Läs på engelska

Dela via


Ange roller och behörigheter

Microsoft Defender för molnet använder Rollbaserad åtkomstkontroll i Azure (Rollbaserad åtkomstkontroll i Azure) för att tillhandahålla inbyggda roller. Du kan tilldela dessa roller till användare, grupper och tjänster i Azure för att ge användarna åtkomst till resurser enligt den åtkomst som definieras i rollen.

Defender för molnet utvärderar konfigurationen av dina resurser och identifierar säkerhetsproblem och sårbarheter. I Defender för molnet kan du visa information som är relaterad till en resurs när du har en av dessa roller tilldelade för prenumerationen eller resursgruppen som resursen tillhör: Ägare, Deltagare eller Läsare.

Förutom de inbyggda rollerna finns det två roller som är specifika för Defender för molnet:

  • Säkerhetsläsare: En användare som tillhör den här rollen har skrivskyddad åtkomst till Defender för molnet. Användaren kan visa rekommendationer, aviseringar, en säkerhetsprincip och säkerhetstillstånd, men kan inte göra ändringar.
  • Säkerhetsadministratör: En användare som tillhör den här rollen har samma åtkomst som säkerhetsläsaren och kan även uppdatera säkerhetsprincipen och avvisa aviseringar och rekommendationer.

Vi rekommenderar att du tilldelar den minst tillåtande roll som krävs för att användarna ska kunna utföra sina uppgifter.

Du kan till exempel tilldela rollen Läsare till användare som bara behöver visa säkerhetshälsoinformation för en resurs utan att vidta några åtgärder. Användare med rollen Läsare kan tillämpa rekommendationer eller redigeringsprinciper.

Roller och tillåtna åtgärder

I följande tabell visas roller och tillåtna åtgärder i Defender för molnet.

Åtgärd Säkerhetsläsare /
Läsare
Säkerhetsadministratör Deltagarägare / Deltagare Ägare
(Resursgruppsnivå) (Prenumerationsnivå) (Prenumerationsnivå)
Lägga till/tilldela initiativ (inklusive standarder för regelefterlevnad) - - -
Redigera säkerhetsprincip - - -
Aktivera/inaktivera Microsoft Defender-planer - -
Stäng aviseringar - -
Tillämpa säkerhetsrekommendationer för en resurs
(Använd korrigering)
- -
Visa aviseringar och rekommendationer
Undantagna säkerhetsrekommendationer - - -
Konfigurera e-postaviseringar -

Anteckning

De tre nämnda rollerna räcker för att aktivera och inaktivera Defender-planer, men för att aktivera alla funktioner i en plan krävs rollen Ägare.

Vilken roll som krävs för att distribuera övervakningskomponenter beror på vilket tillägg du distribuerar. Läs mer om övervakningskomponenter.

Roller som används för att automatiskt etablera agenter och tillägg

Om du vill tillåta att rollen Säkerhetsadministratör automatiskt etablerar agenter och tillägg som används i Defender för molnet planer använder Defender för molnet principreparation på ett liknande sätt som Azure Policy. Om du vill använda reparation måste Defender för molnet skapa tjänstens huvudnamn, även kallade hanterade identiteter som tilldelar roller på prenumerationsnivå. Tjänstens huvudnamn för Defender for Containers-planen är till exempel:

Tjänstens huvudnamn Roller
Defender for Containers etablerar Säkerhetsprofil för Azure Kubernetes Service (AKS) * Kubernetes-tilläggsdeltagare
*Bidragsgivare
* Azure Kubernetes Service-deltagare
* Log Analytics-deltagare
Etablering av Arc-aktiverade Kubernetes i Defender för containrar * Azure Kubernetes Service-deltagare
* Kubernetes-tilläggsdeltagare
*Bidragsgivare
* Log Analytics-deltagare
Etablering av Azure Policy för Kubernetes i Defender för containrar * Kubernetes-tilläggsdeltagare
*Bidragsgivare
* Azure Kubernetes Service-deltagare
Etableringsprinciptillägg för Defender för containrar för Arc-aktiverade Kubernetes * Azure Kubernetes Service-deltagare
* Kubernetes-tilläggsdeltagare
*Bidragsgivare

Behörigheter för AWS

När du registrerar en AWS-anslutningsapp (Amazon Web Services) skapar Defender för molnet roller och tilldelar behörigheter för ditt AWS-konto. I följande tabell visas de roller och behörigheter som tilldelats av varje plan på ditt AWS-konto.

Defender för molnet plan Rollen har skapats Behörighet tilldelad för AWS-konto
CsPM (Cloud Security Posture Management) CspmMonitorAws Om du vill identifiera AWS-resursbehörigheter läser du alla resurser utom:
consolidatedbilling:*
freetier:*
fakturering:*
Betalningar:*
fakturering:*
skatt:*
byracka:*
Defender CSPM

Defender för servrar
DefenderForCloud-AgentlessScanner Så här skapar och rensar du diskögonblicksbilder (omfångsbegränsade efter tagg) "CreatedBy": "Microsoft Defender för molnet" Behörigheter:
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Behörighet till EncryptionKeyCreation kms:CreateKey
kms:ListKeys
Behörigheter till EncryptionKeyManagement kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Defender CSPM

Defender för lagring
SensitiveDataDiscovery Behörigheter för att identifiera S3-bucketar i AWS-kontot, behörighet för Defender för molnet-skannern att komma åt data i S3-bucketarna
Skrivskyddad S3

KMS-dekryptering
kms:Dekryptera
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Behörigheter för Ciem Discovery
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender för servrar DefenderForCloud-DefenderForServers Behörigheter för att konfigurera JIT-nätverksåtkomst:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender for Containers DefenderForCloud-Containers-K8s Behörigheter för att lista EKS-kluster och samla in data från EKS-kluster
eks:UpdateClusterConfig
eks:DescribeCluster
Defender for Containers DefenderForCloud-DataCollection Behörigheter till CloudWatch-logggruppen som skapats av Defender för molnet
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

Behörigheter för att använda SQS-kö som skapats av Defender för molnet
sqs:ReceiveMessage
sqs:DeleteMessage
Defender for Containers DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Behörigheter för åtkomst till Kinesis Data Firehose-leveransström som skapats av Defender för molnet
firehose:*
Defender for Containers DefenderForCloud-Containers-K8s-kinesis-to-s3 Behörigheter för att komma åt S3-bucketen som skapats av Defender för molnet
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender för containrar

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole Behörigheter för att samla in data från EKS-kluster. Uppdatera EKS-kluster för att stödja IP-begränsning och skapa iamidentitymapping för EKS-kluster
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Defender för containrar

Defender CSPM
MDCContainersImageAssessmentRole Behörigheter för att skanna avbildningar från ECR och ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender för servrar DefenderForCloud-ArcAutoProvisioning Behörigheter för att installera Azure Arc på alla EC2-instanser med SSM
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Defender CSPM DefenderForCloud-DataSecurityPostureDB Behörighet att identifiera RDS-instanser i AWS-konto, skapa ögonblicksbild av RDS-instanser
– Visa en lista över alla RDS-databaser/kluster
– Visa en lista över alla db-/klusterögonblicksbilder
– Kopiera alla DB/klusterögonblicksbilder
– Ta bort/uppdatera db/klusterögonblicksbild med prefixet defenderfordatabases
– Visa en lista över alla KMS-nycklar
– Använd endast alla KMS-nycklar för RDS på källkontot
– Lista KMS-nycklar med taggprefixet DefenderForDatabases
– Skapa alias för KMS-nycklar

Behörigheter som krävs för att identifiera, RDS-instanser
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

Behörigheter för GCP

När du registrerar en GCP-anslutningsapp (Google Cloud Platforms) skapar Defender för molnet roller och tilldelar behörigheter för ditt GCP-projekt. I följande tabell visas de roller och behörigheter som tilldelats av varje plan i ditt GCP-projekt.

Defender för molnet plan Rollen har skapats Behörighet tilldelad för AWS-konto
Defender CSPM MDCCspmCustomRole Med de här behörigheterna kan CSPM-rollen identifiera och genomsöka resurser i organisationen:

Tillåter att rollen visar och organisationer, projekt och mappar:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Tillåter automatisk avetablering av nya projekt och borttagning av borttagna projekt:
resourcemanager.projects.get
resourcemanager.projects.list

Tillåter att rollen aktiverar Google Cloud-tjänster som används för identifiering av resurser:
serviceusage.services.enable

Används för att skapa och lista IAM-roller:
iam.roles.create
iam.roles.list

Tillåter att rollen fungerar som ett tjänstkonto och får behörighet till resurser:
iam.serviceAccounts.actAs

Gör att rollen kan visa projektinformation och ange vanliga instansmetadata:
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender för servrar microsoft-defender-for-servers
azure-arc-for-servers-onboard
Skrivskyddad åtkomst för att hämta och visa beräkningsmotorresurser:
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender för databas defender-for-databases-arc-ap Behörigheter till automatisk etablering av Defender för databaser i ARC
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Defender för lagring
data-security-posture-storage Behörighet för Defender för molnet-skannern att identifiera GCP-lagrings bucketar, för att komma åt data i GCP-lagringshinken
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Defender för lagring
data-security-posture-storage Behörighet för Defender för molnet-skannern att identifiera GCP-lagrings bucketar, för att komma åt data i GCP-lagringshinken
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Behörigheter för att få information om organisationsresursen.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Defender för servrar
MDCAgentlessScanningRole Behörigheter för agentlös diskgenomsökning:
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Defender för servrar
cloudkms.cryptoKeyEncrypterDecrypter Behörigheter till en befintlig GCP KMS-roll beviljas för att stödja genomsökningsdiskar som krypteras med CMEK
Defender CSPM

Defender for Containers
mdc-containers-artifact-assess Behörighet att skanna avbildningar från GAR och GCR.
artifactregistry.reader
storage.objectViewer
Defender for Containers mdc-containers-k8s-operator Behörigheter för att samla in data från GKE-kluster. Uppdatera GKE-kluster för att stödja IP-begränsning.

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender for Containers microsoft-defender-containers Behörigheter för att skapa och hantera loggmottagare för att dirigera loggar till ett Cloud Pub/Sub-ämne.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender for Containers ms-defender-containers-stream Behörigheter för att tillåta loggning att skicka loggar till pubunder:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Nästa steg

I den här artikeln beskrivs hur Defender för molnet använder rollbaserad åtkomstkontroll i Azure för att tilldela behörigheter till användare och identifiera tillåtna åtgärder för varje roll. Nu när du är bekant med de rolltilldelningar som krävs för att övervaka säkerhetstillståndet för din prenumeration, redigera säkerhetsprinciper och tillämpa rekommendationer kan du lära dig hur du: