Rollen en machtigingen instellen
Microsoft Defender voor Cloud gebruikt Op rollen gebaseerd toegangsbeheer van Azure (op rollen gebaseerd toegangsbeheer van Azure) om ingebouwde rollen te bieden. U kunt deze rollen toewijzen aan gebruikers, groepen en services in Azure om gebruikers toegang te geven tot resources op basis van de toegang die is gedefinieerd in de rol.
Defender voor Cloud evalueert de configuratie van uw resources en identificeert beveiligingsproblemen en beveiligingsproblemen. In Defender voor Cloud kunt u informatie weergeven met betrekking tot een resource wanneer u een van deze rollen hebt toegewezen voor het abonnement of de resourcegroep waartoe de resource behoort: Eigenaar, Inzender of Lezer.
Naast de ingebouwde rollen zijn er twee rollen die specifiek zijn voor Defender voor Cloud:
- Beveiligingslezer: een gebruiker die deel uitmaakt van deze rol heeft alleen-lezentoegang tot Defender voor Cloud. De gebruiker kan aanbevelingen, waarschuwingen, een beveiligingsbeleid en beveiligingsstatussen bekijken, maar geen wijzigingen aanbrengen.
- Beveiligingsbeheerder: een gebruiker die deel uitmaakt van deze rol heeft dezelfde toegang als de beveiligingslezer en kan ook het beveiligingsbeleid bijwerken en waarschuwingen en aanbevelingen negeren.
U wordt aangeraden de minst permissieve rol toe te wijzen die gebruikers nodig hebben om hun taken te voltooien.
U kunt bijvoorbeeld de rol Lezer toewijzen aan gebruikers die alleen beveiligingsstatusgegevens van een resource hoeven weer te geven zonder actie te ondernemen. Gebruikers met de rol Lezer kunnen aanbevelingen toepassen of beleidsregels bewerken.
Rollen en toegestane acties
In de volgende tabel worden rollen en toegestane acties in Defender voor Cloud weergegeven.
| Actie | Beveiligingslezer / Lezer |
Beveiligingsbeheerder | Eigenaar van inzender / | Inzender | Eigenaar |
|---|---|---|---|---|---|
| (Niveau van resourcegroep) | (Abonnementsniveau) | (Abonnementsniveau) | |||
| Initiatieven toevoegen/toewijzen (inclusief standaarden voor naleving van regelgeving) | - | ✔ | - | - | ✔ |
| Beveiligingsbeleid bewerken | - | ✔ | - | - | ✔ |
| Microsoft Defender-abonnementen in- of uitschakelen | - | ✔ | - | ✔ | ✔ |
| Waarschuwingen verwijderen | - | ✔ | - | ✔ | ✔ |
| Beveiligingsaanaanveling toepassen voor een resource (Oplossing gebruiken) |
- | - | ✔ | ✔ | ✔ |
| Meldingen en aanbevelingen weergeven | ✔ | ✔ | ✔ | ✔ | ✔ |
| Beveiligingsaanaanveling uitsluiten | - | ✔ | - | - | ✔ |
| E-mailmeldingen configureren | - | ✔ | ✔ | ✔ | ✔ |
Notitie
Hoewel de drie genoemde rollen voldoende zijn voor het in- en uitschakelen van Defender-abonnementen, is de rol Eigenaar vereist om alle mogelijkheden van een plan in te schakelen.
De specifieke rol die is vereist voor het implementeren van bewakingsonderdelen, is afhankelijk van de extensie die u implementeert. Meer informatie over bewakingsonderdelen.
Rollen die worden gebruikt om agents en extensies automatisch in te richten
Om de rol Beveiligingsbeheerder toe te staan om agents en extensies die worden gebruikt in Defender voor Cloud plannen automatisch in te richten, gebruikt Defender voor Cloud beleidherstel op een vergelijkbare manier als Azure Policy. Als u herstel wilt gebruiken, moet Defender voor Cloud service-principals maken, ook wel beheerde identiteiten genoemd die rollen toewijzen op abonnementsniveau. De service-principals voor het Defender for Containers-plan zijn bijvoorbeeld:
| Service-principal | Rollen |
|---|---|
| AKS-beveiligingsprofiel (Azure Kubernetes Service) inrichten voor Defender for Containers | * Inzender voor Kubernetes-extensies *Donateur * Inzender voor Azure Kubernetes-service * Log Analytics-inzender |
| Defender for Containers inrichten met Kubernetes met Arc | * Inzender voor Azure Kubernetes-service * Inzender voor Kubernetes-extensies *Donateur * Log Analytics-inzender |
| Defender for Containers inrichten van Azure Policy voor Kubernetes | * Inzender voor Kubernetes-extensies *Donateur * Inzender voor Azure Kubernetes-service |
| Defender for Containers-inrichtingsbeleidsextensie voor Kubernetes met Arc | * Inzender voor Azure Kubernetes-service * Inzender voor Kubernetes-extensies *Donateur |
Machtigingen voor AWS
Wanneer u een Amazon Web Services-connector (AWS) onboardt, Defender voor Cloud rollen maakt en machtigingen toewijst voor uw AWS-account. In de volgende tabel ziet u de rollen en machtigingen die zijn toegewezen door elk plan in uw AWS-account.
| Defender voor Cloud-abonnement | Rol gemaakt | Machtiging toegewezen aan AWS-account |
|---|---|---|
| Defender Cloud Security Posture Management (CSPM) | CspmMonitorAws | Als u machtigingen voor AWS-resources wilt detecteren, leest u alle resources, behalve: geconsolideerdebilling:* freetier:* facturering:* Betalingen:* Facturering:* belasting:* Cur:* |
| Defender CSPM Defender voor Servers |
DefenderForCloud-AgentlessScanner | Schijfmomentopnamen maken en opschonen (scoped by tag) CreatedBy: "Microsoft Defender voor Cloud" Machtigingen: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Machtiging voor EncryptionKeyCreation kms:CreateKey kms:ListKeys Machtigingen voor EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender for Storage |
SensitiveDataDiscovery | Machtigingen voor het detecteren van S3-buckets in het AWS-account, machtiging voor de Defender voor Cloud scanner voor toegang tot gegevens in de S3-buckets Alleen-lezen S3 KMS-ontsleuteling kms:Ontsleutelen |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Machtigingen voor Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender voor Servers | DefenderForCloud-DefenderForServers | Machtigingen voor het configureren van JIT-netwerktoegang: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender voor Containers | DefenderForCloud-Containers-K8s | Machtigingen voor het weergeven van EKS-clusters en het verzamelen van gegevens uit EKS-clusters eks:UpdateClusterConfig eks:DescribeCluster |
| Defender voor Containers | DefenderForCloud-DataCollection | Machtigingen voor de CloudWatch-logboekgroep die is gemaakt door Defender voor Cloud logboeken:PutSubscriptionFilter logs:DescribeSubscriptionFilters logboeken:DescribeLogGroups logboeken:PutRetentionPolicy Machtigingen voor het gebruik van SQS-wachtrij die is gemaakt door Defender voor Cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender voor Containers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Machtigingen voor toegang tot Kinesis Data Firehose-leveringsstroom die is gemaakt door Defender voor Cloud firehose:* |
| Defender voor Containers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Machtigingen voor toegang tot S3-bucket die is gemaakt door Defender voor Cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Machtigingen voor het verzamelen van gegevens uit EKS-clusters. EKS-clusters bijwerken ter ondersteuning van IP-beperking en iamidentitymapping maken voor EKS-clusters "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | Machtigingen voor het scannen van afbeeldingen van ECR en ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender voor Servers | DefenderForCloud-ArcAutoProvisioning | Machtigingen voor het installeren van Azure Arc op alle EC2-exemplaren met behulp van SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Machtiging voor het detecteren van RDS-exemplaren in het AWS-account, het maken van een momentopname van het RDS-exemplaar, - Alle RDS DB's/clusters weergeven - Alle db-/clustermomentopnamen weergeven - Alle momentopnamen van db/cluster kopiëren - Db-/clustermomentopname verwijderen/bijwerken met voorvoegsel defenderfordatabases - Alle KMS-sleutels weergeven - Gebruik alle KMS-sleutels alleen voor RDS in het bronaccount - KMS-sleutels vermelden met tagvoorvoegsel DefenderForDatabases - Alias maken voor KMS-sleutels Vereiste machtigingen voor het detecteren van RDS-exemplaren rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Versleutelen kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Machtigingen voor GCP
Wanneer u een GCP-connector (Google Cloud Platforms) onboardt, Defender voor Cloud rollen maakt en machtigingen toewijst voor uw GCP-project. In de volgende tabel ziet u de rollen en machtigingen die door elk plan in uw GCP-project zijn toegewezen.
| Defender voor Cloud-abonnement | Rol gemaakt | Machtiging toegewezen aan AWS-account |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Met deze machtigingen kan de CSPM-rol resources binnen de organisatie detecteren en scannen: Hiermee kunt u de rol weergeven en organisaties, projecten en mappen: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Hiermee staat u het automatische inrichtingsproces van nieuwe projecten toe en verwijdert u verwijderde projecten: resourcemanager.projects.get resourcemanager.projects.list Hiermee kan de rol Google Cloud-services inschakelen die worden gebruikt voor de detectie van resources: serviceusage.services.enable Wordt gebruikt om IAM-rollen te maken en weer te geven: iam.roles.create iam.roles.list Hiermee kan de rol fungeren als een serviceaccount en machtigingen krijgen voor resources: iam.serviceAccounts.actAs Hiermee kan de rol projectdetails weergeven en algemene metagegevens van exemplaren instellen: compute.projects.get compute.projects.setCommonInstanceMetadata Wordt gebruikt voor het detecteren en scannen van AI-platformbronnen binnen de organisatie: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list notebooks.instances.list |
| Defender voor Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Alleen-lezentoegang voor het ophalen en vermelden van Compute Engine-resources: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Machtigingen voor automatische inrichting van Defender for Databases ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender for Storage |
gegevensbeveiliging-houding-opslag | Machtiging voor de Defender voor Cloud scanner voor het detecteren van GCP-opslagbuckets voor toegang tot gegevens in de GCP-opslagbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender for Storage |
gegevensbeveiliging-houding-opslag | Machtiging voor de Defender voor Cloud scanner voor het detecteren van GCP-opslagbuckets voor toegang tot gegevens in de GCP-opslagbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Machtigingen voor het ophalen van details over de organisatieresource. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender voor Servers |
MDCAgentlessScanningRole | Machtigingen voor scannen op schijven zonder agent: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender voor servers |
cloudkms.cryptoKeyEncrypterDecrypter | Machtigingen voor een bestaande GCP KMS-rol worden verleend ter ondersteuning van scanschijven die zijn versleuteld met CMEK |
| Defender CSPM Defender voor Containers |
mdc-containers-artifact-assess | Machtiging voor het scannen van afbeeldingen van GAR en GCR. artifactregistry.reader storage.objectViewer |
| Defender voor Containers | mdc-containers-k8s-operator | Machtigingen voor het verzamelen van gegevens uit GKE-clusters. Werk GKE-clusters bij om IP-beperking te ondersteunen. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender voor Containers | microsoft-defender-containers | Machtigingen voor het maken en beheren van de logboeksink om logboeken naar een Cloud Pub/Sub-onderwerp te routeren. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender voor Containers | ms-defender-containers-stream | Machtigingen om logboekregistratie toe te staan logboeken te verzenden naar pub-sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Volgende stappen
In dit artikel wordt uitgelegd hoe Defender voor Cloud op rollen gebaseerd toegangsbeheer van Azure gebruikt om machtigingen toe te wijzen aan gebruikers en de toegestane acties voor elke rol te identificeren. Nu u bekend bent met de roltoewijzingen die nodig zijn voor het bewaken van de beveiligingsstatus van uw abonnement, het bewerken van beveiligingsbeleid en het toepassen van aanbevelingen, kunt u het volgende gaan leren: