Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender dla Chmury używa Kontrola dostępu oparta na rolach platformy Azure (Kontrola dostępu oparta na rolach na platformie Azure) w celu zapewnienia wbudowanych ról. Przypisz te role do użytkowników, grup i usług na platformie Azure, aby zapewnić im dostęp do zasobów zgodnie ze zdefiniowanym dostępem roli.
Usługa Defender for Cloud ocenia konfiguracje zasobów i identyfikuje problemy z zabezpieczeniami i luki w zabezpieczeniach. W usłudze Defender for Cloud wyświetl informacje o zasobach, gdy przypisano jedną z tych ról dla subskrypcji lub grupy zasobów: właściciel, współautor lub czytelnik.
Oprócz wbudowanych ról istnieją dwie role specyficzne dla Defender dla Chmury:
- Czytelnik zabezpieczeń: użytkownik w tej roli ma dostęp tylko do odczytu do usługi Defender for Cloud. Użytkownik może wyświetlać zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.
- Administrator zabezpieczeń: użytkownik w tej roli ma taki sam dostęp jak czytelnik zabezpieczeń, a także może aktualizować zasady zabezpieczeń i odrzucać alerty i zalecenia.
Przypisz najmniej permissywną rolę wymaganą dla użytkowników do wykonania swoich zadań.
Na przykład przypisz rolę Czytelnik do użytkowników, którzy muszą wyświetlać tylko informacje o kondycji zabezpieczeń zasobu bez podejmowania żadnych działań. Użytkownicy z rolą Czytelnik nie mogą stosować zaleceń ani edytować zasad.
Role i dozwolone akcje
W poniższej tabeli przedstawiono role i dozwolone akcje w Defender dla Chmury.
| Akcja |
Czytelnik zabezpieczeń / Czytelnik |
Administrator zabezpieczeń | Właściciel współautora / | Współautor | Właściciel |
|---|---|---|---|---|---|
| (Poziom grupy zasobów) | (Poziom subskrypcji) | (Poziom subskrypcji) | |||
| Dodawanie/przypisywanie inicjatyw (w tym standardów zgodności z przepisami) | - | ✔ | - | - | ✔ |
| Edytowanie zasad zabezpieczeń | - | ✔ | - | - | ✔ |
| Włączanie/wyłączanie planów usługi Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Odrzucanie alertów | - | ✔ | - | ✔ | ✔ |
| Stosowanie zaleceń dotyczących zabezpieczeń dla zasobu (użyj poprawki) |
- | - | ✔ | ✔ | ✔ |
| Wyświetlanie alertów i zaleceń | ✔ | ✔ | ✔ | ✔ | ✔ |
| Zalecenia dotyczące wykluczonych zabezpieczeń | - | ✔ | - | - | ✔ |
| Konfigurowanie powiadomień e-mail | - | ✔ | ✔ | ✔ | ✔ |
Uwaga
Chociaż wymienione trzy role są wystarczające do włączania i wyłączania planów usługi Defender for Cloud, rola Właściciel jest wymagana do włączenia wszystkich możliwości planu.
Określona rola wymagana do wdrożenia składników monitorowania zależy od wdrożonego rozszerzenia. Dowiedz się więcej o składnikach monitorowania.
Role używane do automatycznego konfigurowania agentów i rozszerzeń
Aby zezwolić administratorowi zabezpieczeń na automatyczne konfigurowanie agentów i rozszerzeń używanych w planach usługi Defender for Cloud, usługa Defender for Cloud używa korygowania zasad podobnych do usługi Azure Policy. Aby można było użyć korygowania, usługa Defender for Cloud musi tworzyć jednostki usługi nazywane również tożsamościami zarządzanymi, które przypisują role na poziomie subskrypcji. Na przykład jednostki usługi dla planu usługi Defender for Containers to:
| Jednostka usługi | Role |
|---|---|
| Usługa Defender for Containers aprowizacja profilu zabezpieczeń usługi Azure Kubernetes Service (AKS) | Współautor rozszerzenia Kubernetes Współautor Współautor usługi Azure Kubernetes Service Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja platformy Kubernetes z obsługą usługi Arc | Współautor usługi Azure Kubernetes Service Współautor rozszerzenia Kubernetes Współautor Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja usługi Azure Policy dla platformy Kubernetes | Współautor rozszerzenia Kubernetes Współautor Współautor usługi Azure Kubernetes Service |
| Rozszerzenie zasad aprowizacji usługi Defender for Containers dla platformy Kubernetes z obsługą usługi Arc | Współautor usługi Azure Kubernetes Service Współautor rozszerzenia Kubernetes Współautor |
Uprawnienia na platformie AWS
Po dołączeniu łącznika usług Amazon Web Services (AWS) usługa Defender for Cloud tworzy role i przypisuje uprawnienia na koncie platformy AWS. W poniższej tabeli przedstawiono role i uprawnienia przypisane przez każdy plan na koncie platformy AWS.
| plan Defender dla Chmury | Utworzono rolę | Uprawnienia przypisane na koncie platformy AWS |
|---|---|---|
| Zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) | CspmMonitorAws | Aby odnaleźć uprawnienia zasobów platformy AWS, przeczytaj wszystkie zasoby z wyjątkiem: konsolidacja: freetier: Fakturowania: Płatności: Rozliczeń: podatek: kundel: |
| CSPM w usłudze Defender Defender dla Serwerów |
DefenderForCloud-AgentlessScanner | Aby utworzyć i wyczyścić migawki dysku (w zakresie według tagu) "CreatedBy": "Microsoft Defender dla Chmury" Uprawnienia: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Uprawnienie do klucza EncryptionKeyCreation kms:CreateKey kms:ListKeys Uprawnienia do klucza EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM w usłudze Defender Defender dla magazynowania |
SensitiveDataDiscovery | Uprawnienia do odnajdywania zasobników S3 na koncie platformy AWS, uprawnienia do skanera Defender dla Chmury w celu uzyskania dostępu do danych w zasobnikach S3 Tylko do odczytu S3 Odszyfrowywanie usługi KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Uprawnienia do odnajdywania ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender dla Serwerów | DefenderForCloud-DefenderForServers | Uprawnienia do konfigurowania dostępu sieciowego JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender dla Kontenerów | Zobacz Uprawnienia AWS dla Defender for Containers | |
| Defender dla Serwerów | DefenderForCloud-ArcAutoProvisioning | Uprawnienia do instalowania usługi Azure Arc we wszystkich wystąpieniach usługi EC2 przy użyciu programu SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Obrońca CSPM | DefenderForCloud-DataSecurityPostureDB | Uprawnienie do odnajdywania wystąpień usług pulpitu zdalnego na koncie platformy AWS, tworzenia migawki wystąpienia usług pulpitu zdalnego, — Wyświetlanie listy wszystkich baz danych/klastrów usług pulpitu zdalnego — Wyświetlanie listy wszystkich migawek bazy danych/klastra — Kopiowanie wszystkich migawek bazy danych/klastra — Usuwanie/aktualizowanie migawki bazy danych/klastra za pomocą prefiksu defenderfordatabases — Wyświetlanie listy wszystkich kluczy usługi KMS — Używaj wszystkich kluczy usługi KMS tylko dla usług pulpitu zdalnego na koncie źródłowym — Wyświetlanie listy kluczy usługi KMS z prefiksem tagu DefenderForDatabases — Tworzenie aliasu dla kluczy usługi KMS Uprawnienia wymagane do odnajdywania wystąpień usług pulpitu zdalnego rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Szyfruj kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Uprawnienia na platformie GCP
Po dołączeniu łącznika Google Cloud Platforms (GCP) usługa Defender for Cloud tworzy role i przypisuje uprawnienia do projektu GCP. W poniższej tabeli przedstawiono role i uprawnienia przypisane przez każdy plan w projekcie GCP.
| plan Defender dla Chmury | Utworzono rolę | Uprawnienie przypisane na koncie platformy AWS |
|---|---|---|
| Obrońca CSPM | MDCCspmCustomRole | Te uprawnienia umożliwiają roli CSPM odnajdywanie i skanowanie zasobów w organizacji: Umożliwia roli wyświetlanie i organizacje, projekty i foldery: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Umożliwia automatyczne aprowizowanie nowych projektów i usuwanie usuniętych projektów: resourcemanager.projects.get resourcemanager.projects.list Umożliwia roli włączenie usług Google Cloud używanych do odnajdywania zasobów: serviceusage.services.enable Służy do tworzenia i wyświetlania listy ról IAM: iam.roles.create iam.roles.list Umożliwia roli działanie jako konto usługi i uzyskiwanie uprawnień do zasobów: iam.serviceAccounts.actAs Umożliwia roli wyświetlanie szczegółów projektu i ustawianie typowych metadanych wystąpienia: compute.projects.get compute.projects.setCommonInstanceMetadata Służy do odnajdywania i skanowania zasobów platformy sztucznej inteligencji w organizacji: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engine.list notebooks.instances.list |
| Defender dla Serwerów | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Dostęp tylko do odczytu w celu pobrania i wyświetlenia listy zasobów aparatu obliczeniowego: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Ochrona dla bazy danych | defender-for-databases-arc-ap | Uprawnienia do automatycznej aprowizacji usługi Defender dla baz danych ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM w usłudze Defender Defender dla magazynowania |
data-security-posture-storage | Uprawnienie do skanera Defender dla Chmury odnajdywania zasobników magazynu GCP w celu uzyskania dostępu do danych w zasobnikach magazynu GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM w usłudze Defender Defender dla magazynowania |
data-security-posture-storage | Uprawnienie do skanera Defender dla Chmury odnajdywania zasobników magazynu GCP w celu uzyskania dostępu do danych w zasobnikach magazynu GCP storage.objects.list storage.objects.get storage.buckets.get |
| Obrońca CSPM | microsoft-defender-ciem | Uprawnienia do uzyskiwania szczegółowych informacji o zasobie organizacji. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM w usłudze Defender Defender dla Serwerów |
MDCAgentlessScanningRole | Uprawnienia do skanowania dysków bez agenta: compute.disks.createSnapshot compute.instances.get |
| CSPM w usłudze Defender Usługa Defender dla serwerów |
cloudkms.cryptoKeyEncrypterDecrypter | Uprawnienia do istniejącej roli usługi KMS GCP są przyznawane w celu obsługi skanowania dysków zaszyfrowanych przy użyciu klucza CMEK |
| Defender dla Kontenerów | Zobacz Uprawnienia GCP usługi Defender for Containers |
Następne kroki
W tym artykule wyjaśniono, jak Defender dla Chmury używa kontroli dostępu opartej na rolach platformy Azure w celu przypisania uprawnień do użytkowników i zidentyfikowania dozwolonych akcji dla każdej roli. Teraz, gdy znasz przypisania ról potrzebne do monitorowania stanu zabezpieczeń subskrypcji, edytowania zasad zabezpieczeń i stosowania zaleceń, dowiedz się, jak: