Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per il cloud usa il controllo degli accessi in base al ruolo di Azure per fornire ruoli predefiniti. Assegnare questi ruoli a utenti, gruppi e servizi in Azure per concedere loro l'accesso alle risorse in base all'accesso definito del ruolo.
Defender for Cloud valuta le configurazioni delle risorse e identifica i problemi di sicurezza e le vulnerabilità. In Defender for Cloud visualizzare le informazioni sulle risorse quando viene assegnato uno di questi ruoli per la sottoscrizione o il gruppo di risorse: Proprietario, Collaboratore o Lettore.
Oltre ai ruoli predefiniti, esistono due ruoli specifici di Defender per il Cloud:
- Lettore della Sicurezza: un utente di questo ruolo ha accesso in sola lettura a Defender for Cloud. L'utente può visualizzare raccomandazioni, avvisi, criteri di sicurezza e stati di sicurezza, ma non può apportare modifiche.
- Amministratore della sicurezza: un utente in questo ruolo ha lo stesso accesso del lettore di sicurezza e può anche aggiornare i criteri di sicurezza e ignorare avvisi e raccomandazioni.
Assegnare il ruolo meno permissivo necessario per consentire agli utenti di completare le attività.
Ad esempio, assegnare il ruolo Lettore agli utenti che devono visualizzare solo le informazioni sull'integrità di sicurezza di una risorsa senza eseguire alcuna azione. Gli utenti con un ruolo Lettore non possono applicare raccomandazioni o modificare i criteri.
Ruoli e azioni consentite
La tabella seguente contiene i ruoli e le azioni consentite in Defender per il Cloud.
| Azione |
Ruolo con autorizzazioni di lettura per la sicurezza / Lettore |
Amministrazione della protezione | Collaboratore / Proprietario | Collaboratore | Proprietario |
|---|---|---|---|---|---|
| (Livello di gruppo di risorse) | (A livello di sottoscrizione) | (A livello di sottoscrizione) | |||
| Aggiungere/assegnare iniziative, inclusi gli standard di conformità alle normative | - | ✔ | - | - | ✔ |
| Modificare i criteri di sicurezza | - | ✔ | - | - | ✔ |
| Abilitare/disabilitare i piani di Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorare gli avvisi | - | ✔ | - | ✔ | ✔ |
| Applicare i suggerimenti per la sicurezza per una risorsa (Usare Correzione) |
- | - | ✔ | ✔ | ✔ |
| Visualizzare gli avvisi e le raccomandazioni | ✔ | ✔ | ✔ | ✔ | ✔ |
| Esentare le raccomandazioni sulla sicurezza | - | ✔ | - | - | ✔ |
| Configurare le notifiche di posta elettronica | - | ✔ | ✔ | ✔ | ✔ |
Note
Anche se i tre ruoli indicati sono sufficienti per abilitare e disabilitare i piani di Defender for Cloud, il ruolo Proprietario è necessario per abilitare tutte le funzionalità di un piano.
Il ruolo specifico necessario per distribuire i componenti di monitoraggio dipende dall'estensione distribuita. Altre informazioni sui componenti di monitoraggio .
Ruoli usati per configurare automaticamente agenti ed estensioni
Per consentire al ruolo Amministratore della sicurezza di configurare automaticamente gli agenti e le estensioni usati nei piani di Defender for Cloud, Defender for Cloud usa la correzione dei criteri simile a Criteri di Azure. Per usare la correzione, Defender per il cloud deve creare entità servizio, dette anche identità gestite, che assegnano ruoli a livello di sottoscrizione. Ad esempio, le entità servizio per il piano Defender per contenitori sono:
| Entità servizio | Ruoli |
|---|---|
| Defender per contenitori che effettua il provisioning del profilo di sicurezza di Azure Kubernetes Service (AKS) | Collaboratore estensione Kubernetes Collaboratore Collaboratore del servizio Azure Kubernetes Collaboratore di Log Analytics |
| Provisioning di Kubernetes con abilitazione di Defender per contenitori | Collaboratore del servizio Azure Kubernetes Collaboratore estensione Kubernetes Collaboratore Collaboratore di Log Analytics |
| Criteri di Azure per Kubernetes per il provisioning di Defender per contenitori | Collaboratore estensione Kubernetes Collaboratore Collaboratore del servizio Azure Kubernetes |
| Estensione dei criteri di provisioning di Defender per Kubernetes con abilitazione Arc | Collaboratore del servizio Azure Kubernetes Collaboratore estensione Kubernetes Collaboratore |
Autorizzazioni in AWS
Quando si esegue l'onboarding di un connettore Amazon Web Services (AWS), Defender for Cloud crea ruoli e assegna le autorizzazioni per l'account AWS. La tabella seguente illustra i ruoli e le autorizzazioni assegnati da ogni piano nell'account AWS.
| Piano Defender per il cloud | Ruolo creato | Autorizzazioni assegnate per l'account AWS |
|---|---|---|
| Cloud Security Posture Management (CSPM) di Defender | CspmMonitorAws | Per individuare le autorizzazioni delle risorse AWS, leggere tutte le risorse ad eccezione di: consolidatedbilling: freetier: invoicing: pagamenti: fatturazione: imposta: cur: |
| CSPM Defender Defender per server |
DefenderForCloud-AgentlessScanner | Per creare e pulire gli snapshot del disco (con ambito per tag) "CreatedBy": autorizzazioni "Microsoft Defender per il cloud": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Autorizzazione per EncryptionKeyCreation kms:CreateKey kms:ListKeys Autorizzazioni per EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM Defender Defender per archiviazione |
SensitiveDataDiscovery | Autorizzazioni per individuare i bucket S3 nell'account AWS, autorizzazione dello scanner di Defender per il cloud per accedere ai dati nei bucket S3 Sola lettura S3 Decrittografare il Servizio di gestione delle chiavi kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Autorizzazioni per l'individuazione Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender per server | DefenderForCloud-DefenderForServers | Autorizzazioni per configurare l'accesso alla rete JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender per contenitori | Vedere Autorizzazioni AWS di Defender per contenitori | |
| Defender per server | DefenderForCloud-ArcAutoProvisioning | Autorizzazioni per installare Azure Arc in tutte le istanze EC2 usando SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| CSPM Defender | DefenderForCloud-DataSecurityPostureDB | Autorizzazione per individuare le istanze di Servizi Desktop remoto nell'account AWS, creare uno snapshot dell'istanza di Servizi Desktop remoto, - Elencare tutti i database/cluster Servizi Desktop remoto - Elencare tutti gli snapshot di database/cluster - Copiare tutti gli snapshot di database/cluster - Eliminare/aggiornare lo snapshot del database/cluster con prefisso defenderfordatabases - Elencare tutte le chiavi del server di gestione delle chiavi - Usare tutte le chiavi del server di gestione delle chiavi solo per Servizi Desktop remoto nell'account di origine - Elencare le chiavi del server di gestione delle chiavi con prefisso di tag DefenderForDatabases - Creare un alias per le chiavi del server di gestione delle chiavi Autorizzazioni necessarie per individuare le istanze di Servizi Desktop remoto rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Autorizzazioni in GCP
Quando si esegue l'onboarding di un connettore Google Cloud Platforms (GCP), Defender for Cloud crea ruoli e assegna le autorizzazioni per il progetto GCP. La tabella seguente illustra i ruoli e le autorizzazioni assegnati da ogni piano nel progetto GCP.
| Piano Defender per il cloud | Ruolo creato | Autorizzazione assegnata all'account AWS |
|---|---|---|
| CSPM Defender | MDCCspmCustomRole | Queste autorizzazioni consentono al ruolo CSPM di individuare e analizzare le risorse all'interno dell'organizzazione: Consente al ruolo di visualizzare e organizzazioni, progetti e cartelle: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Consente il processo di provisioning automatico di nuovi progetti e la rimozione di progetti eliminati: resourcemanager.projects.get resourcemanager.projects.list Consente al ruolo di abilitare i servizi Google Cloud usati per l'individuazione delle risorse: serviceusage.services.enable Usato per creare ed elencare i ruoli IAM: iam.roles.create iam.roles.list Consente al ruolo di fungere da account del servizio e di ottenere l'autorizzazione per le risorse: iam.serviceAccounts.actAs Consente al ruolo di visualizzare i dettagli del progetto e impostare i metadati dell'istanza comuni: compute.projects.get compute.projects.setCommonInstanceMetadata Usato per individuare e analizzare le risorse della piattaforma di intelligenza artificiale all'interno dell'organizzazione: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender per server | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Accesso in sola lettura per ottenere ed elencare le risorse del motore di calcolo: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender per database | defender-for-databases-arc-ap | Autorizzazioni per il provisioning automatico ARC di Defender per database compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM Defender Defender per archiviazione |
data-security-posture-storage | Autorizzazione per lo scanner di Defender per il cloud per individuare i bucket di archiviazione GCP, per accedere ai dati nei bucket di archiviazione GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM Defender Defender per archiviazione |
data-security-posture-storage | Autorizzazione per lo scanner di Defender per il cloud per individuare i bucket di archiviazione GCP, per accedere ai dati nei bucket di archiviazione GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM Defender | microsoft-defender-ciem | Autorizzazioni per ottenere informazioni dettagliate sulla risorsa dell'organizzazione. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM Defender Defender per server |
MDCAgentlessScanningRole | Autorizzazioni per l'analisi dei dischi senza agente: compute.disks.createSnapshot compute.instances.get |
| CSPM Defender Defender per server |
cloudkms.cryptoKeyEncrypterDecrypter | Le autorizzazioni per un ruolo del server di gestione delle chiavi GCP esistente vengono concesse per supportare l'analisi dei dischi crittografati con CMEK |
| Defender per contenitori | Vedere Autorizzazioni GCP di Defender per contenitori |
Passaggi successivi
In questo articolo è stato illustrato come Defender per il cloud usa il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni agli utenti e sono state identificate le azioni consentite per ogni ruolo. Ora che è stata acquisita familiarità con le assegnazioni di ruolo necessari per monitorare lo stato di sicurezza della sottoscrizione, modificare i criteri di sicurezza e applicare i consigli, si apprenderà come eseguire queste operazioni: