Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bulut için Microsoft Defender kullanımları Yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure Rol Tabanlı Erişim Denetimi). Bu rolleri Azure'daki kullanıcılara, gruplara ve hizmetlere atayarak rolün tanımlı erişimine göre kaynaklara erişim sağlayın.
Bulut için Defender kaynak yapılandırmalarını değerlendirir ve güvenlik sorunlarını ve güvenlik açıklarını tanımlar. Bulut için Defender'da abonelik veya kaynak grubu için şu rollerden birine atandığında kaynak bilgilerini görüntüleyin: Sahip, Katkıda Bulunan veya Okuyucu.
Yerleşik rollere ek olarak, Bulut için Defender özgü iki rol vardır:
- Güvenlik Okuyucusu: Bu roldeki bir kullanıcının Bulut için Defender'a salt okunur erişimi vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkelerini ve güvenlik durumlarını görüntüleyebilir ancak değişiklik yapamaz.
- Güvenlik Yöneticisi: Bu roldeki bir kullanıcı, Güvenlik Okuyucusu ile aynı erişime sahiptir ve ayrıca güvenlik ilkelerini güncelleştirebilir, uyarıları ve önerileri kapatabilir.
Kullanıcıların görevlerini tamamlaması için gereken en az izinli rolü atayın.
Örneğin, okuyucu rolünü herhangi bir işlem yapmadan yalnızca bir kaynağın güvenlik durumu bilgilerini görüntülemesi gereken kullanıcılara atayın. Okuyucu rolüne sahip kullanıcılar öneriler uygulayamaz veya ilkeleri düzenleyemez.
Roller ve izin verilen eylemler
Aşağıdaki tabloda Bulut için Defender rol ve izin verilen eylemler gösterilir.
| Eylem |
Güvenlik Okuyucusu / Okuyucu |
Güvenlik Yöneticisi | Katkıda Bulunan / Sahibi | Katkıda Bulunan | Sahip |
|---|---|---|---|---|---|
| (Kaynak grubu düzeyi) | (Abonelik düzeyi) | (Abonelik düzeyi) | |||
| Girişim ekleme/atama (mevzuat uyumluluğu standartları dahil) | - | ✔ | - | - | ✔ |
| Güvenlik ilkesini düzenleme | - | ✔ | - | - | ✔ |
| Microsoft Defender planlarını etkinleştirme/devre dışı bırakma | - | ✔ | - | ✔ | ✔ |
| Uyarıları kapatma | - | ✔ | - | ✔ | ✔ |
| Bir kaynak için güvenlik önerileri uygulama (Düzeltmeyi Kullan) |
- | - | ✔ | ✔ | ✔ |
| Uyarıları ve önerileri görüntüleme | ✔ | ✔ | ✔ | ✔ | ✔ |
| Muaf güvenlik önerileri | - | ✔ | - | - | ✔ |
| E-posta bildirimlerini yapılandırma | - | ✔ | ✔ | ✔ | ✔ |
Not
Belirtilen üç rol Bulut için Defender planlarını etkinleştirmek ve devre dışı bırakmak için yeterli olsa da, bir planın tüm özelliklerini etkinleştirmek için Sahip rolü gereklidir.
İzleme bileşenlerini dağıtmak için gereken belirli rol, dağıttığınız uzantıya bağlıdır. İzleme bileşenleri hakkında daha fazla bilgi edinin.
Aracıları ve uzantıları otomatik olarak yapılandırmak için kullanılan roller
Güvenlik Yöneticisi rolünün Bulut için Defender planlarında kullanılan aracıları ve uzantıları otomatik olarak yapılandırmasına izin vermek için Bulut için Defender, Azure İlkesine benzer ilke düzeltmesini kullanır. Bulut için Defender'ın düzeltme işlemini kullanabilmesi için, abonelik düzeyinde roller atayan ve yönetilen kimlikler olarak da adlandırılan hizmet temsilcileri oluşturması gerekir. Örneğin, Kapsayıcılar için Defender planının hizmet sorumluları şunlardır:
| Hizmet Sorumlusu | Roller |
|---|---|
| Kapsayıcılar için Defender, Azure Kubernetes Service (AKS) Güvenlik Profili sağlama | Kubernetes Uzantısı Katkıda Bulunanı Katılımcı Azure Kubernetes Service Katkıda Bulunanı Log Analytics Katkıda Bulunan |
| Kapsayıcılar için Defender arc özellikli Kubernetes sağlama | Azure Kubernetes Service Katkıda Bulunanı Kubernetes Uzantısı Katkıda Bulunanı Katılımcı Log Analytics Katkıda Bulunan |
| Kubernetes için Kapsayıcılar için Defender sağlama Azure İlkesi | Kubernetes Uzantısı Katkıda Bulunanı Katılımcı Azure Kubernetes Service Katkıda Bulunanı |
| Arc özellikli Kubernetes için Kapsayıcılar için Defender sağlama İlkesi uzantısı | Azure Kubernetes Service Katkıda Bulunanı Kubernetes Uzantısı Katkıda Bulunanı Katılımcı |
AWS'de izinler
Bir Amazon Web Services (AWS) bağlayıcısı eklediğinizde Bulut için Defender, AWS hesabınızda roller oluşturur ve izinler atar. Aşağıdaki tabloda AWS hesabınızdaki her plan tarafından atanan roller ve izinler gösterilmektedir.
| Bulut için Defender planı | Rol oluşturuldu | AWS hesabında atanan izinler |
|---|---|---|
| Defender Bulut Güvenliği Duruş Yönetimi (CSPM) | CspmMonitorAws | AWS kaynakları izinlerini keşfetmek için aşağıdakiler dışındaki tüm kaynakları okuyun: birleştirilmiş birleştirme: serbestleştirici: Faturalama: Ödeme: Fatura: vergi: it: |
| Defender CSPM Sunucular için Defender |
DefenderForCloud-AgentlessScanner | Disk anlık görüntülerini oluşturmak ve temizlemek için (kapsamı etikete göre belirlenmiştir) "CreatedBy": "Bulut için Microsoft Defender" İzinleri: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey izni kms:ListKeys EncryptionKeyManagement kms:TagResource izinleri kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Depolama için Defender |
SensitiveDataDiscovery | AWS hesabında S3 demetlerini bulma izinleri, Bulut için Defender tarayıcının S3 demetlerindeki verilere erişme izni S3 salt okunur KMS şifresi çözme kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Bulma İzinleri sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Sunucular için Defender | DefenderForCloud-DefenderForServers | JIT Ağ Erişimini yapılandırma izinleri: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Kapsayıcılar için Defender | Bkz . Kapsayıcılar için Defender AWS izinleri | |
| Sunucular için Defender | DefenderForCloud-ArcAutoProvisioning | SSM kullanarak tüm EC2 örneklerine Azure Arc yükleme izinleri ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender Bulut Güvenliği Durum Yönetimi | DefenderForCloud-DataSecurityPostureDB | AWS hesabında RDS örneklerini bulma izni, RDS örneği anlık görüntüsü oluşturma, - Tüm RDS DB'lerini/kümelerini listeleme - Tüm VERITABANı/Küme anlık görüntülerini listeleme - Tüm veritabanı/küme anlık görüntülerini kopyalama - Defenderfordatabases ön ekiyle DB/küme anlık görüntüsünü silme/güncelleştirme - Tüm KMS anahtarlarını listeleme - Tüm KMS anahtarlarını yalnızca kaynak hesapta RDS için kullanın - DefenderForDatabases etiket ön ekiyle KMS anahtarlarını listeleme - KMS anahtarları için diğer ad oluşturma RDS örneklerini bulmak için gereken izinler rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP'de izinler
Google Cloud Platformu (GCP) bağlayıcısı eklediğinizde, Cloud için Defender GCP projenizde roller oluşturur ve izinler atar. Aşağıdaki tabloda GCP projenizdeki her plan tarafından atanan roller ve izinler gösterilmektedir.
| Bulut için Defender planı | Rol oluşturuldu | AWS hesabında atanan izin |
|---|---|---|
| Defender Bulut Güvenliği Durum Yönetimi | MDCCspmCustomRole | Bu izinler CSPM rolünün kuruluş içindeki kaynakları bulmasına ve taramasına olanak sağlar: Rolün kuruluş, proje ve klasörleri görüntülemesine izin verir: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Yeni projelerin otomatik sağlama işlemine ve silinen projelerin kaldırılmasına izin verir: resourcemanager.projects.get resourcemanager.projects.list Rolün, kaynakları bulmak için kullanılan Google Cloud hizmetlerini etkinleştirmesine izin verir: serviceusage.services.enable IAM rollerini oluşturmak ve listelemek için kullanılır: iam.roles.create iam.roles.list Rolün bir hizmet hesabı olarak davranmasına ve kaynaklara izin almasına izin verir: iam.serviceAccounts.actAs Rolün proje ayrıntılarını görüntülemesine ve ortak örnek meta verilerini ayarlamasına izin verir: compute.projects.get compute.projects.setCommonInstanceMetadata Kuruluş içindeki yapay zeka platformu kaynaklarını bulmak ve taramak için kullanılır: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Sunucular için Defender | sunucular için microsoft-defender azure-arc-for-servers-onboard |
İşlem Altyapısı kaynaklarını almak ve listelemek için salt okunur erişim: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Veritabanı için Defender | defender-for-databases-arc-ap | Veritabanları için Defender'a yönelik izinler ARC otomatik sağlama compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Depolama için Defender |
veri güvenliği-duruş-depolama | Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni storage.objects.list storage.objects.get storage.buckets.get |
| Defender Bulut Güvenliği Durumu Yönetimi (CSPM) Depolama için Defender |
veri güvenliği-duruş-depolama | Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni storage.objects.list storage.objects.get storage.buckets.get |
| Defender Bulut Güvenliği Durum Yönetimi | microsoft-defender-ciem | Kuruluş kaynağıyla ilgili ayrıntıları alma izinleri. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Sunucular için Defender |
MDCAgentlessScanningRole | Aracısız disk taraması için izinler: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Sunucular için Defender |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK ile şifrelenmiş tarama disklerini desteklemek için mevcut GCP KMS rolüne yönelik izinler verilir |
| Kapsayıcılar için Defender | Bkz Kapsayıcılar için Defender GCP izinleri |
Sonraki adımlar
Bu makalede, Bulut için Defender'ın kullanıcılara izin atamak için Azure Rol Tabanlı Erişim Denetimi'ni nasıl kullandığı ve her rol için izin verilen eylemleri nasıl tanımladığı açıklanmıştır. Artık aboneliğinizin güvenlik durumunu izlemek, güvenlik ilkelerini düzenlemek ve öneriler uygulamak için gereken rol atamalarını öğrendiğinize göre şunları nasıl yapacağınızı öğrenin: