Ange roller och behörigheter
Microsoft Defender för molnet använder Rollbaserad åtkomstkontroll i Azure (Rollbaserad åtkomstkontroll i Azure) för att tillhandahålla inbyggda roller. Du kan tilldela dessa roller till användare, grupper och tjänster i Azure för att ge användarna åtkomst till resurser enligt den åtkomst som definieras i rollen.
Defender för molnet utvärderar konfigurationen av dina resurser och identifierar säkerhetsproblem och sårbarheter. I Defender för molnet kan du visa information som är relaterad till en resurs när du har en av dessa roller tilldelade för prenumerationen eller resursgruppen som resursen tillhör: Ägare, Deltagare eller Läsare.
Förutom de inbyggda rollerna finns det två roller som är specifika för Defender för molnet:
- Säkerhetsläsare: En användare som tillhör den här rollen har skrivskyddad åtkomst till Defender för molnet. Användaren kan visa rekommendationer, aviseringar, en säkerhetsprincip och säkerhetstillstånd, men kan inte göra ändringar.
- Säkerhetsadministratör: En användare som tillhör den här rollen har samma åtkomst som säkerhetsläsaren och kan även uppdatera säkerhetsprincipen och avvisa aviseringar och rekommendationer.
Vi rekommenderar att du tilldelar den minst tillåtande roll som krävs för att användarna ska kunna utföra sina uppgifter.
Du kan till exempel tilldela rollen Läsare till användare som bara behöver visa säkerhetshälsoinformation för en resurs utan att vidta några åtgärder. Användare med rollen Läsare kan tillämpa rekommendationer eller redigeringsprinciper.
I följande tabell visas roller och tillåtna åtgärder i Defender för molnet.
Åtgärd | Säkerhetsläsare / Läsare |
Säkerhetsadministratör | Deltagarägare / | Deltagare | Ägare |
---|---|---|---|---|---|
(Resursgruppsnivå) | (Prenumerationsnivå) | (Prenumerationsnivå) | |||
Lägga till/tilldela initiativ (inklusive standarder för regelefterlevnad) | - | ✔ | - | - | ✔ |
Redigera säkerhetsprincip | - | ✔ | - | - | ✔ |
Aktivera/inaktivera Microsoft Defender-planer | - | ✔ | - | ✔ | ✔ |
Stäng aviseringar | - | ✔ | - | ✔ | ✔ |
Tillämpa säkerhetsrekommendationer för en resurs (Använd korrigering) |
- | - | ✔ | ✔ | ✔ |
Visa aviseringar och rekommendationer | ✔ | ✔ | ✔ | ✔ | ✔ |
Undantagna säkerhetsrekommendationer | - | ✔ | - | - | ✔ |
Konfigurera e-postaviseringar | - | ✔ | ✔ | ✔ | ✔ |
Anteckning
De tre nämnda rollerna räcker för att aktivera och inaktivera Defender-planer, men för att aktivera alla funktioner i en plan krävs rollen Ägare.
Vilken roll som krävs för att distribuera övervakningskomponenter beror på vilket tillägg du distribuerar. Läs mer om övervakningskomponenter.
Om du vill tillåta att rollen Säkerhetsadministratör automatiskt etablerar agenter och tillägg som används i Defender för molnet planer använder Defender för molnet principreparation på ett liknande sätt som Azure Policy. Om du vill använda reparation måste Defender för molnet skapa tjänstens huvudnamn, även kallade hanterade identiteter som tilldelar roller på prenumerationsnivå. Tjänstens huvudnamn för Defender for Containers-planen är till exempel:
Tjänstens huvudnamn | Roller |
---|---|
Defender for Containers etablerar Säkerhetsprofil för Azure Kubernetes Service (AKS) | * Kubernetes-tilläggsdeltagare *Bidragsgivare * Azure Kubernetes Service-deltagare * Log Analytics-deltagare |
Etablering av Arc-aktiverade Kubernetes i Defender för containrar | * Azure Kubernetes Service-deltagare * Kubernetes-tilläggsdeltagare *Bidragsgivare * Log Analytics-deltagare |
Etablering av Azure Policy för Kubernetes i Defender för containrar | * Kubernetes-tilläggsdeltagare *Bidragsgivare * Azure Kubernetes Service-deltagare |
Etableringsprinciptillägg för Defender för containrar för Arc-aktiverade Kubernetes | * Azure Kubernetes Service-deltagare * Kubernetes-tilläggsdeltagare *Bidragsgivare |
När du registrerar en AWS-anslutningsapp (Amazon Web Services) skapar Defender för molnet roller och tilldelar behörigheter för ditt AWS-konto. I följande tabell visas de roller och behörigheter som tilldelats av varje plan på ditt AWS-konto.
Defender för molnet plan | Rollen har skapats | Behörighet tilldelad för AWS-konto |
---|---|---|
CsPM (Cloud Security Posture Management) | CspmMonitorAws | Om du vill identifiera AWS-resursbehörigheter läser du alla resurser utom: consolidatedbilling:* freetier:* fakturering:* Betalningar:* fakturering:* skatt:* byracka:* |
Defender CSPM Defender för servrar |
DefenderForCloud-AgentlessScanner | Så här skapar och rensar du diskögonblicksbilder (omfångsbegränsade efter tagg) "CreatedBy": "Microsoft Defender för molnet" Behörigheter: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Behörighet till EncryptionKeyCreation kms:CreateKey kms:ListKeys Behörigheter till EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
Defender CSPM Defender för lagring |
SensitiveDataDiscovery | Behörigheter för att identifiera S3-bucketar i AWS-kontot, behörighet för Defender för molnet-skannern att komma åt data i S3-bucketarna Skrivskyddad S3 KMS-dekryptering kms:Dekryptera |
CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Behörigheter för Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
Defender för servrar | DefenderForCloud-DefenderForServers | Behörigheter för att konfigurera JIT-nätverksåtkomst: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
Defender for Containers | DefenderForCloud-Containers-K8s | Behörigheter för att lista EKS-kluster och samla in data från EKS-kluster eks:UpdateClusterConfig eks:DescribeCluster |
Defender for Containers | DefenderForCloud-DataCollection | Behörigheter till CloudWatch-logggruppen som skapats av Defender för molnet logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Behörigheter för att använda SQS-kö som skapats av Defender för molnet sqs:ReceiveMessage sqs:DeleteMessage |
Defender for Containers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Behörigheter för åtkomst till Kinesis Data Firehose-leveransström som skapats av Defender för molnet firehose:* |
Defender for Containers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Behörigheter för att komma åt S3-bucketen som skapats av Defender för molnet s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
Defender för containrar Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Behörigheter för att samla in data från EKS-kluster. Uppdatera EKS-kluster för att stödja IP-begränsning och skapa iamidentitymapping för EKS-kluster "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
Defender för containrar Defender CSPM |
MDCContainersImageAssessmentRole | Behörigheter för att skanna avbildningar från ECR och ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
Defender för servrar | DefenderForCloud-ArcAutoProvisioning | Behörigheter för att installera Azure Arc på alla EC2-instanser med SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Behörighet att identifiera RDS-instanser i AWS-konto, skapa ögonblicksbild av RDS-instanser – Visa en lista över alla RDS-databaser/kluster – Visa en lista över alla db-/klusterögonblicksbilder – Kopiera alla DB/klusterögonblicksbilder – Ta bort/uppdatera db/klusterögonblicksbild med prefixet defenderfordatabases – Visa en lista över alla KMS-nycklar – Använd endast alla KMS-nycklar för RDS på källkontot – Lista KMS-nycklar med taggprefixet DefenderForDatabases – Skapa alias för KMS-nycklar Behörigheter som krävs för att identifiera, RDS-instanser rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
När du registrerar en GCP-anslutningsapp (Google Cloud Platforms) skapar Defender för molnet roller och tilldelar behörigheter för ditt GCP-projekt. I följande tabell visas de roller och behörigheter som tilldelats av varje plan i ditt GCP-projekt.
Defender för molnet plan | Rollen har skapats | Behörighet tilldelad för AWS-konto |
---|---|---|
Defender CSPM | MDCCspmCustomRole | Med de här behörigheterna kan CSPM-rollen identifiera och genomsöka resurser i organisationen: Tillåter att rollen visar och organisationer, projekt och mappar: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Tillåter automatisk avetablering av nya projekt och borttagning av borttagna projekt: resourcemanager.projects.get resourcemanager.projects.list Tillåter att rollen aktiverar Google Cloud-tjänster som används för identifiering av resurser: serviceusage.services.enable Används för att skapa och lista IAM-roller: iam.roles.create iam.roles.list Tillåter att rollen fungerar som ett tjänstkonto och får behörighet till resurser: iam.serviceAccounts.actAs Gör att rollen kan visa projektinformation och ange vanliga instansmetadata: compute.projects.get compute.projects.setCommonInstanceMetadata |
Defender för servrar | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Skrivskyddad åtkomst för att hämta och visa beräkningsmotorresurser: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
Defender för databas | defender-for-databases-arc-ap | Behörigheter till automatisk etablering av Defender för databaser i ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
Defender CSPM Defender för lagring |
data-security-posture-storage | Behörighet för Defender för molnet-skannern att identifiera GCP-lagrings bucketar, för att komma åt data i GCP-lagringshinken storage.objects.list storage.objects.get storage.buckets.get |
Defender CSPM Defender för lagring |
data-security-posture-storage | Behörighet för Defender för molnet-skannern att identifiera GCP-lagrings bucketar, för att komma åt data i GCP-lagringshinken storage.objects.list storage.objects.get storage.buckets.get |
Defender CSPM | microsoft-defender-ciem | Behörigheter för att få information om organisationsresursen. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
Defender CSPM Defender för servrar |
MDCAgentlessScanningRole | Behörigheter för agentlös diskgenomsökning: compute.disks.createSnapshot compute.instances.get |
Defender CSPM Defender för servrar |
cloudkms.cryptoKeyEncrypterDecrypter | Behörigheter till en befintlig GCP KMS-roll beviljas för att stödja genomsökningsdiskar som krypteras med CMEK |
Defender CSPM Defender for Containers |
mdc-containers-artifact-assess | Behörighet att skanna avbildningar från GAR och GCR. artifactregistry.reader storage.objectViewer |
Defender for Containers | mdc-containers-k8s-operator | Behörigheter för att samla in data från GKE-kluster. Uppdatera GKE-kluster för att stödja IP-begränsning. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
Defender for Containers | microsoft-defender-containers | Behörigheter för att skapa och hantera loggmottagare för att dirigera loggar till ett Cloud Pub/Sub-ämne. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
Defender for Containers | ms-defender-containers-stream | Behörigheter för att tillåta loggning att skicka loggar till pubunder: pubsub.subscriptions.consume pubsub.subscriptions.get |
I den här artikeln beskrivs hur Defender för molnet använder rollbaserad åtkomstkontroll i Azure för att tilldela behörigheter till användare och identifiera tillåtna åtgärder för varje roll. Nu när du är bekant med de rolltilldelningar som krävs för att övervaka säkerhetstillståndet för din prenumeration, redigera säkerhetsprinciper och tillämpa rekommendationer kan du lära dig hur du: