Wie funktionieren Berechtigungen in Microsoft Defender für Cloud?
Microsoft Defender für Cloud verwendet die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC). Diese stellt integrierte Rollen bereit, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können.
Defender für Cloud bewertet die Konfiguration Ihrer Ressourcen, um die Sicherheitsprobleme und Sicherheitsrisiken zu identifizieren. In Defender für Cloud werden Ihnen nur dann Informationen zu einer Ressource angezeigt, wenn Ihnen für das Abonnement oder die Ressourcengruppe, der eine Ressource angehört, die Rolle „Besitzer“, „Mitwirkender“ oder „Leser“ zugewiesen ist.
Weitere Informationen zu Rollen und zulässigen Aktionen in Defender für Cloud finden Sie unter Berechtigungen in Microsoft Defender für Cloud.
Wie kann ich eine Sicherheitsrichtlinie ändern?
Damit Sie eine Sicherheitsrichtlinie ändern können, müssen Sie Sicherheitsadministrator oder Besitzer bzw. Mitwirkender dieses Abonnements sein.
Informationen zum Konfigurieren einer Sicherheitsrichtlinie finden Sie unter Festlegen von Sicherheitsrichtlinien in Microsoft Defender für Cloud.
Welche Berechtigungen werden bei der Überprüfung ohne Agent verwendet?
Die Rollen und Berechtigungen, die von Defender for Cloud verwendet werden, um Überprüfungen ohne Agent in Ihren Azure AWS- und GCP-Umgebungen durchzuführen, werden hier aufgeführt. In Azure werden diese Berechtigungen automatisch zu Ihren Abonnements hinzugefügt, wenn Sie Überprüfungen ohne Agent aktivieren. In AWS werden diese Berechtigungen dem CloudFormation-Stapel in Ihrem AWS-Connector hinzugefügt, und in GCP-Berechtigungen werden sie dem Onboardingskript in Ihrem GCP-Connector hinzugefügt.
Azure-Berechtigungen: Die integrierte Rolle „VM Scanner Operator“ verfügt über schreibgeschützte Berechtigungen für VM-Datenträger, die für den Momentaufnahmeprozess erforderlich sind. Im Folgenden sehen Sie die detaillierte Liste der Berechtigungen:
Microsoft.Compute/disks/read
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/diskEncryptionSets/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Wenn die Abdeckung für CMK-verschlüsselte Datenträger aktiviert ist, werden diese zusätzlichen Berechtigungen verwendet:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
AWS-Berechtigungen: Die Rolle „VmScanner“ wird dem Prüfer zugewiesen, wenn Sie die Überprüfung ohne Agent aktivieren. Diese Rolle verfügt über die minimale Berechtigung zum Erstellen und Bereinigen von Momentaufnahmen (Bereich nach Tag) und zum Überprüfen des aktuellen Zustands des virtuellen Computers. Die ausführlichen Berechtigungen sind:
attribute Wert SID VmScannerDeleteSnapshotAccess Aktionen ec2:DeleteSnapshot Bedingungen "StringEquals":{"ec2:ResourceTag/CreatedBy”:
"Microsoft Defender for Cloud"}Ressourcen arn:aws:ec2:::snapshot/ Auswirkung Allow attribute Wert SID VmScannerAccess Aktionen ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshotBedingungen Keine Ressourcen arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/Auswirkung Allow attribute Wert SID VmScannerVerificationAccess Aktionen ec2:DescribeSnapshots
ec2:DescribeInstanceStatusBedingungen Keine Ressourcen * Auswirkung Allow attribute Wert SID VmScannerEncryptionKeyCreation Aktionen kms:CreateKey Bedingungen Keine Ressourcen * Auswirkung Allow attribute Wert SID VmScannerEncryptionKeyManagement Aktionen kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTagsBedingungen Keine Ressourcen arn:aws:kms::${AWS::AccountId}:key/
arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKeyAuswirkung Allow attribute Wert SID VmScannerEncryptionKeyUsage Aktionen kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFromBedingungen Keine Ressourcen arn:aws:kms::${AWS::AccountId}:key/ Auswirkung Zulassen GCP-Berechtigungen: Während des Onboardings wird eine neue benutzerdefinierte Rolle mit minimalen Berechtigungen erstellt, um Instanzzustände zu erhalten und Momentaufnahmen zu erstellen. Darüber hinaus werden Berechtigungen für eine vorhandene GCP-KMS-Rolle erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. Die Rollen lauten:
- roles/MDCAgentlessScanningRole für das Dienstkonto von Defender for Cloud mit den Berechtigungen: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter für den Compute-Engine-Dienst-Agent von Defender for Cloud
Welche SAS-Richtlinienberechtigungen sind beim Exportieren von Daten in Azure Event Hubs mindestens erforderlich?
Senden ist die minimal erforderliche SAS-Richtlinienberechtigung. Schrittanleitungen finden Sie in diesem Artikel unter Schritt 1. Erstellen eines Event Hubs-Namespace und eines Event Hubs mit Sendeberechtigungen.