Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Defender for Cloud usa o controle de acesso baseado em função do Azure (Controle de Acesso Baseado em Função do Azure) para fornecer funções internas. Atribua essas funções a usuários, grupos e serviços no Azure para dar-lhes acesso a recursos de acordo com o acesso definido da função.
O Defender for Cloud avalia as configurações de recursos e identifica problemas de segurança e vulnerabilidades. No Defender for Cloud, exiba as informações do recurso quando lhe for atribuída uma destas funções para a subscrição ou grupo de recursos: Proprietário, Colaborador ou Leitor.
Além das funções internas, há duas funções específicas do Defender for Cloud:
- Leitor de segurança: um usuário nessa função tem acesso somente leitura ao Defender for Cloud. O usuário pode exibir recomendações, alertas, políticas de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de Segurança: um usuário nessa função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar políticas de segurança e descartar alertas e recomendações.
Atribua a função menos permissiva necessária para que os usuários concluam suas tarefas.
Por exemplo, atribua a função Leitor a usuários que só precisam exibir informações de integridade de segurança de um recurso sem tomar nenhuma ação. Os usuários com uma função de Leitor não podem aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela a seguir exibe funções e ações permitidas no Defender for Cloud.
| Ação |
Leitor de Segurança / Leitor |
Administrador de Segurança | Proprietário do / Colaborador | Contribuinte | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de subscrição) | (Nível de subscrição) | |||
| Adicionar/atribuir iniciativas (incluindo normas de conformidade regulamentar) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Ativar/desativar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendações de segurança para um recurso (Usar correção) |
- | - | ✔ | ✔ | ✔ |
| Ver alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendações de segurança isentas | - | ✔ | - | - | ✔ |
| Configurar as notificações por e-mail | - | ✔ | ✔ | ✔ | ✔ |
Nota
Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar os planos do Defender for Cloud, a função Proprietário é necessária para habilitar todos os recursos de um plano.
A função específica necessária para implantar componentes de monitoramento depende da extensão implantada. Saiba mais sobre o monitoramento de componentes.
Funções usadas para configurar automaticamente agentes e extensões
Para permitir que a função Administrador de Segurança configure automaticamente agentes e extensões usados nos planos do Defender for Cloud, o Defender for Cloud usa a correção de políticas semelhante à Política do Azure. Para usar a remediação, o Defender for Cloud precisa criar entidades de serviço, também chamadas de identidades geridas, que atribuam funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano Defender for Containers são:
| Principal de Serviço | Funções |
|---|---|
| Defender for Containers provisionando o Perfil de Segurança do Serviço Kubernetes do Azure (AKS) | Colaborador de extensão do Kubernetes Contribuinte Colaborador do Serviço Kubernetes do Azure Contribuidor do Log Analytics |
| Kubernetes habilitado para Arc do Defender for Containers | Colaborador do Serviço Kubernetes do Azure Colaborador de extensão do Kubernetes Contribuinte Contribuidor do Log Analytics |
| Defender for Containers provisionando a Política do Azure para Kubernetes | Colaborador de extensão do Kubernetes Contribuinte Colaborador do Serviço Kubernetes do Azure |
| Extensão da política de provisionamento do Defender for Containers para Kubernetes habilitado para Arc | Colaborador do Serviço Kubernetes do Azure Colaborador de extensão do Kubernetes Contribuinte |
Permissões na AWS
Quando você integra um conector da Amazon Web Services (AWS), o Defender for Cloud cria funções e atribui permissões à sua conta da AWS. A tabela a seguir mostra as funções e permissões atribuídas por cada plano na sua conta da AWS.
| Plano Defender for Cloud | Função criada | Permissões atribuídas na conta da AWS |
|---|---|---|
| Gestão de Postura de Segurança na Nuvem do Defender (CSPM) | CspmMonitorAws | Para descobrir permissões de recursos da AWS, leia todos os recursos, exceto: Faturamento consolidado: mais livre: Faturação: Pagamentos: Faturação: imposto: cur: |
| Zagueiro CSPM Defender para Servidores |
DefenderForCloud-AgentlessScanner | Para criar e limpar instantâneos de disco (com escopo por tag) "CreatedBy": "Microsoft Defender for Cloud" Permissões: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CriarTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permissão para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permissões para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Zagueiro CSPM Defender para armazenamento |
SensitiveDataDiscovery | Permissões para descobrir buckets do S3 na conta da AWS, permissão para o scanner do Defender for Cloud acessar dados nos buckets do S3 S3 somente leitura Desencriptação KMS kms:Desencriptar |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permissões para Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender para Servidores | DefenderForCloud-DefenderForServers | Permissões para configurar o acesso à rede JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescreverSub-redes ec2:DescreverSecurityGroups |
| Defender para contentores | Consulte Permissões AWS do Defender for Containers | |
| Defender para Servidores | DefenderForCloud-ArcAutoProvisioning | Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| GPSC do Defender | DefenderForCloud-DataSecurityPostureDB | Permissão para descobrir instâncias do RDS na conta da AWS, criar snapshot da instância do RDS, - Listar todos os DBs/clusters RDS - Listar todos os snapshots de banco de dados/cluster - Copie todos os snapshots de banco de dados/cluster - Excluir/atualizar DB/cluster snapshot com prefixo defenderfordatabases - Listar todas as chaves KMS - Use todas as chaves KMS apenas para RDS na conta de origem - Listar chaves KMS com prefixo de tag DefenderForDatabases - Criar alias para chaves KMS Permissões necessárias para descobrir instâncias RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encriptar kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permissões no GCP
Quando você integra um conector do Google Cloud Platforms (GCP), o Defender for Cloud cria funções e atribui permissões ao seu projeto GCP. A tabela a seguir mostra as funções e permissões atribuídas por cada plano em seu projeto GCP.
| Plano Defender for Cloud | Função criada | Permissão atribuída na conta da AWS |
|---|---|---|
| GPSC do Defender | MDCCspmCustomRole | Essas permissões permitem que a função CSPM descubra e analise recursos dentro da organização: Permite que a função exiba e organizações, projetos e pastas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizações.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite o processo de autoprovisionamento de novos projetos e remoção de projetos excluídos: resourcemanager.projects.get resourcemanager.projects.list Permite que a função habilite os serviços do Google Cloud usados para a descoberta de recursos: serviceusage.services.enable Usado para criar e listar funções do IAM: iam.roles.create iam.roles.lista Permite que a função atue como uma conta de serviço e obtenha permissão para recursos: iam.serviceAccounts.atas Permite que a função visualize detalhes do projeto e defina metadados de instância comuns: compute.projects.get compute.projects.setCommonInstanceMetadata Usado para descobrir e verificar recursos da plataforma de IA dentro da organização: aiplatform.batchPredictionJobs.lista aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.lista aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender para Servidores | Microsoft-Defender-for-Servers azure-arc-for-servers-onboard |
Acesso somente leitura para obter e listar recursos do Compute Engine: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender para banco de dados | defender-for-databases-arc-ap | Permissões para o Defender para bancos de dados ARC provisionamento automático compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Zagueiro CSPM Defender para armazenamento |
dados-segurança-postura-armazenamento | Permissão para o scanner do Defender for Cloud descobrir buckets de armazenamento GCP, para acessar dados nos buckets de armazenamento GCP storage.objects.list storage.objects.get storage.buckets.get |
| Zagueiro CSPM Defender para armazenamento |
dados-segurança-postura-armazenamento | Permissão para o scanner do Defender for Cloud descobrir buckets de armazenamento GCP, para acessar dados nos buckets de armazenamento GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSC do Defender | Microsoft-Defender-Ciem | Permissões para obter detalhes sobre o recurso da organização. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizações.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Zagueiro CSPM Defender para Servidores |
MDCAgentlessScanningRole | Permissões para varredura de disco sem agente: compute.disks.createSnapshot compute.instances.get |
| Zagueiro CSPM Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | As permissões para uma função KMS existente do GCP são concedidas para dar suporte à varredura de discos criptografados com CMEK |
| Defender para contentores | Consulte Defender for Containers GCP permissions |
Próximos passos
Este artigo explicou como o Defender for Cloud usa o Controle de Acesso Baseado em Função do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança da sua assinatura, editar políticas de segurança e aplicar recomendações, saiba como: