Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender voor Cloud gebruikt Op rollen gebaseerd toegangsbeheer van Azure (op rollen gebaseerd toegangsbeheer van Azure) om ingebouwde rollen te bieden. Wijs deze rollen toe aan gebruikers, groepen en services in Azure om ze toegang te geven tot resources op basis van de gedefinieerde toegang van de rol.
Defender for Cloud evalueert resourceconfiguraties en identificeert beveiligingsproblemen en kwetsbaarheden. Bekijk in Defender voor Cloud resourcegegevens wanneer een van deze rollen is toegewezen voor het abonnement of de resourcegroep: Eigenaar, Inzender of Lezer.
Naast de ingebouwde rollen zijn er twee rollen die specifiek zijn voor Defender voor Cloud:
- Beveiligingslezer: een gebruiker in deze rol heeft alleen-lezentoegang tot Defender for Cloud. De gebruiker kan aanbevelingen, waarschuwingen, beveiligingsbeleid en beveiligingsstatussen bekijken, maar kan geen wijzigingen aanbrengen.
- Beveiligingsbeheerder: een gebruiker in deze rol heeft dezelfde toegang als de beveiligingslezer en kan ook beveiligingsbeleid bijwerken en waarschuwingen en aanbevelingen negeren.
Wijs de minst permissieve rol toe die gebruikers nodig hebben om hun taken te voltooien.
Wijs bijvoorbeeld de rol Lezer toe aan gebruikers die alleen beveiligingsstatusgegevens van een resource hoeven te bekijken zonder actie te ondernemen. Gebruikers met de rol Lezer kunnen geen aanbevelingen toepassen of beleidsregels bewerken.
Rollen en toegestane acties
In de volgende tabel worden rollen en toegestane acties in Defender voor Cloud weergegeven.
| Actie |
Beveiligingslezer / Lezer |
Beveiligingsbeheerder | Eigenaar van inzender / | Inzender | Eigenaar |
|---|---|---|---|---|---|
| (Niveau van resourcegroep) | (Abonnementsniveau) | (Abonnementsniveau) | |||
| Initiatieven toevoegen/toewijzen (inclusief standaarden voor naleving van regelgeving) | - | ✔ | - | - | ✔ |
| Beveiligingsbeleid bewerken | - | ✔ | - | - | ✔ |
| Microsoft Defender-abonnementen in- of uitschakelen | - | ✔ | - | ✔ | ✔ |
| Waarschuwingen verwijderen | - | ✔ | - | ✔ | ✔ |
| Beveiligingsaanaanveling toepassen voor een resource (Oplossing gebruiken) |
- | - | ✔ | ✔ | ✔ |
| Meldingen en aanbevelingen weergeven | ✔ | ✔ | ✔ | ✔ | ✔ |
| Beveiligingsaanaanveling uitsluiten | - | ✔ | - | - | ✔ |
| E-mailmeldingen configureren | - | ✔ | ✔ | ✔ | ✔ |
Notitie
Hoewel de drie genoemde rollen voldoende zijn voor het in- en uitschakelen van Defender voor Cloud-abonnementen, is de rol Eigenaar vereist om alle mogelijkheden van een plan in te schakelen.
De specifieke rol die is vereist voor het implementeren van bewakingsonderdelen, is afhankelijk van de extensie die u implementeert. Meer informatie over bewakingsonderdelen.
Rollen die worden gebruikt om agents en extensies automatisch te configureren
Om toe te staan dat de rol Beveiligingsbeheerder automatisch agents en extensies configureert die worden gebruikt in Defender for Cloud-abonnementen, maakt Defender for Cloud gebruik van beleidsherstel dat vergelijkbaar is met Azure Policy. Om herstel te kunnen gebruiken, moet Defender for Cloud service-principals maken, ook wel beheerde identiteiten genoemd, die rollen toewijzen op abonnementsniveau. De service-principals voor het Defender for Containers-plan zijn bijvoorbeeld:
| Service-principal | Rollen |
|---|---|
| AKS-beveiligingsprofiel (Azure Kubernetes Service) inrichten voor Defender for Containers | Inzender voor Kubernetes-extensies Inzender Inzender voor Azure Kubernetes Service Inzender van Log Analytics |
| Defender for Containers inrichten met Kubernetes met Arc | Inzender voor Azure Kubernetes Service Inzender voor Kubernetes-extensies Inzender Inzender van Log Analytics |
| Defender for Containers inrichten van Azure Policy voor Kubernetes | Inzender voor Kubernetes-extensies Inzender Inzender voor Azure Kubernetes Service |
| Defender for Containers-inrichtingsbeleidsextensie voor Kubernetes met Arc | Inzender voor Azure Kubernetes Service Inzender voor Kubernetes-extensies Inzender |
Machtigingen voor AWS
Wanneer u een Amazon Web Services-connector (AWS) onboardt, maakt Defender for Cloud rollen en wijst u machtigingen toe voor uw AWS-account. In de volgende tabel ziet u de rollen en machtigingen die zijn toegewezen door elk plan in uw AWS-account.
| Defender voor Cloud-abonnement | Rol gemaakt | Machtigingen die zijn toegewezen aan aws-account |
|---|---|---|
| Defender Cloud Security Posture Management (CSPM) | CspmMonitorAws | Als u machtigingen voor AWS-resources wilt detecteren, leest u alle resources, behalve: geconsolideerdebilling: vrijetier: facturering: Betalingen: Facturering: belasting: Cur: |
| Defender CSPM Defender voor Servers |
DefenderForCloud-AgentlessScanner | Schijfmomentopnamen maken en opschonen (scoped by tag) CreatedBy: "Microsoft Defender voor Cloud" Machtigingen: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Machtiging voor EncryptionKeyCreation kms:CreateKey kms:ListKeys Machtigingen voor EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender voor Opslag |
SensitiveDataDiscovery | Machtigingen voor het detecteren van S3-buckets in het AWS-account, machtiging voor de Defender voor Cloud scanner voor toegang tot gegevens in de S3-buckets Alleen-lezen S3 KMS-ontsleuteling kms:Ontsleutelen |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Machtigingen voor Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender voor Servers | DefenderForCloud-DefenderForServers | Machtigingen voor het configureren van JIT-netwerktoegang: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender voor Containers | Zie AwS-machtigingen voor Defender for Containers | |
| Defender voor Servers | DefenderForCloud-ArcAutoProvisioning | Machtigingen voor het installeren van Azure Arc op alle EC2-exemplaren met behulp van SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Machtiging voor het detecteren van RDS-exemplaren in het AWS-account, het maken van een momentopname van het RDS-exemplaar, - Alle RDS DB's/clusters weergeven - Alle db-/clustermomentopnamen weergeven - Alle momentopnamen van db/cluster kopiëren - Db-/clustermomentopname verwijderen/bijwerken met voorvoegsel defenderfordatabases - Alle KMS-sleutels weergeven - Gebruik alle KMS-sleutels alleen voor RDS in het bronaccount - KMS-sleutels vermelden met tagvoorvoegsel DefenderForDatabases - Alias maken voor KMS-sleutels Vereiste machtigingen voor het detecteren van RDS-exemplaren rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Versleutelen kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Machtigingen voor GCP
Wanneer u een GCP-connector (Google Cloud Platforms) onboardt, maakt Defender for Cloud rollen en wijst u machtigingen toe aan uw GCP-project. In de volgende tabel ziet u de rollen en machtigingen die door elk plan in uw GCP-project zijn toegewezen.
| Defender voor Cloud-abonnement | Rol gemaakt | Machtiging toegewezen aan AWS-account |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Met deze machtigingen kan de CSPM-rol resources binnen de organisatie detecteren en scannen: Hiermee kunt u de rol weergeven en organisaties, projecten en mappen: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Hiermee staat u het automatische inrichtingsproces van nieuwe projecten toe en verwijdert u verwijderde projecten: resourcemanager.projects.get resourcemanager.projects.list Hiermee kan de rol Google Cloud-services inschakelen die worden gebruikt voor de detectie van resources: serviceusage.services.enable Wordt gebruikt om IAM-rollen te maken en weer te geven: iam.roles.create iam.roles.list Hiermee kan de rol fungeren als een serviceaccount en machtigingen krijgen voor resources: iam.serviceAccounts.actAs Hiermee kan de rol projectdetails weergeven en algemene metagegevens van exemplaren instellen: compute.projects.get compute.projects.setCommonInstanceMetadata Wordt gebruikt voor het detecteren en scannen van AI-platformbronnen binnen de organisatie: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender voor Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Alleen-lezentoegang voor het ophalen en vermelden van Compute Engine-resources: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender voor Databases | defender-for-databases-arc-ap | Machtigingen voor automatische inrichting van Defender for Databases ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender voor Opslag |
gegevensbeveiliging-houding-opslag | Machtiging voor de Defender voor Cloud scanner voor het detecteren van GCP-opslagbuckets voor toegang tot gegevens in de GCP-opslagbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender voor Opslag |
gegevensbeveiliging-houding-opslag | Machtiging voor de Defender voor Cloud scanner voor het detecteren van GCP-opslagbuckets voor toegang tot gegevens in de GCP-opslagbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Machtigingen voor het ophalen van details over de organisatieresource. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender voor Servers |
MDCAgentlessScanningRole | Machtigingen voor scannen op schijven zonder agent: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender voor servers |
cloudkms.cryptoKeyEncrypterDecrypter | Machtigingen voor een bestaande GCP KMS-rol worden verleend ter ondersteuning van scanschijven die zijn versleuteld met CMEK |
| Defender voor Containers | Zie GCP-machtigingen voor Defender for Containers |
Volgende stappen
In dit artikel wordt uitgelegd hoe Defender voor Cloud op rollen gebaseerd toegangsbeheer van Azure gebruikt om machtigingen toe te wijzen aan gebruikers en de toegestane acties voor elke rol te identificeren. Nu u bekend bent met de roltoewijzingen die nodig zijn voor het bewaken van de beveiligingsstatus van uw abonnement, het bewerken van beveiligingsbeleid en het toepassen van aanbevelingen, kunt u het volgende gaan leren: