Распространенные вопросы о разрешениях в Defender для облака

Как работают разрешения в Microsoft Defender для облака?

Microsoft Defender для облака использует управление доступом на основе ролей (Azure RBAC) с несколькими встроенными ролями, которые можно назначать пользователям, группам и службам в Azure.

Defender for Cloud оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака отображается только информация, связанная с ресурсом, когда вы назначаете роль владельца, участника или читателя для подписки или группы ресурсов, к которой принадлежит ресурс.

Дополнительные сведения о ролях и разрешенных действиях в Defender для облака см. в этой статье.

Кто может изменять политику безопасности?

Изменить политику безопасности может пользователь с правами администратора безопасности, владельца или участника этой подписки.

Дополнительные сведения о настройке политики безопасности см. в статье Настройка политик безопасности в Microsoft Defender для облака.

Какие разрешения используются бессерверным сканированием?

Здесь перечислены роли и разрешения, используемые Defender для облака для выполнения бессерверного сканирования в средах Azure, AWS и GCP. В Azure эти разрешения автоматически добавляются в подписки при включении сканирования без агента. В AWS эти разрешения добавляются в стек CloudFormation в соединителе AWS и в разрешения GCP добавляются в скрипт подключения в соединителе GCP.

  • Разрешения Azure. Встроенная роль "Оператор сканера виртуальных машин" имеет разрешения только для чтения для дисков виртуальных машин, необходимых для процесса моментального снимка. Подробный список разрешений:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Если включен охват зашифрованных дисков CMK, используются следующие дополнительные разрешения:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action
  • Разрешения AWS. Роль VmScanner назначается сканеру при включении сканирования без агента. Эта роль имеет минимальный набор разрешений для создания и очистки моментальных снимков (в области по тегу) и проверки текущего состояния виртуальной машины. Подробные разрешения:

    Атрибут Значение
    SID VmScannerDeleteSnapshotAccess
    Действия ec2:DeleteSnapshot
    Условия "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Microsoft Defender для облака"}
    Ресурсы arn:aws:ec2::snapshot/
    Действие Разрешить
    Атрибут Значение
    SID VmScannerAccess
    Действия ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Условия нет
    Ресурсы arn:aws:ec2::instance/
    arn:aws:ec2::snapshot/
    arn:aws:ec2:volume/
    Действие Разрешить
    Атрибут Значение
    SID VmScannerVerificationAccess
    Действия ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Условия нет
    Ресурсы *
    Действие Разрешить
    Атрибут Значение
    SID VmScannerEncryptionKeyCreation
    Действия kms:CreateKey
    Условия нет
    Ресурсы *
    Действие Разрешить
    Атрибут Значение
    SID VmScannerEncryptionKeyManagement
    Действия kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Условия нет
    Ресурсы arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Действие Разрешить
    Атрибут Значение
    SID VmScannerEncryptionKeyUsage
    Действия kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Условия нет
    Ресурсы arn:aws:kms::${AWS::AccountId}:key/
    Действие Разрешить
  • Разрешения GCP: во время подключения создается новая пользовательская роль с минимальными разрешениями, необходимыми для получения состояния экземпляров и создания моментальных снимков. Кроме того, разрешения на существующую роль GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK. Вот эти роли:

    • role/MDCAgentlessScanningRole, предоставленные учетной записи службы Defender для облака с разрешениями: compute.disks.createSnapshot, compute.instances.get
    • role/cloudkms.cryptoKeyEncrypterDecrypter, предоставленный агенту службы подсистемы вычислений Defender для облака

Каковы минимальные разрешения политики SAS, необходимые при экспорте данных в Центры событий Azure?

Отправка — это минимальные необходимые разрешения политики SAS. Пошаговые инструкции см . в шаге 1. Создание пространства имен Центров событий и концентратора событий с разрешениями на отправку в этой статье.