Freigeben über


Benutzerrollen und -berechtigungen

Microsoft Defender for Cloud verwendet zur Bereitstellung integrierter Rollen die rollenbasierte Zugriffssteuerung von Azure. Sie können diese Rollen Benutzern, Gruppen und Diensten in Azure zuweisen, um Benutzern den Zugriff auf Ressourcen entsprechend dem in der Rolle vorgesehenen Zugriff zu ermöglichen.

Defender for Cloud bewertet die Konfiguration Ihrer Ressourcen und identifiziert Sicherheitsprobleme und Schwachstellen. In Defender for Cloud werden Ihnen nur dann Informationen zu einer Ressource angezeigt, wenn Ihnen für das Abonnement oder die Ressourcengruppe, der eine Ressource angehört, die Rolle „Besitzer“, „Mitwirkender“ oder „Leser“ zugewiesen ist.

Zusätzlich zu den integrierten Rollen gibt es zwei spezielle Rollen für Defender für Cloud:

  • Sicherheitsleseberechtigter: Ein Benutzer mit dieser Rolle hat schreibgeschützten Zugriff auf Defender for Cloud. Der Benutzer kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.
  • Sicherheitsadministrator: Ein Benutzer, der dieser Rolle angehört, hat den gleichen Zugriff wie der Sicherheitsleseberechtigte und kann darüber hinaus die Sicherheitsrichtlinie aktualisieren sowie Warnungen und Empfehlungen verwerfen.

Es empfiehlt sich, den Benutzern eine Rolle zuzuweisen, die jeweils nur so viele Berechtigungen umfasst, wie für die Erfüllung ihrer Aufgaben erforderlich sind.

So können Sie beispielsweise Benutzern, die nur Informationen zur Sicherheitsintegrität einer Ressource anzeigen, aber keine Maßnahmen ergreifen müssen, die Rolle „Leser“ zuweisen. Benutzer mit der Rolle „Leser“ können Empfehlungen oder Bearbeitungsrichtlinien anwenden.

Rollen und zulässige Aktionen

Die folgende Tabelle zeigt die Rollen und zulässigen Aktionen in Defender für Cloud.

Aktion Sicherheitsleseberechtigter /
Leser
Sicherheitsadministrator Mitwirkender / Besitzer Mitwirkender Besitzer
(Ressourcengruppenebene) (Abonnementebene) (Abonnementebene)
Initiativen hinzufügen/zuweisen (einschließlich Standards für die Einhaltung gesetzlicher Bestimmungen) - - -
Sicherheitsrichtlinie bearbeiten - - -
Aktivieren/Deaktivieren von Microsoft Defender-Plänen - -
Warnungen verwerfen - -
Anwenden von Sicherheitsempfehlungen für eine Ressource
(Verwenden von Beheben)
- -
Warnungen und Empfehlungen anzeigen
Ausgenommene Sicherheitsempfehlungen - - -
Konfigurieren von E-Mail-Benachrichtigungen -

Hinweis

Die drei genannten Rollen reichen zwar zum Aktivieren und Deaktivieren von Defender-Plänen aus, um alle Funktionen eines Plans zu aktivieren, ist aber die Rolle „Besitzer“ erforderlich.

Die spezifische Rolle, die für die Bereitstellung von Überwachungskomponenten erforderlich ist, hängt von der Erweiterung ab, die Sie bereitstellen. Erfahren Sie mehr über Überwachungskomponenten.

Rollen zum automatischen Bereitstellen von Agents und Erweiterungen

Damit die Rolle „Sicherheitsadministrator“ in Defender for Cloud-Plänen verwendete Agents und Erweiterungen automatisch bereitstellen kann, wird von Defender for Cloud die Richtlinienwartung auf ähnliche Weise wie von Azure Policy verwendet. Um die Wartung zu nutzen, muss Defender for Cloud Dienstprinzipale (auch als verwaltete Identitäten bezeichnet) erstellen, die Rollen auf Abonnementebene zuweisen. Beispielsweise sind die Dienstprinzipale für den Defender for Containers-Plan wie folgt:

Dienstprinzipal Rollen
Defender for Containers stellt Azure Kubernetes Service (AKS)-Sicherheitsprofil bereit * Mitwirkender für Kubernetes-Erweiterungen
* Mitwirkender
* Mitwirkender für Azure Kubernetes Service
* Mitwirkender für Log Analytics
Defender for Containers stellt Arc-fähige Kubernetes bereit * Mitwirkender für Azure Kubernetes Service
* Mitwirkender für Kubernetes-Erweiterungen
* Mitwirkender
* Mitwirkender für Log Analytics
Bereitstellung von Defender for Containers: Azure Policy für Kubernetes * Mitwirkender für Kubernetes-Erweiterungen
* Mitwirkender
* Mitwirkender für Azure Kubernetes Service
Richtlinienerweiterung für die Bereitstellung von Defender for Containers für Arc-fähiges Kubernetes * Mitwirkender für Azure Kubernetes Service
* Mitwirkender für Kubernetes-Erweiterungen
* Mitwirkender

Berechtigungen bei AWS

Wenn Sie einen Amazon Web Services (AWS)-Connector integrieren, erstellt Defender for Cloud Rollen und weist Berechtigungen für Ihr AWS-Konto zu. In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die durch die einzelnen Pläne in Ihrem AWS-Konto zugewiesen werden.

Defender for Cloud-Plan Erstellte Rolle Für AWS-Konto zugewiesene Berechtigung
Defender Cloud Security Posture Management (CSPM) CspmMonitorAws Um die AWS-Ressourcenberechtigungen zu ermitteln, lesen Sie alle Ressourcen außer:
consolidatedbilling:*
freetier:*
invoicing:*
payments:*
billing:*
tax:*
cur:*
Defender CSPM

Defender für Server
DefenderForCloud-AgentlessScanner So erstellen und bereinigen Sie Datenträgermomentaufnahmen (nach Tag) „CreatedBy“: Berechtigungen für „Microsoft Defender for Cloud“:
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Berechtigung für „EncryptionKeyCreation kms:CreateKey“
kms:ListKeys
Berechtigungen für „EncryptionKeyManagement kms:TagResource“
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Defender CSPM

Defender für Storage
SensitiveDataDiscovery Berechtigungen zum Ermitteln von S3-Buckets im AWS-Konto, Berechtigung für den Defender for Cloud-Scanner für den Zugriff auf Daten in den S3-Buckets
S3 read only

KMS decrypt
kms:Decrypt
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Berechtigungen für Ciem Discovery
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender für Server DefenderForCloud-DefenderForServers Berechtigungen zum Konfigurieren des JIT-Netzwerkzugriffs:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender für Container DefenderForCloud-Containers-K8s Berechtigungen zum Auflisten von EKS-Clustern und Sammeln von Daten aus EKS-Clustern
eks:UpdateClusterConfig
eks:DescribeCluster
Defender für Container DefenderForCloud-DataCollection Berechtigungen für CloudWatch-Protokollgruppe, die von Defender for Cloud erstellt wurde
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

Berechtigungen für die Verwendung der SQS-Warteschlange, die von Defender for Cloud erstellt wurde
sqs:ReceiveMessage
sqs:DeleteMessage
Defender für Container DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Berechtigungen für den Zugriff auf den Kinesis Data Firehose-Übermittlungsdatenstrom, der von Defender for Cloud erstellt wurde
firehose:*
Defender für Container DefenderForCloud-Containers-K8s-kinesis-to-s3 Berechtigungen für den Zugriff auf den S3-Bucket, der von Defender for Cloud erstellt wurde
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender for Containers

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole Berechtigungen zum Sammeln von Daten aus EKS-Clustern. Aktualisieren von EKS-Clustern zur Unterstützung der IP-Einschränkung und Erstellen von iamidentitymapping für EKS-Cluster
„eks:DescribeCluster“
„eks:UpdateClusterConfig*“
Defender for Containers

Defender CSPM
MDCContainersImageAssessmentRole Berechtigungen zum Scannen von Bildern aus ECR und ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender für Server DefenderForCloud-ArcAutoProvisioning Berechtigungen zum Installieren von Azure Arc auf allen EC2-Instanzen mit SSM
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Defender CSPM DefenderForCloud-DataSecurityPostureDB Berechtigung zum Ermitteln von RDS-Instanzen im AWS-Konto, Erstellen einer RDS-Instanzmomentaufnahme,
- Auflisten aller RDS-Datenbanken/-Cluster
- Auflisten aller Datenbank-/Clustermomentaufnahmen
- Kopieren aller Datenbank-/Clustermomentaufnahmen
- Löschen/Aktualisieren einer Datenbank-/Clustermomentaufnahme mit dem Präfix defenderfordatabases
- Auflisten aller KMS-Schlüssel
- Verwenden aller KMS-Schlüssel nur für RDS im Quellkonto
- Auflisten von KMS-Schlüsseln mit dem Tagpräfix DefenderForDatabases
- Erstellen eines Alias für KMS-Schlüssel

Erforderliche Berechtigungen zum Ermitteln, RDS-Instanzen
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

Berechtigungen für GCP

Wenn Sie einen Google Cloud Platforms (GCP)-Connector integrieren, erstellt Defender for Cloud Rollen und weist Berechtigungen für Ihr GCP-Projekt zu. In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die durch die einzelnen Pläne in Ihrem GCP-Projekt zugewiesen werden.

Defender for Cloud-Plan Erstellte Rolle Für AWS-Konto zugewiesene Berechtigung
Defender CSPM MDCCspmCustomRole Mit diesen Berechtigungen kann die CSPM-Rolle Ressourcen innerhalb der Organisation ermitteln und überprüfen:

Ermöglicht der Rolle das Anzeigen von Organisationen, Projekten und Ordnern:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Ermöglicht die automatische Bereitstellung neuer Projekte und das Entfernen gelöschter Projekte:
resourcemanager.projects.get
resourcemanager.projects.list

Ermöglicht der Rolle die Aktivierung von Google Cloud-Diensten, die für die Ermittlung von Ressourcen verwendet werden:
serviceusage.services.enable

Wird zum Erstellen und Auflisten von IAM-Rollen verwendet:
iam.roles.create
iam.roles.list

Ermöglicht der Rolle, als Dienstkonto zu fungieren und Berechtigungen für Ressourcen zu erhalten:
iam.serviceAccounts.actAs

Ermöglicht der Rolle, Projektdetails anzuzeigen und allgemeine Instanzmetadaten festzulegen:
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender für Server microsoft-defender-for-servers
azure-arc-for-servers-onboard
Schreibgeschützter Zugriff zum Abrufen und Auflisten der Compute Engine-Ressourcen:
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender für Datenbank defender-for-databases-arc-ap Berechtigungen für die automatische Arc-Bereitstellung von Defender für Datenbanken
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Defender für Storage
data-security-posture-storage Berechtigung für den Defender for Cloud-Scanner zum Ermitteln von GCP-Speicherbuckets für den Zugriff auf Daten in den GCP-Speicherbuckets
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Defender für Storage
data-security-posture-storage Berechtigung für den Defender for Cloud-Scanner zum Ermitteln von GCP-Speicherbuckets für den Zugriff auf Daten in den GCP-Speicherbuckets
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Berechtigungen zum Abrufen von Details zur Organisationsressource.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Defender für Server
MDCAgentlessScanningRole Berechtigungen für agentlose Datenträgerüberprüfung:
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Defender für Server
cloudkms.cryptoKeyEncrypterDecrypter Berechtigungen für eine vorhandene GCP-KMS-Rolle werden erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen.
Defender CSPM

Defender für Container
mdc-containers-artifact-assess Berechtigung zum Scannen von Bildern von GAR und GCR.
artifactregistry.reader
storage.objectViewer
Defender für Container mdc-containers-k8s-operator Berechtigungen zum Sammeln von Daten aus GKE-Clustern. Aktualisieren Sie GKE-Cluster, um die IP-Einschränkung zu unterstützen.

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender für Container microsoft-defender-containers Berechtigungen zum Erstellen und Verwalten der Protokollsenke zum Weiterleiten von Protokollen an ein Cloud-Pub/Sub-Thema.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender für Container ms-defender-containers-stream Berechtigungen zum Zulassen der Protokollierung zum Senden von Protokollen an Pub/Sub:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Nächste Schritte

In diesem Artikel wurde erläutert, wie Defender for Cloud die rollenbasierte Zugriffssteuerung von Azure verwendet, um Benutzern Berechtigungen zuzuweisen. Zudem wurden die zulässigen Aktionen für jede Rolle identifiziert. Informieren Sie sich als Nächstes über Folgendes, nachdem Sie sich mit den Rollenzuweisungen zum Überwachen des Sicherheitszustands Ihres Abonnements, Bearbeiten von Sicherheitsrichtlinien und Anwenden von Empfehlungen vertraut gemacht haben: