許可權如何在 適用於雲端的 Microsoft Defender 運作?
適用於雲端的 Microsoft Defender 用法Azure 角色型訪問控制 (Azure RBAC)提供內建角色,可指派給 Azure 中的使用者、群組和服務。
適用於雲端的 Defender 評估資源的設定,以識別安全性問題和弱點。 在 適用於雲端的 Defender 中,只有在您獲派資源所屬訂用帳戶或資源群組的擁有者、參與者或讀者角色時,才會看到與資源相關的資訊。
請參閱 適用於雲端的 Microsoft Defender 中的許可權,以深入瞭解角色和 適用於雲端的 Defender 中允許的動作。
神秘 可以修改安全策略嗎?
若要修改安全策略,您必須是安全性 管理員 或該訂用帳戶的擁有者或參與者。
若要瞭解如何設定安全策略,請參閱在 適用於雲端的 Microsoft Defender 中設定安全策略。
無代理程序掃描會使用哪些許可權?
此處列出 適用於雲端的 Defender 用來在 Azure、AWS 和 GCP 環境中執行無代理程序掃描的角色和許可權。 在 Azure 中,當您啟用無代理程式掃描時,這些許可權會自動新增至您的訂用帳戶。 在 AWS 中,這些許可權會 新增至 AWS 連接器 中的 CloudFormation 堆疊,而 GCP 許可權會新增至 GCP 連接器中的上線腳本。
Azure 許可權 - 內建角色「VM 掃描器操作員」具有快照集程式所需的 VM 磁碟只讀許可權。 權限的詳細清單如下:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
開啟 CMK 加密磁碟的涵蓋範圍時,會使用這些額外的權限:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
AWS 許可權 - 當您啟用無代理程序掃描時,會將角色 「VmScanner」 指派給掃描器。 此角色具有最少的許可權集,可建立和清除快照集(以標籤為範圍),並驗證 VM 的目前狀態。 詳細權限如下:
屬性 值 SID VmScannerDeleteSnapshotAccess 動作 ec2:DeleteSnapshot 條件 “StringEquals”:{“ec2:ResourceTag/CreatedBy”:
“適用於雲端的 Microsoft Defender”}資源 arn:aws:ec2:::snapshot/ 影響 允許 屬性 值 SID VmScannerAccess 動作 ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshot條件 無 資源 arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/影響 允許 屬性 值 SID VmScannerVerificationAccess 動作 ec2:DescribeSnapshots
ec2:DescribeInstanceStatus條件 無 資源 * 影響 允許 屬性 值 SID VmScannerEncryptionKeyCreation 動作 kms:CreateKey 條件 無 資源 * 影響 允許 屬性 值 SID VmScannerEncryptionKeyManagement 動作 kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTags條件 無 資源 arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey影響 允許 屬性 值 SID VmScannerEncryptionKeyUsage 動作 kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom條件 無 資源 arn:aws:kms::${AWS::AccountId}:key/ 影響 允許 GCP 許可權:在上架期間 - 建立新的自定義角色,具有取得實例狀態和建立快照集所需的最低許可權。 除了現有 GCP KMS 角色的許可權之外,也會授與該許可權,以支援使用 CMEK 加密的磁碟。 角色如下:
- roles/MDCAgentlessScanningRole 授與 適用於雲端的 Defender 具有許可權的服務帳戶:compute.disks.createSnapshot、compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter granted to 適用於雲端的 Defender 的計算引擎服務代理程式
將數據匯出至 Azure 事件中樞 時所需的最低 SAS 原則許可權為何?
傳送 是所需的最低 SAS 原則許可權。 如需逐步指示,請參閱本文中的步驟 1:建立具有傳送許可權的事件中樞命名空間和事件中樞。