Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Microsoft Defender для облака используется Управление доступом на основе ролей Azure (контроль доступа на основе ролей Azure) для предоставления встроенных ролей. Назначьте эти роли пользователям, группам и службам в Azure, чтобы предоставить им доступ к ресурсам в соответствии с определенным доступом роли.
Defender для облака оценивает конфигурации ресурсов и определяет проблемы безопасности и уязвимости. В Defender для облака просмотрите сведения о ресурсах при назначении одной из этих ролей для подписки или группы ресурсов: владельца, участника или читателя.
Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:
- Читатель безопасности: Пользователь в этой роли имеет доступ только для чтения к Defender для облачных служб. Пользователь может просматривать рекомендации, оповещения, политики безопасности и состояния безопасности, но не может вносить изменения.
- Администратор безопасности. Пользователь в этой роли имеет тот же доступ, что и средство чтения безопасности, а также может обновлять политики безопасности и отклонять оповещения и рекомендации.
Назначьте наименее разрешительную роль, необходимую для выполнения задач пользователями.
Например, назначьте роль читателя пользователям, которые должны просматривать сведения о работоспособности ресурса только без каких-либо действий. Пользователи с ролью читателя не могут применять рекомендации или изменять политики.
Роли и разрешенные действия
В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.
| Действие |
читатель сведений о безопасности /; Читатель |
Администратор безопасности | Участник / Владелец | Участник | Ответственное лицо |
|---|---|---|---|---|---|
| (уровень группы ресурсов) | (уровень подписки) | (уровень подписки) | |||
| Добавление и назначение инициатив (включая стандарты соответствия нормативным требованиям) | - | ✔ | - | - | ✔ |
| Изменение политики безопасности | - | ✔ | - | - | ✔ |
| Включение и выключение планов Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Закрытие оповещений | - | ✔ | - | ✔ | ✔ |
| Применение рекомендаций по безопасности для ресурса (использование исправления) |
- | - | ✔ | ✔ | ✔ |
| Просмотр оповещений и рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
| Исключение рекомендаций по безопасности | - | ✔ | - | - | ✔ |
| Настройка уведомлений по электронной почте | - | ✔ | ✔ | ✔ | ✔ |
Примечание.
Хотя упомянутые три роли достаточно для включения и отключения планов Defender для облака, роль владельца необходима для включения всех возможностей плана.
Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от расширения, которое вы развертываете. Дополнительные сведения о компонентах мониторинга.
Роли, используемые для автоматической настройки агентов и расширений
Чтобы разрешить роли администратора безопасности автоматически настраивать агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики, аналогичное политике Azure Policy. Чтобы использовать исправление, Defender для облака должен создавать субъекты-службы, также называемые управляемыми удостоверениями, которые назначают роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:
| Субъект-служба | Роли |
|---|---|
| Профиль безопасности Служба Azure Kubernetes (AKS) в Защитнике для контейнеров | Участник расширения Kubernetes Участник Участник Служба Azure Kubernetes Участник Log Analytics |
| Защитник для контейнеров с поддержкой Arc Kubernetes | Участник Служба Azure Kubernetes Участник расширения Kubernetes Участник Участник Log Analytics |
| Политика Azure подготовки к контейнерам в Defender для Kubernetes | Участник расширения Kubernetes Участник Участник Служба Azure Kubernetes |
| Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc | Участник Служба Azure Kubernetes Участник расширения Kubernetes Участник |
Разрешения на AWS
При подключении соединителя Amazon Web Services (AWS) Defender for Cloud создает роли и назначает разрешения для учетной записи AWS. В следующей таблице показаны роли и разрешения, назначенные каждым планом в учетной записи AWS.
| план Defender для облака | Созданная роль | Разрешения, назначенные учетной записи AWS |
|---|---|---|
| Управление облачной безопасностью Defender (CSPM) | CspmMonitorAws | Чтобы обнаружить разрешения ресурсов AWS, ознакомьтесь со всеми ресурсами, кроме следующих: консолидация: freetier: Выставление счетов: Платежи: Выставления счетов: налог: дворняга: |
| CSPM в Защитнике Defender для серверов |
DefenderForCloud-AgentlessScanner | Чтобы создать и очистить моментальные снимки дисков (в области по тегу) "CreateBy": "Microsoft Defender для облака" Разрешения: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Разрешение на ШифрованиеKeyCreation kms:CreateKey kms:ListKeys Разрешения для kms:TagResource для EncryptionKeyManagement kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM в Защитнике Defender для хранилища |
SensitiveDataDiscovery | Разрешения на обнаружение контейнеров S3 в учетной записи AWS, разрешение для сканера Defender для облака для доступа к данным в контейнерах S3 Только для чтения S3 Расшифровка KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Разрешения для обнаружения Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender для серверов | DefenderForCloud-DefenderForServers | Разрешения для настройки доступа к сети JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender для контейнеров | См. разрешения Defender для контейнеров AWS | |
| Defender для серверов | DefenderForCloud-ArcAutoProvisioning | Разрешения на установку Azure Arc на всех экземплярах EC2 с помощью SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| CSPM в Defender | DefenderForCloud-DataSecurityPostureDB | Разрешение на обнаружение экземпляров RDS в учетной записи AWS, создание моментального снимка экземпляра RDS; — список всех DBS/кластеров RDS — вывод списка всех моментальных снимков базы данных и кластера — копирование всех моментальных снимков базы данных и кластера — удаление или обновление моментального снимка базы данных или кластера с префиксом Defenderfordatabases — вывод списка всех ключей KMS — Используйте все ключи KMS только для RDS в исходной учетной записи. — вывод списка ключей KMS с префиксом тега DefenderForDatabases — создание псевдонима для ключей KMS Разрешения, необходимые для обнаружения экземпляров RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Разрешения на GCP
При подключении соединителя Google Cloud Platform (GCP) Defender for Cloud создает роли и назначает разрешения для проекта GCP. В следующей таблице показаны роли и разрешения, назначенные каждым планом в проекте GCP.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| CSPM в Defender | MDCCspmCustomRole | Эти разрешения позволяют роли CSPM обнаруживать и сканировать ресурсы в организации: Позволяет роли просматривать и организации, проекты и папки: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Разрешает процесс автоматической подготовки новых проектов и удаление удаленных проектов: resourcemanager.projects.get resourcemanager.projects.list Позволяет включить облачные службы Google, используемые для обнаружения ресурсов: serviceusage.services.enable Используется для создания и перечисления ролей IAM: iam.role.create iam.role.list Позволяет роли выступать в качестве учетной записи службы и получать разрешения на ресурсы: iam.serviceAccounts.actAs Позволяет роли просматривать сведения о проекте и задавать общие метаданные экземпляра: compute.projects.get compute.projects.setCommonInstanceMetadata Используется для обнаружения и сканирования ресурсов платформы ИИ в организации: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender для серверов | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Доступ только для чтения для получения и перечисления ресурсов подсистемы вычислений: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender для базы данных | defender-for-database-arc-ap | Разрешения на автоматическую подготовку в Defender для баз данных ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM в Defender | microsoft-defender-ciem | Разрешения для получения сведений о ресурсе организации. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM в Защитнике Defender для серверов |
MDCAgentlessScanningRole | Разрешения для сканирования дисков без агента: compute.disks.createSnapshot compute.instances.get |
| CSPM в Защитнике Defender для серверов |
cloudkms.cryptoKeyEncrypterDecrypter | Разрешения для существующей роли GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK |
| Defender для контейнеров | См. разрешения GCP в Defender для контейнеров |
Следующие шаги
В этой статье объясняется, как Defender для облака использовать контроль доступа на основе ролей Azure для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.