Aracılığıyla paylaş

Kullanıcı rolleri ve izinleri

  • Makale

Bulut için Microsoft Defender kullanımları Yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure RBAC). Kullanıcılara rolde tanımlanan erişime göre kaynaklara erişim vermek için bu rolleri Azure'daki kullanıcılara, gruplara ve hizmetlere atayabilirsiniz.

Bulut için Defender, güvenlik sorunlarını ve güvenlik açıklarını belirlemek için kaynaklarınızın yapılandırmasını değerlendirir. Bulut için Defender'da, bir kaynakla ilgili bilgileri yalnızca abonelik veya kaynağın içinde yer alan kaynak grubu için bu rollerden birine atandığınızda görürsünüz: Sahip, Katkıda Bulunan veya Okuyucu.

Yerleşik rollere ek olarak, Bulut için Defender özgü iki rol vardır:

  • Güvenlik Okuyucusu: Bu role ait bir kullanıcının Bulut için Defender salt okunur erişimi vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
  • Güvenlik Yöneticisi: Bu role ait bir kullanıcı, Güvenlik Okuyucusu ile aynı erişime sahiptir ve güvenlik ilkesini güncelleştirebilir, uyarıları ve önerileri kapatabilir.

Kullanıcılara, görevlerini tamamlamak için gereken rolleri en alt seviyede esneklik sunacak şekilde atamanızı öneririz. Örneğin, Okuyucu rolünü yalnızca bir kaynağın güvenlik durumuyla ilgili bilgileri görüntülemesi gereken ancak öneriler uygulama veya ilkeleri düzenleme gibi işlem yapmayan kullanıcılara atayın.

Roller ve izin verilen eylemler

Aşağıdaki tabloda Bulut için Defender rol ve izin verilen eylemler gösterilir.

Eylem Güvenlik Okuyucusu /
Okuyucu		 Güvenlik Yöneticisi Katkıda Bulunan / Sahibi Katkıda Bulunan Sahip
(Kaynak grubu düzeyi) (Abonelik düzeyi) (Abonelik düzeyi)
Girişim ekleme/atama (mevzuat uyumluluğu standartları dahil) - - -
Güvenlik ilkesini düzenleme - - -
Microsoft Defender planlarını etkinleştirme/devre dışı bırakma - -
Uyarıları kapatma - -
Bir kaynak
için güvenlik önerileri uygulama (ve Düzelt'i kullanma)		 - -
Uyarıları ve önerileri görüntüleme
Muaf güvenlik önerileri - - -
E-posta bildirimlerini yapılandırma -

Not

Belirtilen üç rol Defender planlarını etkinleştirmek ve devre dışı bırakmak için yeterli olsa da, bir planın tüm özelliklerini etkinleştirmek için Sahip rolü gereklidir.

İzleme bileşenlerini dağıtmak için gereken belirli rol, dağıttığınız uzantıya bağlıdır. İzleme bileşenleri hakkında daha fazla bilgi edinin.

Aracıları ve uzantıları otomatik olarak sağlamak için kullanılan roller

Güvenlik Yöneticisi rolünün Bulut için Defender planlarında kullanılan aracıları ve uzantıları otomatik olarak sağlamasına izin vermek için, Bulut için Defender ilke düzeltmesini Azure İlkesi benzer şekilde kullanır. Düzeltmeyi kullanmak için Bulut için Defender abonelik düzeyinde rol atayan yönetilen kimlikler olarak da adlandırılan hizmet sorumluları oluşturması gerekir. Örneğin, Kapsayıcılar için Defender planının hizmet sorumluları şunlardır:

Hizmet Sorumlusu Roller
Kapsayıcılar için Defender AKS Güvenlik Profili sağlama • Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı
• Azure Kubernetes Service Katkıda Bulunanı
• Log Analytics Katkıda Bulunanı
Kapsayıcılar için Defender arc özellikli Kubernetes sağlama • Azure Kubernetes Service Katkıda Bulunanı
• Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı
• Log Analytics Katkıda Bulunanı
Kubernetes için Kapsayıcılar için Defender sağlama Azure İlkesi • Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı
• Azure Kubernetes Service Katkıda Bulunanı
Arc özellikli Kubernetes için Kapsayıcılar için Defender sağlama İlkesi uzantısı • Azure Kubernetes Service Katkıda Bulunanı
• Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı

Sonraki adımlar

Bu makalede, Bulut için Defender'ın kullanıcılara izin atamak için Azure RBAC'yi nasıl kullandığı açıklanmış ve her rol için izin verilen eylemler tanımlanmıştır. Artık aboneliğinizin güvenlik durumunu izlemek, güvenlik ilkelerini düzenlemek ve öneriler uygulamak için gereken rol atamalarını öğrendiğinize göre şunları nasıl yapacağınızı öğrenin: