Kullanıcı rolleri ve izinleri
Bulut için Microsoft Defender kullanımları Yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure RBAC). Kullanıcılara rolde tanımlanan erişime göre kaynaklara erişim vermek için bu rolleri Azure'daki kullanıcılara, gruplara ve hizmetlere atayabilirsiniz.
Bulut için Defender, güvenlik sorunlarını ve güvenlik açıklarını belirlemek için kaynaklarınızın yapılandırmasını değerlendirir. Bulut için Defender'da, bir kaynakla ilgili bilgileri yalnızca abonelik veya kaynağın içinde yer alan kaynak grubu için bu rollerden birine atandığınızda görürsünüz: Sahip, Katkıda Bulunan veya Okuyucu.
Yerleşik rollere ek olarak, Bulut için Defender özgü iki rol vardır:
- Güvenlik Okuyucusu: Bu role ait bir kullanıcının Bulut için Defender salt okunur erişimi vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
- Güvenlik Yöneticisi: Bu role ait bir kullanıcı, Güvenlik Okuyucusu ile aynı erişime sahiptir ve güvenlik ilkesini güncelleştirebilir, uyarıları ve önerileri kapatabilir.
Kullanıcılara, görevlerini tamamlamak için gereken rolleri en alt seviyede esneklik sunacak şekilde atamanızı öneririz. Örneğin, Okuyucu rolünü yalnızca bir kaynağın güvenlik durumuyla ilgili bilgileri görüntülemesi gereken ancak öneriler uygulama veya ilkeleri düzenleme gibi işlem yapmayan kullanıcılara atayın.
Roller ve izin verilen eylemler
Aşağıdaki tabloda Bulut için Defender rol ve izin verilen eylemler gösterilir.
| Eylem | Güvenlik Okuyucusu / Okuyucu |
Güvenlik Yöneticisi | Katkıda Bulunan / Sahibi | Katkıda Bulunan | Sahip |
|---|---|---|---|---|---|
| (Kaynak grubu düzeyi) | (Abonelik düzeyi) | (Abonelik düzeyi) | |||
| Girişim ekleme/atama (mevzuat uyumluluğu standartları dahil) | - | ✔ | - | - | ✔ |
| Güvenlik ilkesini düzenleme | - | ✔ | - | - | ✔ |
| Microsoft Defender planlarını etkinleştirme/devre dışı bırakma | - | ✔ | - | ✔ | ✔ |
| Uyarıları kapatma | - | ✔ | - | ✔ | ✔ |
| Bir kaynak için güvenlik önerileri uygulama (ve Düzelt'i kullanma) |
- | - | ✔ | ✔ | ✔ |
| Uyarıları ve önerileri görüntüleme | ✔ | ✔ | ✔ | ✔ | ✔ |
| Muaf güvenlik önerileri | - | ✔ | - | - | ✔ |
| E-posta bildirimlerini yapılandırma | - | ✔ | ✔ | ✔ | ✔ |
Not
Belirtilen üç rol Defender planlarını etkinleştirmek ve devre dışı bırakmak için yeterli olsa da, bir planın tüm özelliklerini etkinleştirmek için Sahip rolü gereklidir.
İzleme bileşenlerini dağıtmak için gereken belirli rol, dağıttığınız uzantıya bağlıdır. İzleme bileşenleri hakkında daha fazla bilgi edinin.
Aracıları ve uzantıları otomatik olarak sağlamak için kullanılan roller
Güvenlik Yöneticisi rolünün Bulut için Defender planlarında kullanılan aracıları ve uzantıları otomatik olarak sağlamasına izin vermek için, Bulut için Defender ilke düzeltmesini Azure İlkesi benzer şekilde kullanır. Düzeltmeyi kullanmak için Bulut için Defender abonelik düzeyinde rol atayan yönetilen kimlikler olarak da adlandırılan hizmet sorumluları oluşturması gerekir. Örneğin, Kapsayıcılar için Defender planının hizmet sorumluları şunlardır:
| Hizmet Sorumlusu | Roller |
|---|---|
| Kapsayıcılar için Defender AKS Güvenlik Profili sağlama | • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı • Azure Kubernetes Service Katkıda Bulunanı • Log Analytics Katkıda Bulunanı |
| Kapsayıcılar için Defender arc özellikli Kubernetes sağlama | • Azure Kubernetes Service Katkıda Bulunanı • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı • Log Analytics Katkıda Bulunanı |
| Kubernetes için Kapsayıcılar için Defender sağlama Azure İlkesi | • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı • Azure Kubernetes Service Katkıda Bulunanı |
| Arc özellikli Kubernetes için Kapsayıcılar için Defender sağlama İlkesi uzantısı | • Azure Kubernetes Service Katkıda Bulunanı • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı |
AWS'de izinler
Bir Amazon Web Services (AWS) bağlayıcısı eklediğinizde, Bulut için Defender AWS hesabınızda roller oluşturur ve izinler atar. Aşağıdaki tabloda AWS hesabınızdaki her plan tarafından atanan roller ve izinler gösterilmektedir.
| Bulut için Defender planı | Rol oluşturuldu | AWS hesabında atanan izin |
|---|---|---|
| Defender CSPM | CspmMonitorAws | AWS kaynakları izinlerini keşfetmek için aşağıdakiler dışındaki tüm kaynakları okuyun: "consolidatedbilling:" "freetier:" "faturalama:" "ödemeler:" "faturalama:" "vergi:" "cur:*" |
| Defender CSPM Sunucular için Defender |
DefenderForCloud-AgentlessScanner | Disk anlık görüntülerini oluşturmak ve temizlemek için (kapsamı etikete göre belirlenmiştir) "CreatedBy": "Bulut için Microsoft Defender" İzinleri: "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" EncryptionKeyCreation "kms:CreateKey" izni "kms:ListKeys" EncryptionKeyManagement "kms:TagResource" İzinleri "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Defender CSPM Depolama için Defender |
SensitiveDataDiscovery | AWS hesabında S3 demetlerini bulma izinleri, Bulut için Defender tarayıcısının S3 demetlerindeki verilere erişme izni. S3 salt okunur; KMS şifresi "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Bulma İzinleri "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Sunucular için Defender | DefenderForCloud-DefenderForServers | JIT Ağ Erişimini yapılandırma izinleri: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Kapsayıcılar için Defender | DefenderForCloud-Containers-K8s | EKS kümelerini listeleme ve EKS kümelerinden Veri Toplama izinleri. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Kapsayıcılar için Defender | DefenderForCloud-DataCollection | Bulut için Defender tarafından oluşturulan CloudWatch Günlük Grubu izinleri "logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Bulut için Defender tarafından oluşturulan SQS kuyruğunu kullanma izinleri "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Kapsayıcılar için Defender | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Bulut için Defender tarafından oluşturulan Kinesis Data Firehose teslim akışına erişim izinleri "firehose:*" |
| Kapsayıcılar için Defender | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Bulut için Defender tarafından oluşturulan S3 demetine erişim izinleri "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Kapsayıcılar için Defender Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | EKS kümelerinden Veri Toplama İzinleri. EKS kümelerini IP kısıtlamasını destekleyecek şekilde güncelleştirme ve EKS kümeleri için iamidentitymapping oluşturma "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Kapsayıcılar için Defender Defender CSPM |
MDCContainersImageAssessmentRole | ECR ve ECR Genel'den görüntü tarama izinleri. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Sunucular için Defender | DefenderForCloud-ArcAutoProvisioning | SSM kullanarak tüm EC2 örneklerine Azure Arc yükleme izinleri "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | AWS hesabında RDS örneklerini bulma izni, RDS örneği anlık görüntüsü oluşturma, - Tüm RDS DB'lerini/kümelerini listeleme - Tüm VERITABANı/Küme anlık görüntülerini listeleme - Tüm veritabanı/küme anlık görüntülerini kopyalama - Defenderfordatabases ön ekiyle DB/küme anlık görüntüsünü silme/güncelleştirme - Tüm KMS anahtarlarını listeleme - Tüm KMS anahtarlarını yalnızca kaynak hesapta RDS için kullanın - DefenderForDatabases etiket ön ekiyle KMS anahtarlarını listeleme - KMS anahtarları için diğer ad oluşturma RDS örneklerini bulmak için gereken izinler "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
GCP'de izinler
Bir Google Bulut Projeleri (GCP) bağlayıcısı eklediğinizde, Bulut için Defender gcp projenizde roller oluşturur ve izinler atar. Aşağıdaki tabloda GCP projenizdeki her plan tarafından atanan roller ve izinler gösterilmektedir.
| Bulut için Defender planı | Rol oluşturuldu | AWS hesabında atanan izin |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | GCP kaynaklarını keşfetmek için resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Sunucular için Defender | sunucular için microsoft-defender azure-arc-for-servers-onboard |
İşlem Altyapısını almak ve listelemek için salt okunur erişim resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Veritabanı için Defender | defender-for-databases-arc-ap | Veritabanları için Defender'a yönelik izinler ARC otomatik sağlama roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Depolama için Defender |
veri güvenliği-duruş-depolama | Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Depolama için Defender |
veri güvenliği-duruş-depolama | Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Kuruluş kaynağıyla ilgili ayrıntıları alma izinleri. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Sunucular için Defender |
MDCAgentlessScanningRole | Aracısız disk taraması için izinler: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Sunucular için Defender |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK ile şifrelenmiş tarama disklerini desteklemek için mevcut GCP KMS rolüne yönelik izinler verilir |
| Defender CSPM Kapsayıcılar için Defender |
mdc-containers-artifact-assess | GAR ve GCR'den görüntü tarama izni. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Kapsayıcılar için Defender | mdc-containers-k8s-operator | GKE kümelerinden Veri Toplama İzinleri. GKE kümelerini IP kısıtlamasını destekleyecek şekilde güncelleştirin. Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Kapsayıcılar için Defender | microsoft-defender-containers | Günlükleri bir Cloud Pub/Sub konusuna yönlendirmek için günlük havuzu oluşturma ve yönetme izinleri. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Kapsayıcılar için Defender | ms-defender-containers-stream | Günlüğün pub alt bölümüne günlük göndermesine izin verme izinleri: pubsub.subscriptions.consume pubsub.subscriptions.get |
Sonraki adımlar
Bu makalede, Bulut için Defender'ın kullanıcılara izin atamak için Azure RBAC'yi nasıl kullandığı açıklanmış ve her rol için izin verilen eylemler tanımlanmıştır. Artık aboneliğinizin güvenlik durumunu izlemek, güvenlik ilkelerini düzenlemek ve öneriler uygulamak için gereken rol atamalarını öğrendiğinize göre şunları nasıl yapacağınızı öğrenin:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin