編輯

共用方式為

適用於雲端的 Defender 中許可權的常見問題

  • 常見問題集

許可權如何在 適用於雲端的 Microsoft Defender 運作?

適用於雲端的 Microsoft Defender 用法Azure 角色型訪問控制 (Azure RBAC)提供內建角色可指派給 Azure 中的使用者、群組和服務。

適用於雲端的 Defender 評估資源的設定,以識別安全性問題和弱點。 在 適用於雲端的 Defender 中,只有在您獲派資源所屬訂用帳戶或資源群組的擁有者、參與者或讀者角色時,才會看到與資源相關的資訊。

請參閱 適用於雲端的 Microsoft Defender 中的許可權,以深入瞭解角色和 適用於雲端的 Defender 中允許的動作。

神秘 可以修改安全策略嗎?

若要修改安全策略,您必須是安全性 管理員 或該訂用帳戶的擁有者或參與者。

若要瞭解如何設定安全策略,請參閱在 適用於雲端的 Microsoft Defender 中設定安全策略。

無代理程序掃描會使用哪些許可權?

此處列出 適用於雲端的 Defender 用來在 Azure、AWS 和 GCP 環境中執行無代理程序掃描的角色和許可權。 在 Azure 中,當您啟用無代理程式掃描時,這些許可權會自動新增至您的訂用帳戶。 在 AWS 中,這些許可權會 新增至 AWS 連接器 中的 CloudFormation 堆疊,而 GCP 許可權會新增至 GCP 連接器中的上線腳本。

  • Azure 許可權 - 內建角色「VM 掃描器操作員」具有快照集程式所需的 VM 磁碟只讀許可權。 權限的詳細清單如下:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    開啟 CMK 加密磁碟的涵蓋範圍時,會使用這些額外的權限:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS 許可權 - 當您啟用無代理程序掃描時,會將角色 「VmScanner」 指派給掃描器。 此角色具有最少的許可權集,可建立和清除快照集(以標籤為範圍),並驗證 VM 的目前狀態。 詳細權限如下:

    屬性
    SID VmScannerDeleteSnapshotAccess
    動作 ec2:DeleteSnapshot
    條件 “StringEquals”:{“ec2:ResourceTag/CreatedBy”:
    “適用於雲端的 Microsoft Defender”}
    資源 arn:aws:ec2:::snapshot/
    影響 允許
    屬性
    SID VmScannerAccess
    動作 ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    條件
    資源 arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    影響 允許
    屬性
    SID VmScannerVerificationAccess
    動作 ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    條件
    資源 *
    影響 允許
    屬性
    SID VmScannerEncryptionKeyCreation
    動作 kms:CreateKey
    條件
    資源 *
    影響 允許
    屬性
    SID VmScannerEncryptionKeyManagement
    動作 kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    條件
    資源 arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    影響 允許
    屬性
    SID VmScannerEncryptionKeyUsage
    動作 kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    條件
    資源 arn:aws:kms::${AWS::AccountId}:key/
    影響 允許

  • GCP 許可權:在上架期間 - 建立新的自定義角色,具有取得實例狀態和建立快照集所需的最低許可權。 除了現有 GCP KMS 角色的許可權之外,也會授與該許可權,以支援使用 CMEK 加密的磁碟。 角色如下:

    • roles/MDCAgentlessScanningRole 授與 適用於雲端的 Defender 具有許可權的服務帳戶:compute.disks.createSnapshot、compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter granted to 適用於雲端的 Defender 的計算引擎服務代理程式

將數據匯出至 Azure 事件中樞 時所需的最低 SAS 原則許可權為何?

傳送 是所需的最低 SAS 原則許可權。 如需逐步指示,請參閱本文中的步驟 1:建立具有傳送許可權的事件中樞命名空間和事件中樞。