編輯

分享方式:

適用於雲端的 Defender 權限常見問題

  • 常見問題

適用於雲端的 Microsoft Defender 中的權限運作方式?

適用於雲端的 Microsoft Defender 會使用 Azure 角色型存取控制 (Azure RBAC),以提供可在 Azure 中指派給使用者、群組與服務的內建角色

適用於雲端的 Defender 會評估資源的設定,以識別安全性問題與弱點。 在適用於雲端的 Defender,只有當您獲指派為資源所屬訂用帳戶或資源群組的擁有者、參與者或讀者角色時,才能看到與資源相關的資訊。

若要深入了解適用於雲端的 Defender 中的角色和允許的動作,請參閱適用於雲端的 Microsoft Defender 中的權限

誰可以修改安全性原則?

若要修改安全性原則,您必須是安全性系統管理員或是訂用帳戶的擁有者或參與者。

若要了解如何設定安全性原則,請參閱適用於雲端的 Microsoft Defender 中設定安全性原則

無代理程式掃描會使用哪些權限?

以下列出適用於雲端的 Defender 用來在 Azure、AWS 和 GCP 環境上執行無代理程式掃描的角色和權限。 在 Azure 中,當您啟用無代理程式掃描時,這些權限會自動新增至您的訂用帳戶中。 在 AWS 中,這些權限會新增至 AWS 連接器中的 CloudFormation 堆疊,而在 GCP 中,權限會新增至 GCP 連接器中的上線指令碼。

  • Azure 權限 - 內建角色「VM 掃描器操作員」具有快照集程序所需的 VM 磁碟唯讀權限。 權限的詳細清單如下:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    啟用 CMK 加密磁碟的涵蓋範圍時,會使用下列這些額外的權限:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS 權限 - 當您啟用無代理程式掃描時,會將角色“VmScanner”指派給掃描器。 此角色具有建立及清除快照集 (按標籤限定範圍) 以及驗證 VM 目前狀態的最小權限集。 詳細權限如下:

    屬性
    SID VmScannerDeleteSnapshotAccess
    動作 ec2:DeleteSnapshot
    條件 "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "適用於雲端的 Microsoft Defender"}
    資源 arn:aws:ec2:::snapshot/
    影響 允許
    屬性
    SID VmScannerAccess
    動作 ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    條件
    資源 arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    影響 允許
    屬性
    SID VmScannerVerificationAccess
    動作 ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    條件
    資源 *
    影響 允許
    屬性
    SID VmScannerEncryptionKeyCreation
    動作 kms:CreateKey
    條件
    資源 *
    影響 允許
    屬性
    SID VmScannerEncryptionKeyManagement
    動作 kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    條件
    資源 arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    影響 允許
    屬性
    SID VmScannerEncryptionKeyUsage
    動作 kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    條件
    資源 arn:aws:kms::${AWS::AccountId}:key/
    影響 允許

  • GCP 權限:在上線期間,會建立一個自訂角色,具備取得執行個體狀態和建立快照集所需的最低權限。 除此之外,還會授與現有 GCP KMS 角色的權限,以支援掃描使用 CMEK 加密的磁碟。 角色如下:

    • roles/MDCAgentlessScanningRole 授與適用於雲端的 Defender 服務帳戶的權限:compute.disks.createSnapshot、compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter 授與適用於雲端的 Defender 計算引擎服務代理程式

將資料匯出至 Azure 事件中樞所需的最低 SAS 原則權限為何?

傳送是所需的最低 SAS 原則權限。 如需逐步指示,請參閱此文中的步驟 1:建立事件中樞命名空間和具有傳送權限的事件中樞