Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud verwendet zur Bereitstellung von integrierten Rollen die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC). Weisen Sie diese Rollen Benutzern, Gruppen und Diensten in Azure zu, um ihnen Den Zugriff auf Ressourcen gemäß dem definierten Zugriff der Rolle zu gewähren.
Defender für Cloud bewertet Ressourcenkonfigurationen und identifiziert Sicherheitsprobleme und Sicherheitsrisiken. Zeigen Sie in Defender für Cloud Ressourceninformationen an, wenn Ihnen eine dieser Rollen für das Abonnement oder die Ressourcengruppe zugewiesen ist: Besitzer, Beitragender oder Leser.
Zusätzlich zu den integrierten Rollen gibt es zwei spezielle Rollen für Defender für Cloud:
- Security Reader: Ein Benutzer in dieser Rolle hat schreibgeschützten Zugriff auf Defender for Cloud. Der Benutzer kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, aber keine Änderungen vornehmen.
- Sicherheitsadministrator: Ein Benutzer in dieser Rolle hat den gleichen Zugriff wie der Sicherheitsleser und kann auch Sicherheitsrichtlinien aktualisieren und Warnungen und Empfehlungen schließen.
Weisen Sie den Benutzern die am wenigsten zulässige Rolle zu, die zum Ausführen ihrer Aufgaben erforderlich ist.
Weisen Sie Benutzern beispielsweise die Rolle "Leser" zu, die nur Sicherheitsinformationen einer Ressource anzeigen müssen, ohne Maßnahmen zu ergreifen. Benutzende mit einer Leserolle können keine Empfehlungen anwenden und keine Richtlinien bearbeiten.
Rollen und zulässige Aktionen
Die folgende Tabelle zeigt die Rollen und zulässigen Aktionen in Defender für Cloud.
| Aktion |
Sicherheitsleseberechtigter / Leser |
Sicherheitsadministrator | Mitwirkender / Besitzer | Mitwirkender | Besitzer |
|---|---|---|---|---|---|
| (Ressourcengruppenebene) | (Abonnementebene) | (Abonnementebene) | |||
| Initiativen hinzufügen/zuweisen (einschließlich Standards für die Einhaltung gesetzlicher Bestimmungen) | - | ✔ | - | - | ✔ |
| Sicherheitsrichtlinie bearbeiten | - | ✔ | - | - | ✔ |
| Aktivieren/Deaktivieren von Microsoft Defender-Plänen | - | ✔ | - | ✔ | ✔ |
| Warnungen verwerfen | - | ✔ | - | ✔ | ✔ |
| Anwenden von Sicherheitsempfehlungen für eine Ressource (Verwenden von Beheben) |
- | - | ✔ | ✔ | ✔ |
| Warnungen und Empfehlungen anzeigen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Ausgenommene Sicherheitsempfehlungen | - | ✔ | - | - | ✔ |
| Konfigurieren von E-Mail-Benachrichtigungen | - | ✔ | ✔ | ✔ | ✔ |
Hinweis
Während die drei genannten Rollen zum Aktivieren und Deaktivieren von Defender für Cloud-Plänen ausreichen, ist die Rolle "Besitzer" erforderlich, um alle Funktionen eines Plans zu aktivieren.
Die spezifische Rolle, die für die Bereitstellung von Überwachungskomponenten erforderlich ist, hängt von der von Ihnen bereitgestellten Erweiterung ab. Erfahren Sie mehr über Überwachungskomponenten.
Rollen, die zum automatischen Konfigurieren von Agents und Erweiterungen verwendet werden
Um der Rolle "Sicherheitsadministrator" das automatische Konfigurieren von Agents und Erweiterungen zu ermöglichen, die in Defender für Cloud-Plänen verwendet werden, verwendet Defender für Cloud Richtlinienkorrekturen ähnlich wie Azure-Richtlinie. Um die Wartung zu nutzen, muss Defender for Cloud Dienstprinzipale erstellen, die auch als verwaltete Identitäten bezeichnet werden und Rollen auf Abonnementebene zuweisen. Beispielsweise sind die Dienstprinzipale für den Defender for Containers-Plan wie folgt:
| Dienstprinzipal | Rollen |
|---|---|
| Defender for Containers stellt Azure Kubernetes Service (AKS)-Sicherheitsprofil bereit | Mitwirkender für Kubernetes-Erweiterungen Mitwirkender Azure Kubernetes-Dienstmitwirkender Log Analytics-Mitwirkender |
| Defender for Containers stellt Arc-fähige Kubernetes bereit | Azure Kubernetes-Dienstmitwirkender Mitwirkender für Kubernetes-Erweiterungen Mitwirkender Log Analytics-Mitwirkender |
| Defender for Containers stellt Azure Policy für Kubernetes bereit | Mitwirkender für Kubernetes-Erweiterungen Mitwirkender Azure Kubernetes-Dienstmitwirkender |
| Richtlinienerweiterung für die Bereitstellung von Defender for Containers für Arc-fähiges Kubernetes | Azure Kubernetes-Dienstmitwirkender Mitwirkender für Kubernetes-Erweiterungen Mitwirkender |
Berechtigungen bei AWS
Wenn Sie einen Amazon Web Services (AWS)-Connector integrieren, erstellt Defender für Cloud Rollen und weist Ihrem AWS-Konto Berechtigungen zu. In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die jedem Plan für Ihr AWS-Konto zugewiesen wurden.
| Defender for Cloud-Plan | Erstellte Rolle | Zugewiesene Berechtigungen auf einem AWS-Konto |
|---|---|---|
| Defender Cloud Security Posture Management (CSPM) | CspmMonitorAws | Um die AWS-Ressourcenberechtigungen zu ermitteln, lesen Sie alle Ressourcen außer: consolidatedbilling: freetier: Rechnungsstellung: payments: Abrechnung: tax: cur: |
| Defender CSPM Defender für Server |
DefenderForCloud-AgentlessScanner | So erstellen und bereinigen Sie Datenträgermomentaufnahmen (nach Tag) „CreatedBy“: Berechtigungen für „Microsoft Defender for Cloud“: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Berechtigung für „EncryptionKeyCreation kms:CreateKey“ kms:ListKeys Berechtigungen für „EncryptionKeyManagement kms:TagResource“ kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender für Storage |
SensitiveDataDiscovery | Berechtigungen zum Ermitteln von S3-Buckets im AWS-Konto, Berechtigung für den Defender for Cloud-Scanner für den Zugriff auf Daten in den S3-Buckets S3 schreibgeschützt KMS-Entschlüsselung kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Berechtigungen für Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender für Server | DefenderForCloud-DefenderForServers | Berechtigungen zum Konfigurieren des JIT-Netzwerkzugriffs: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender for Containers | Siehe Defender for Containers AWS-Berechtigungen | |
| Defender für Server | DefenderForCloud-ArcAutoProvisioning | Berechtigungen zum Installieren von Azure Arc auf allen EC2-Instanzen mit SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Berechtigung zum Ermitteln von RDS-Instanzen im AWS-Konto, Erstellen einer RDS-Instanzmomentaufnahme, - Auflisten aller RDS-Datenbanken/-Cluster - Auflisten aller Datenbank-/Clustermomentaufnahmen - Kopieren aller Datenbank-/Clustermomentaufnahmen - Löschen/Aktualisieren einer Datenbank-/Clustermomentaufnahme mit dem Präfix defenderfordatabases - Auflisten aller KMS-Schlüssel - Verwenden aller KMS-Schlüssel nur für RDS im Quellkonto - Auflisten von KMS-Schlüsseln mit dem Tagpräfix DefenderForDatabases - Erstellen eines Alias für KMS-Schlüssel Erforderliche Berechtigungen zum Ermitteln, RDS-Instanzen rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Berechtigungen für GCP
Wenn Sie einen Google Cloud Platforms (GCP)-Connector integrieren, erstellt Defender für Cloud Rollen und weist Ihrem GCP-Projekt Berechtigungen zu. In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die jedem Plan für Ihr GCP-Projekt zugewiesen wurden.
| Defender for Cloud-Plan | Erstellte Rolle | Für AWS-Konto zugewiesene Berechtigung |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Mit diesen Berechtigungen kann die CSPM-Rolle Ressourcen innerhalb der Organisation ermitteln und überprüfen: Ermöglicht der Rolle das Anzeigen von Organisationen, Projekten und Ordnern: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Ermöglicht den Prozess der automatischen Bereitstellung neuer Projekte und das Entfernen gelöschter Projekte: resourcemanager.projects.get resourcemanager.projects.list Ermöglicht der Rolle die Aktivierung von Google Cloud-Diensten, die für die Ermittlung von Ressourcen verwendet werden: serviceusage.services.enable Wird zum Erstellen und Auflisten von IAM-Rollen verwendet: iam.roles.create iam.roles.list Ermöglicht der Rolle, als Dienstkonto zu fungieren und Berechtigungen für Ressourcen zu erhalten: iam.serviceAccounts.actAs Ermöglicht der Rolle, Projektdetails anzuzeigen und allgemeine Instanzmetadaten festzulegen: compute.projects.get compute.projects.setCommonInstanceMetadata Wird verwendet, um KI-Plattformressourcen innerhalb der Organisation zu ermitteln und zu scannen: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender für Server | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Schreibgeschützter Zugriff zum Abrufen und Auflisten der Compute Engine-Ressourcen: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender für Datenbank | defender-for-databases-arc-ap | Berechtigungen für die automatische Arc-Bereitstellung von Defender für Datenbanken compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender für Storage |
data-security-posture-storage | Berechtigung für den Defender for Cloud-Scanner zum Ermitteln von GCP-Speicherbuckets für den Zugriff auf Daten in den GCP-Speicherbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender für Storage |
data-security-posture-storage | Berechtigung für den Defender for Cloud-Scanner zum Ermitteln von GCP-Speicherbuckets für den Zugriff auf Daten in den GCP-Speicherbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Berechtigungen zum Abrufen von Details zur Organisationsressource. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender für Server |
MDCAgentlessScanningRole | Berechtigungen für agentlose Datenträgerüberprüfung: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender für Server |
cloudkms.cryptoKeyEncrypterDecrypter | Berechtigungen für eine vorhandene GCP-KMS-Rolle werden erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. |
| Defender for Containers | Siehe Defender for Containers GCP-Berechtigungen |
Nächste Schritte
In diesem Artikel wurde erläutert, wie Defender for Cloud Azure RBAC verwendet, um Benutzern Berechtigungen zuzuweisen und die zulässigen Aktionen für jede Rolle zu identifizieren. Informieren Sie sich als Nächstes über Folgendes, nachdem Sie sich mit den Rollenzuweisungen zum Überwachen des Sicherheitszustands Ihres Abonnements, Bearbeiten von Sicherheitsrichtlinien und Anwenden von Empfehlungen vertraut gemacht haben: