Aracılığıyla paylaş


Kullanıcı rolleri ve izinleri

Bulut için Microsoft Defender kullanımları Yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure RBAC). Kullanıcılara rolde tanımlanan erişime göre kaynaklara erişim vermek için bu rolleri Azure'daki kullanıcılara, gruplara ve hizmetlere atayabilirsiniz.

Bulut için Defender, güvenlik sorunlarını ve güvenlik açıklarını belirlemek için kaynaklarınızın yapılandırmasını değerlendirir. Bulut için Defender'da, bir kaynakla ilgili bilgileri yalnızca abonelik veya kaynağın içinde yer alan kaynak grubu için bu rollerden birine atandığınızda görürsünüz: Sahip, Katkıda Bulunan veya Okuyucu.

Yerleşik rollere ek olarak, Bulut için Defender özgü iki rol vardır:

  • Güvenlik Okuyucusu: Bu role ait bir kullanıcının Bulut için Defender salt okunur erişimi vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
  • Güvenlik Yöneticisi: Bu role ait bir kullanıcı, Güvenlik Okuyucusu ile aynı erişime sahiptir ve güvenlik ilkesini güncelleştirebilir, uyarıları ve önerileri kapatabilir.

Kullanıcılara, görevlerini tamamlamak için gereken rolleri en alt seviyede esneklik sunacak şekilde atamanızı öneririz. Örneğin, Okuyucu rolünü yalnızca bir kaynağın güvenlik durumuyla ilgili bilgileri görüntülemesi gereken ancak öneriler uygulama veya ilkeleri düzenleme gibi işlem yapmayan kullanıcılara atayın.

Roller ve izin verilen eylemler

Aşağıdaki tabloda Bulut için Defender rol ve izin verilen eylemler gösterilir.

Eylem Güvenlik Okuyucusu /
Okuyucu
Güvenlik Yöneticisi Katkıda Bulunan / Sahibi Katkıda Bulunan Sahip
(Kaynak grubu düzeyi) (Abonelik düzeyi) (Abonelik düzeyi)
Girişim ekleme/atama (mevzuat uyumluluğu standartları dahil) - - -
Güvenlik ilkesini düzenleme - - -
Microsoft Defender planlarını etkinleştirme/devre dışı bırakma - -
Uyarıları kapatma - -
Bir kaynak
için güvenlik önerileri uygulama (ve Düzelt'i kullanma)
- -
Uyarıları ve önerileri görüntüleme
Muaf güvenlik önerileri - - -
E-posta bildirimlerini yapılandırma -

Not

Belirtilen üç rol Defender planlarını etkinleştirmek ve devre dışı bırakmak için yeterli olsa da, bir planın tüm özelliklerini etkinleştirmek için Sahip rolü gereklidir.

İzleme bileşenlerini dağıtmak için gereken belirli rol, dağıttığınız uzantıya bağlıdır. İzleme bileşenleri hakkında daha fazla bilgi edinin.

Aracıları ve uzantıları otomatik olarak sağlamak için kullanılan roller

Güvenlik Yöneticisi rolünün Bulut için Defender planlarında kullanılan aracıları ve uzantıları otomatik olarak sağlamasına izin vermek için, Bulut için Defender ilke düzeltmesini Azure İlkesi benzer şekilde kullanır. Düzeltmeyi kullanmak için Bulut için Defender abonelik düzeyinde rol atayan yönetilen kimlikler olarak da adlandırılan hizmet sorumluları oluşturması gerekir. Örneğin, Kapsayıcılar için Defender planının hizmet sorumluları şunlardır:

Hizmet Sorumlusu Roller
Kapsayıcılar için Defender AKS Güvenlik Profili sağlama • Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı
• Azure Kubernetes Service Katkıda Bulunanı
• Log Analytics Katkıda Bulunanı
Kapsayıcılar için Defender arc özellikli Kubernetes sağlama • Azure Kubernetes Service Katkıda Bulunanı
• Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı
• Log Analytics Katkıda Bulunanı
Kubernetes için Kapsayıcılar için Defender sağlama Azure İlkesi • Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı
• Azure Kubernetes Service Katkıda Bulunanı
Arc özellikli Kubernetes için Kapsayıcılar için Defender sağlama İlkesi uzantısı • Azure Kubernetes Service Katkıda Bulunanı
• Kubernetes Uzantısı Katkıda Bulunanı
•Katılımcı

AWS'de izinler

Bir Amazon Web Services (AWS) bağlayıcısı eklediğinizde, Bulut için Defender AWS hesabınızda roller oluşturur ve izinler atar. Aşağıdaki tabloda AWS hesabınızdaki her plan tarafından atanan roller ve izinler gösterilmektedir.

Bulut için Defender planı Rol oluşturuldu AWS hesabında atanan izin
Defender CSPM CspmMonitorAws AWS kaynakları izinlerini keşfetmek için aşağıdakiler dışındaki tüm kaynakları okuyun:
"consolidatedbilling:"
"freetier:
"
"faturalama:"
"ödemeler:
"
"faturalama:"
"vergi:
"
"cur:*"
Defender CSPM

Sunucular için Defender
DefenderForCloud-AgentlessScanner Disk anlık görüntülerini oluşturmak ve temizlemek için (kapsamı etikete göre belirlenmiştir) "CreatedBy": "Bulut için Microsoft Defender" İzinleri:
"ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute"
"ec2:DeleteTags"
"ec2:CreateTags"
"ec2:CreateSnapshots"
"ec2:CopySnapshot"
"ec2:CreateSnapshot"
"ec2:DescribeSnapshots"
"ec2:DescribeInstanceStatus"
EncryptionKeyCreation "kms:CreateKey" izni
"kms:ListKeys"
EncryptionKeyManagement "kms:TagResource" İzinleri
"kms:GetKeyRotationStatus"
"kms:PutKeyPolicy"
"kms:GetKeyPolicy"
"kms:CreateAlias"
"kms:TagResource"
"kms:ListResourceTags"
"kms:GenerateDataKeyWithoutPlaintext"
"kms:DescribeKey"
"kms:RetireGrant"
"kms:CreateGrant"
"kms:ReEncryptFrom"
Defender CSPM

Depolama için Defender
SensitiveDataDiscovery AWS hesabında S3 demetlerini bulma izinleri, Bulut için Defender tarayıcısının S3 demetlerindeki verilere erişme izni.
S3 salt okunur; KMS şifresi "kms:Decrypt"
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Ciem Bulma İzinleri
"sts:AssumeRole"
"sts:AssumeRoleWithSAML"
"sts:GetAccessKeyInfo"
"sts:GetCallerIdentity"
"sts:GetFederationToken"
"sts:GetServiceBearerToken"
"sts:GetSessionToken"
"sts:TagSession"
Sunucular için Defender DefenderForCloud-DefenderForServers JIT Ağ Erişimini yapılandırma izinleri:
"ec2:RevokeSecurityGroupIngress"
"ec2:AuthorizeSecurityGroupIngress"
"ec2:DescribeInstances"
"ec2:DescribeSecurityGroupRules"
"ec2:DescribeVpcs"
"ec2:CreateSecurityGroup"
"ec2:DeleteSecurityGroup"
"ec2:ModifyNetworkInterfaceAttribute"
"ec2:ModifySecurityGroupRules"
"ec2:ModifyInstanceAttribute"
"ec2:DescribeSubnets"
"ec2:DescribeSecurityGroups"
Kapsayıcılar için Defender DefenderForCloud-Containers-K8s EKS kümelerini listeleme ve EKS kümelerinden Veri Toplama izinleri.
"eks:UpdateClusterConfig"
"eks:DescribeCluster"
Kapsayıcılar için Defender DefenderForCloud-DataCollection Bulut için Defender tarafından oluşturulan CloudWatch Günlük Grubu izinleri
"logs:PutSubscriptionFilter"
"logs:DescribeSubscriptionFilters"
"logs:DescribeLogGroups" autp "logs:PutRetentionPolicy"

Bulut için Defender tarafından oluşturulan SQS kuyruğunu kullanma izinleri
"sqs:ReceiveMessage"
"sqs:DeleteMessage"
Kapsayıcılar için Defender DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Bulut için Defender tarafından oluşturulan Kinesis Data Firehose teslim akışına erişim izinleri
"firehose:*"
Kapsayıcılar için Defender DefenderForCloud-Containers-K8s-kinesis-to-s3 Bulut için Defender tarafından oluşturulan S3 demetine erişim izinleri
"s3:GetObject"
"s3:GetBucketLocation"
"s3:AbortMultipartUpload"
"s3:GetBucketLocation"
"s3:GetObject"
"s3:ListBucket"
"s3:ListBucketMultipartUploads"
"s3:PutObject"
Kapsayıcılar için Defender

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole EKS kümelerinden Veri Toplama İzinleri. EKS kümelerini IP kısıtlamasını destekleyecek şekilde güncelleştirme ve EKS kümeleri için iamidentitymapping oluşturma
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Kapsayıcılar için Defender

Defender CSPM
MDCContainersImageAssessmentRole ECR ve ECR Genel'den görüntü tarama izinleri.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Sunucular için Defender DefenderForCloud-ArcAutoProvisioning SSM kullanarak tüm EC2 örneklerine Azure Arc yükleme izinleri
"ssm:CancelCommand"
"ssm:DescribeInstanceInformation"
"ssm:GetCommandInvocation"
"ssm:UpdateServiceSetting"
"ssm:GetServiceSetting"
"ssm:GetAutomationExecution"
"ec2:DescribeIamInstanceProfileAssociations"
"ec2:DisassociateIamInstanceProfile"
"ec2:DescribeInstances"
"ssm:StartAutomationExecution"
"iam:GetInstanceProfile"
"iam:ListInstanceProfilesForRole"
"ssm:GetAutomationExecution"
"ec2:DescribeIamInstanceProfileAssociations"
"ec2:DisassociateIamInstanceProfile"
"ec2:DescribeInstances"
"ssm:StartAutomationExecution"
"iam:GetInstanceProfile"
"iam:ListInstanceProfilesForRole"
Defender CSPM DefenderForCloud-DataSecurityPostureDB AWS hesabında RDS örneklerini bulma izni, RDS örneği anlık görüntüsü oluşturma,
- Tüm RDS DB'lerini/kümelerini listeleme
- Tüm VERITABANı/Küme anlık görüntülerini listeleme
- Tüm veritabanı/küme anlık görüntülerini kopyalama
- Defenderfordatabases ön ekiyle DB/küme anlık görüntüsünü silme/güncelleştirme
- Tüm KMS anahtarlarını listeleme
- Tüm KMS anahtarlarını yalnızca kaynak hesapta RDS için kullanın
- DefenderForDatabases etiket ön ekiyle KMS anahtarlarını listeleme
- KMS anahtarları için diğer ad oluşturma

RDS örneklerini bulmak için gereken izinler
"rds:DescribeDBInstances"
"rds:DescribeDBClusters"
"rds:DescribeDBClusterSnapshots"
"rds:DescribeDBSnapshots"
"rds:CopyDBSnapshot"
"rds:CopyDBClusterSnapshot"
"rds:DeleteDBSnapshot"
"rds:DeleteDBClusterSnapshot"
"rds:ModifyDBSnapshotAttribute"
"rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters"
"rds:DescribeDBParameters"
"rds:DescribeOptionGroups"
"kms:CreateGrant"
"kms:ListAliases"
"kms:CreateKey"
"kms:TagResource"
"kms:ListGrants"
"kms:DescribeKey"
"kms:PutKeyPolicy"
"kms:Encrypt"
"kms:CreateGrant"
"kms:EnableKey"
"kms:CancelKeyDeletion"
"kms:DisableKey"
"kms:ScheduleKeyDeletion"
"kms:UpdateAlias"
"kms:UpdateKeyDescription"

GCP'de izinler

Bir Google Bulut Projeleri (GCP) bağlayıcısı eklediğinizde, Bulut için Defender gcp projenizde roller oluşturur ve izinler atar. Aşağıdaki tabloda GCP projenizdeki her plan tarafından atanan roller ve izinler gösterilmektedir.

Bulut için Defender planı Rol oluşturuldu AWS hesabında atanan izin
Defender CSPM MDCCspmCustomRole GCP kaynaklarını keşfetmek için
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy resourcemanager.folders.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.enable
iam.roles.create
iam.roles.list
iam.serviceAccounts.actAs
compute.projects.get
compute.projects.setCommonInstanceMetadata"
Sunucular için Defender sunucular için microsoft-defender
azure-arc-for-servers-onboard
İşlem Altyapısını almak ve listelemek için salt okunur erişim
resources roles/compute.viewer
roles/iam.serviceAccountTokenCreator
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentReportViewer
Veritabanı için Defender defender-for-databases-arc-ap Veritabanları için Defender'a yönelik izinler ARC otomatik sağlama
roles/compute.viewer
roles/iam.workloadIdentityUser
roles/iam.serviceAccountTokenCreator
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Depolama için Defender
veri güvenliği-duruş-depolama Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Depolama için Defender
veri güvenliği-duruş-depolama Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Kuruluş kaynağıyla ilgili ayrıntıları alma izinleri.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Sunucular için Defender
MDCAgentlessScanningRole Aracısız disk taraması için izinler:
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Sunucular için Defender
cloudkms.cryptoKeyEncrypterDecrypter CMEK ile şifrelenmiş tarama disklerini desteklemek için mevcut GCP KMS rolüne yönelik izinler verilir
Defender CSPM

Kapsayıcılar için Defender
mdc-containers-artifact-assess GAR ve GCR'den görüntü tarama izni.
Roles/artifactregistry.reader
Roles/storage.objectViewer
Kapsayıcılar için Defender mdc-containers-k8s-operator GKE kümelerinden Veri Toplama İzinleri. GKE kümelerini IP kısıtlamasını destekleyecek şekilde güncelleştirin.
Roles/container.viewer
MDCGkeClusterWriteRole container.clusters.update*
Kapsayıcılar için Defender microsoft-defender-containers Günlükleri bir Cloud Pub/Sub konusuna yönlendirmek için günlük havuzu oluşturma ve yönetme izinleri.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Kapsayıcılar için Defender ms-defender-containers-stream Günlüğün pub alt bölümüne günlük göndermesine izin verme izinleri:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Sonraki adımlar

Bu makalede, Bulut için Defender'ın kullanıcılara izin atamak için Azure RBAC'yi nasıl kullandığı açıklanmış ve her rol için izin verilen eylemler tanımlanmıştır. Artık aboneliğinizin güvenlik durumunu izlemek, güvenlik ilkelerini düzenlemek ve öneriler uygulamak için gereken rol atamalarını öğrendiğinize göre şunları nasıl yapacağınızı öğrenin: