Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для облака используется Управление доступом на основе ролей Azure (контроль доступа на основе ролей Azure) для предоставления встроенных ролей. Эти роли можно назначить пользователям, группам и службам в Azure, чтобы предоставить пользователям доступ к ресурсам в соответствии с доступом, определенным в роли.
Defender для облака оценивает конфигурацию ресурсов и определяет проблемы безопасности и уязвимости. В Defender для облака можно просмотреть сведения, связанные с ресурсом, если у вас есть одна из этих ролей, назначенных для подписки или группы ресурсов, к которой принадлежит ресурс: Владелец, участник или читатель.
Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:
- Средство чтения безопасности: пользователь, принадлежащий этой роли, имеет доступ только для чтения к Defender для облака. Пользователь может просматривать рекомендации, оповещения, политику безопасности и состояния безопасности, но не может вносить изменения.
- Администратор безопасности: пользователь, принадлежащий этой роли, имеет тот же доступ, что и средство чтения безопасности, а также может обновлять политику безопасности, а также отклонять оповещения и рекомендации.
Рекомендуется назначить наименьшую неизрешительную роль, необходимую для выполнения задач пользователями.
Например, вы можете назначить роль читателя пользователям, которые должны просматривать сведения о работоспособности системы безопасности ресурса, не выполняя никаких действий. Пользователи с ролью читателя не могут применять рекомендации или изменять политики.
Роли и разрешенные действия
В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.
| Действие |
читатель сведений о безопасности /; Читатель |
Администратор безопасности | Участник / Владелец | Участник | Ответственное лицо |
|---|---|---|---|---|---|
| (уровень группы ресурсов) | (уровень подписки) | (уровень подписки) | |||
| Добавление и назначение инициатив (включая стандарты соответствия нормативным требованиям) | - | ✔ | - | - | ✔ |
| Изменение политики безопасности | - | ✔ | - | - | ✔ |
| Включение и выключение планов Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Закрытие оповещений | - | ✔ | - | ✔ | ✔ |
| Применение рекомендаций по безопасности для ресурса (использование исправления) |
- | - | ✔ | ✔ | ✔ |
| Просмотр оповещений и рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
| Исключение рекомендаций по безопасности | - | ✔ | - | - | ✔ |
| Настройка уведомлений по электронной почте | - | ✔ | ✔ | ✔ | ✔ |
Примечание.
Хотя для включения и отключения планов Defender достаточно трех ролей, необходимо включить все возможности плана владельца.
Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от развернутого расширения. Дополнительные сведения о компонентах мониторинга.
Роли, используемые для автоматической подготовки агентов и расширений
Чтобы роль администратора безопасности автоматически подготавливала агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики аналогичным образом, чтобы Политика Azure. Чтобы использовать исправление, Defender для облака необходимо создать субъекты-службы, также называемые управляемыми удостоверениями, назначающими роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:
| Субъект-служба | Роли |
|---|---|
| Профиль безопасности Служба Azure Kubernetes (AKS) в Защитнике для контейнеров | Участник расширения Kubernetes Участник Участник Служба Azure Kubernetes Участник Log Analytics |
| Защитник для контейнеров с поддержкой Arc Kubernetes | Участник Служба Azure Kubernetes Участник расширения Kubernetes Участник Участник Log Analytics |
| Политика Azure подготовки к контейнерам в Defender для Kubernetes | Участник расширения Kubernetes Участник Участник Служба Azure Kubernetes |
| Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc | Участник Служба Azure Kubernetes Участник расширения Kubernetes Участник |
Разрешения на AWS
При подключении соединителя Amazon Web Services (AWS) Defender для облака создает роли и назначает разрешения для учетной записи AWS. В следующей таблице показаны роли и разрешения, назначенные каждым планом в учетной записи AWS.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| Управление облачной безопасностью Defender (CSPM) | CspmMonitorAws | Чтобы обнаружить разрешения ресурсов AWS, ознакомьтесь со всеми ресурсами, кроме следующих: консолидация: freetier: Выставление счетов: Платежи: Выставления счетов: налог: дворняга: |
| CSPM в Защитнике Defender для серверов |
DefenderForCloud-AgentlessScanner | Чтобы создать и очистить моментальные снимки дисков (в области по тегу) "CreateBy": "Microsoft Defender для облака" Разрешения: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Разрешение на ШифрованиеKeyCreation kms:CreateKey kms:ListKeys Разрешения для kms:TagResource для EncryptionKeyManagement kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM в Защитнике Defender для хранилища |
SensitiveDataDiscovery | Разрешения на обнаружение контейнеров S3 в учетной записи AWS, разрешение для сканера Defender для облака для доступа к данным в контейнерах S3 Только для чтения S3 Расшифровка KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Разрешения для обнаружения Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender для серверов | DefenderForCloud-DefenderForServers | Разрешения для настройки доступа к сети JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender для контейнеров | DefenderForCloud-Containers-K8s | Разрешения для перечисления кластеров EKS и сбора данных из кластеров EKS eks:UpdateClusterConfig eks:DescribeCluster |
| Defender для контейнеров | DefenderForCloud-DataCollection | Разрешения для группы журналов CloudWatch, созданной Defender для облака logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Разрешения на использование очереди SQS, созданной Defender для облака sqs:ReceiveMessage sqs:DeleteMessage |
| Defender для контейнеров | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Разрешения на доступ к потоку доставки Kinesis Data Firehose, созданному Defender для облака firehose:* |
| Defender для контейнеров | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Разрешения на доступ к контейнеру S3, созданному Defender для облака s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender для контейнеров Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Разрешения на сбор данных из кластеров EKS. Обновление кластеров EKS для поддержки ограничения IP-адресов и создания ioopntitymapping для кластеров EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender для контейнеров Defender CSPM |
MDCContainersImageAssessmentRole | Разрешения на сканирование изображений из ECR и ecR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender для серверов | DefenderForCloud-ArcAutoProvisioning | Разрешения на установку Azure Arc на всех экземплярах EC2 с помощью SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Разрешение на обнаружение экземпляров RDS в учетной записи AWS, создание моментального снимка экземпляра RDS; — список всех DBS/кластеров RDS — вывод списка всех моментальных снимков базы данных и кластера — копирование всех моментальных снимков базы данных и кластера — удаление или обновление моментального снимка базы данных или кластера с префиксом Defenderfordatabases — вывод списка всех ключей KMS — Используйте все ключи KMS только для RDS в исходной учетной записи. — вывод списка ключей KMS с префиксом тега DefenderForDatabases — создание псевдонима для ключей KMS Разрешения, необходимые для обнаружения экземпляров RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Разрешения на GCP
При подключении соединителя Google Cloud Platform (GCP) Defender для облака создает роли и назначает разрешения для проекта GCP. В следующей таблице показаны роли и разрешения, назначенные каждым планом в проекте GCP.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Эти разрешения позволяют роли CSPM обнаруживать и сканировать ресурсы в организации: Позволяет роли просматривать и организации, проекты и папки: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Разрешает процесс автоматической подготовки новых проектов и удаление удаленных проектов: resourcemanager.projects.get resourcemanager.projects.list Позволяет включить облачные службы Google, используемые для обнаружения ресурсов: serviceusage.services.enable Используется для создания и перечисления ролей IAM: iam.role.create iam.role.list Позволяет роли выступать в качестве учетной записи службы и получать разрешения на ресурсы: iam.serviceAccounts.actAs Позволяет роли просматривать сведения о проекте и задавать общие метаданные экземпляра: compute.projects.get compute.projects.setCommonInstanceMetadata Используется для обнаружения и сканирования ресурсов платформы ИИ в организации: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender для серверов | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Доступ только для чтения для получения и перечисления ресурсов подсистемы вычислений: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender для базы данных | defender-for-database-arc-ap | Разрешения на автоматическую подготовку в Defender для баз данных ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Разрешения для получения сведений о ресурсе организации. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM в Защитнике Defender для серверов |
MDCAgentlessScanningRole | Разрешения для сканирования дисков без агента: compute.disks.createSnapshot compute.instances.get |
| CSPM в Защитнике Defender для серверов |
cloudkms.cryptoKeyEncrypterDecrypter | Разрешения для существующей роли GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK |
| CSPM в Защитнике Defender для контейнеров |
mdc-containers-artifact-assess | Разрешение на сканирование изображений из GAR и GCR. artifactregistry.reader storage.objectViewer |
| Defender для контейнеров | оператор mdc-containers-k8s-operator | Разрешения на сбор данных из кластеров GKE. Обновите кластеры GKE для поддержки ограничения IP-адресов. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender для контейнеров | контейнеры Microsoft-Defender | Разрешения для создания приемника журналов и управления ими для маршрутизации журналов в раздел Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender для контейнеров | ms-defender-containers-stream | Разрешения для ведения журнала для отправки журналов в вложенный файл pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Следующие шаги
В этой статье объясняется, как Defender для облака использовать контроль доступа на основе ролей Azure для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.