Defender (CSPM) | CspmMonitorAws | Para descobrir permissões de recursos da AWS, leia todos os recursos, exceto: Faturamento consolidado:* mais livre:* faturação:* pagamentos:* Faturação:* imposto:* cur:* |
| Zagueiro CSPM Defender para Servidores |
DefenderForCloud-AgentlessScanner | Para criar e limpar instantâneos de disco (com escopo por tag) "CreatedBy": "Microsoft Defender for Cloud" Permissões: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CriarTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permissão para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permissões para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Zagueiro CSPM Defender para armazenamento |
SensitiveDataDiscovery | Permissões para descobrir buckets do S3 na conta da AWS, permissão para o scanner do Defender for Cloud acessar dados nos buckets do S3 S3 somente leitura Desencriptação KMS kms:Desencriptar |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permissões para Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender para Servidores | DefenderForCloud-DefenderForServers | Permissões para configurar o acesso à rede JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescreverSub-redes ec2:DescreverSecurityGroups |
| Defender para Contentores | DefenderForCloud-Containers-K8s | Permissões para listar clusters EKS e coletar dados de clusters EKS eks:UpdateClusterConfig eks:DescribeCluster |
| Defender para Contentores | DefenderForCloud-DataCollection | Permissões para o CloudWatch Log Group criado pelo Defender for Cloud logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Permissões para usar a fila SQS criada pelo Defender for Cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender para Contentores | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Permissões para acessar o fluxo de entrega do Kinesis Data Firehose criado pelo Defender for Cloud Mangueira:* |
| Defender para Contentores | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Permissões para acessar o bucket do S3 criado pelo Defender for Cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender para contentores GPSC do Defender |
MDCContainersAgentlessDiscoveryK8sRole | Permissões para coletar dados de clusters EKS. Atualizando clusters EKS para suportar restrição de IP e criar iamidentitymapping para clusters EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender para contentores GPSC do Defender |
MDCContainersImageAssessmentRole | Permissões para digitalizar imagens de ECR e ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender para Servidores | DefenderForCloud-ArcAutoProvisioning | Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| GPSC do Defender | DefenderForCloud-DataSecurityPostureDB | Permissão para descobrir instâncias do RDS na conta da AWS, criar snapshot da instância do RDS, - Listar todos os DBs/clusters RDS - Listar todos os snapshots de banco de dados/cluster - Copie todos os snapshots de banco de dados/cluster - Excluir/atualizar DB/cluster snapshot com prefixo defenderfordatabases - Listar todas as chaves KMS - Use todas as chaves KMS apenas para RDS na conta de origem - Listar chaves KMS com prefixo de tag DefenderForDatabases - Criar alias para chaves KMS Permissões necessárias para descobrir instâncias RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encriptar kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permissões no GCP
Quando você integra um conector do Google Cloud Platforms (GCP), o Defender for Cloud cria funções e atribui permissões ao seu projeto GCP. A tabela a seguir mostra as funções e permissões atribuídas por cada plano em seu projeto GCP.
| Plano Defender for Cloud | Função criada | Permissão atribuída na conta da AWS |
|---|---|---|
| GPSC do Defender | MDCCspmCustomRole | Essas permissões permitem que a função CSPM descubra e analise recursos dentro da organização: Permite que a função exiba e organizações, projetos e pastas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizações.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite o processo de autoprovisionamento de novos projetos e remoção de projetos excluídos: resourcemanager.projects.get resourcemanager.projects.list Permite que a função habilite os serviços do Google Cloud usados para a descoberta de recursos: serviceusage.services.enable Usado para criar e listar funções do IAM: iam.roles.create iam.roles.lista Permite que a função atue como uma conta de serviço e obtenha permissão para recursos: iam.serviceAccounts.atas Permite que a função visualize detalhes do projeto e defina metadados de instância comuns: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender para Servidores | Microsoft-Defender-for-Servers azure-arc-for-servers-onboard |
Acesso somente leitura para obter e listar recursos do Compute Engine: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender para banco de dados | defender-for-databases-arc-ap | Permissões para o Defender para bancos de dados ARC provisionamento automático compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Zagueiro CSPM Defender para armazenamento |
dados-segurança-postura-armazenamento | Permissão para o scanner do Defender for Cloud descobrir buckets de armazenamento GCP, para acessar dados nos buckets de armazenamento GCP storage.objects.list storage.objects.get storage.buckets.get |
| Zagueiro CSPM Defender para armazenamento |
dados-segurança-postura-armazenamento | Permissão para o scanner do Defender for Cloud descobrir buckets de armazenamento GCP, para acessar dados nos buckets de armazenamento GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSC do Defender | Microsoft-Defender-Ciem | Permissões para obter detalhes sobre o recurso da organização. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizações.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Zagueiro CSPM Defender para Servidores |
MDCAgentlessScanningRole | Permissões para varredura de disco sem agente: compute.disks.createSnapshot compute.instances.get |
| Zagueiro CSPM Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | As permissões para uma função KMS existente do GCP são concedidas para dar suporte à varredura de discos criptografados com CMEK |
| Zagueiro CSPM Defender para Contentores |
mdc-containers-artifact-assess | Permissão para digitalizar imagens de GAR e GCR. artifactregistry.reader storage.objectViewer |
| Defender para Contentores | mdc-containers-k8s-operador | Permissões para coletar dados de clusters GKE. Atualize os clusters GKE para suportar a restrição de IP. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender para Contentores | Microsoft-Defender-Containers | Permissões para criar e gerenciar o coletor de logs para rotear logs para um tópico Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender para Contentores | ms-defender-containers-stream | Permissões para permitir que o registro em log envie logs para pub sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Próximos passos
Este artigo explicou como o Defender for Cloud usa o Controle de Acesso Baseado em Função do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança da sua assinatura, editar políticas de segurança e aplicar recomendações, saiba como: