Bearbeiten

Freigeben über

Häufig gestellte Fragen zu Berechtigungen in Defender for Cloud

  • Häufig gestellte Fragen

Wie funktionieren Berechtigungen in Microsoft Defender für Cloud?

Microsoft Defender für Cloud verwendet die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC). Diese stellt integrierte Rollen bereit, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können.

Defender für Cloud bewertet die Konfiguration Ihrer Ressourcen, um die Sicherheitsprobleme und Sicherheitsrisiken zu identifizieren. In Defender für Cloud werden Ihnen nur dann Informationen zu einer Ressource angezeigt, wenn Ihnen für das Abonnement oder die Ressourcengruppe, der eine Ressource angehört, die Rolle „Besitzer“, „Mitwirkender“ oder „Leser“ zugewiesen ist.

Weitere Informationen zu Rollen und zulässigen Aktionen in Defender für Cloud finden Sie unter Berechtigungen in Microsoft Defender für Cloud.

Wie kann ich eine Sicherheitsrichtlinie ändern?

Damit Sie eine Sicherheitsrichtlinie ändern können, müssen Sie Sicherheitsadministrator oder Besitzer bzw. Mitwirkender dieses Abonnements sein.

Informationen zum Konfigurieren einer Sicherheitsrichtlinie finden Sie unter Festlegen von Sicherheitsrichtlinien in Microsoft Defender für Cloud.

Welche Berechtigungen werden bei der Überprüfung ohne Agent verwendet?

Die Rollen und Berechtigungen, die von Defender for Cloud verwendet werden, um Überprüfungen ohne Agent in Ihren Azure AWS- und GCP-Umgebungen durchzuführen, werden hier aufgeführt. In Azure werden diese Berechtigungen automatisch zu Ihren Abonnements hinzugefügt, wenn Sie Überprüfungen ohne Agent aktivieren. In AWS werden diese Berechtigungen dem CloudFormation-Stapel in Ihrem AWS-Connector hinzugefügt, und in GCP-Berechtigungen werden sie dem Onboardingskript in Ihrem GCP-Connector hinzugefügt.

  • Azure-Berechtigungen: Die integrierte Rolle „VM Scanner Operator“ verfügt über schreibgeschützte Berechtigungen für VM-Datenträger, die für den Momentaufnahmeprozess erforderlich sind. Im Folgenden sehen Sie die detaillierte Liste der Berechtigungen:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Wenn die Abdeckung für CMK-verschlüsselte Datenträger aktiviert ist, werden diese zusätzlichen Berechtigungen verwendet:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS-Berechtigungen: Die Rolle „VmScanner“ wird dem Prüfer zugewiesen, wenn Sie die Überprüfung ohne Agent aktivieren. Diese Rolle verfügt über die minimale Berechtigung zum Erstellen und Bereinigen von Momentaufnahmen (Bereich nach Tag) und zum Überprüfen des aktuellen Zustands des virtuellen Computers. Die ausführlichen Berechtigungen sind:

    attribute Wert
    SID VmScannerDeleteSnapshotAccess
    Aktionen ec2:DeleteSnapshot
    Bedingungen "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "Microsoft Defender for Cloud"}
    Ressourcen arn:aws:ec2:::snapshot/
    Auswirkung Allow
    attribute Wert
    SID VmScannerAccess
    Aktionen ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Bedingungen Keine
    Ressourcen arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Auswirkung Allow
    attribute Wert
    SID VmScannerVerificationAccess
    Aktionen ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Bedingungen Keine
    Ressourcen *
    Auswirkung Allow
    attribute Wert
    SID VmScannerEncryptionKeyCreation
    Aktionen kms:CreateKey
    Bedingungen Keine
    Ressourcen *
    Auswirkung Allow
    attribute Wert
    SID VmScannerEncryptionKeyManagement
    Aktionen kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Bedingungen Keine
    Ressourcen arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Auswirkung Allow
    attribute Wert
    SID VmScannerEncryptionKeyUsage
    Aktionen kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Bedingungen Keine
    Ressourcen arn:aws:kms::${AWS::AccountId}:key/
    Auswirkung Zulassen

  • GCP-Berechtigungen: Während des Onboardings wird eine neue benutzerdefinierte Rolle mit minimalen Berechtigungen erstellt, um Instanzzustände zu erhalten und Momentaufnahmen zu erstellen. Darüber hinaus werden Berechtigungen für eine vorhandene GCP-KMS-Rolle erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. Die Rollen lauten:

    • roles/MDCAgentlessScanningRole für das Dienstkonto von Defender for Cloud mit den Berechtigungen: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter für den Compute-Engine-Dienst-Agent von Defender for Cloud

Welche SAS-Richtlinienberechtigungen sind beim Exportieren von Daten in Azure Event Hubs mindestens erforderlich?

Senden ist die minimal erforderliche SAS-Richtlinienberechtigung. Schrittanleitungen finden Sie in diesem Artikel unter Schritt 1. Erstellen eines Event Hubs-Namespace und eines Event Hubs mit Sendeberechtigungen.