Compartilhar via


Funções de usuário e permissões

O Microsoft Defender para Nuvem usa Controle de acesso baseado em função do Azure (Controle de acesso baseado em função do Azure) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso aos recursos de acordo com o acesso definido na função.

O Defender para Nuvem avalia a configuração de seus recursos e identifica problemas de segurança e vulnerabilidades. No Defender para Nuvem, você pode visualizar as informações relacionadas a um recurso quando tiver uma dessas funções atribuídas à assinatura ou ao grupo de recursos ao qual o recurso pertence: proprietário, colaborador ou leitor.

Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:

  • Leitor de Segurança: um usuário que pertence a essa função tem acesso somente leitura para o Defender para Nuvem. O usuário pode exibir as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
  • Administrador de segurança: um usuário que pertence a essa função tem os mesmos direitos do Leitor de segurança e também pode atualizar a política de segurança, bem como ignorar alertas e recomendações.

Recomendamos atribuir a função menos permissiva necessária para que os usuários concluam suas tarefas.

Por exemplo, você pode atribuir a função Leitor a usuários que só precisam exibir informações de integridade de segurança de um recurso sem executar nenhuma ação. Os usuários com uma função de Leitor podem aplicar recomendações ou políticas de edição.

Funções e ações permitidas

A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.

Ação Leitor de segurança /
Leitor
Administrador de Segurança Colaborador / Proprietário Colaborador Proprietário
(Nível do grupo de recursos) (Nível de assinatura) (Nível de assinatura)
Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) - - -
Editar política de segurança - - -
Habilitar/desabilitar planos do Microsoft Defender - -
Ignorar alertas - -
Aplicar as recomendações de segurança a um recurso
(usar Correção)
- -
Exibir alertas e recomendações
Recomendações de isenção de segurança - - -
Configurar notificações por email -

Observação

Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar planos do Defender, para habilitar todos os recursos de um plano, a função de Proprietário é necessária.

A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre componentes de monitoramento.

Funções usadas para provisionar automaticamente agentes e extensões

Para permitir que a função Administração segurança provisione automaticamente agentes e extensões usados nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política de maneira semelhante à Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:

Entidade de Serviço Funções
Perfil de segurança do AKS (Serviço de Kubernetes do Azure) do Defender para contêineres * Colaborador da Extensão Kubernetes
* Colaborador
* Colaborador do Serviço de Kubernetes do Azure
* Colaborador do Log Analytics
Defender para contêineres provisionando Kubernetes habilitados para Arc * Colaborador do Serviço de Kubernetes do Azure
* Colaborador da Extensão Kubernetes
* Colaborador
* Colaborador do Log Analytics
Provisionamento do Defender para contêineres do Azure Policy para Kubernetes * Colaborador da Extensão Kubernetes
* Colaborador
* Colaborador do Serviço de Kubernetes do Azure
Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc * Colaborador do Serviço de Kubernetes do Azure
* Colaborador da Extensão Kubernetes
* Colaborador

Permissões no AWS

Quando você integra um conector do Amazon Web Services (AWS), o Defender para Nuvem cria funções e atribui permissões em sua conta do AWS. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em sua conta do AWS.

Planos do Defender para Nuvem Função criada Permissão atribuída na conta do AWS
GPSN (Gerenciamento da Postura de Segurança na Nuvem) do Defender CspmMonitorAws Para descobrir permissões de recursos do AWS, leia todos os recursos, exceto:
consolidatedbilling:*
freetier:*
invoicing:*
payments:*
billing:*
tax:*
cur:*
GPSN do Defender

Defender para Servidores
DefenderForCloud-AgentlessScanner Para criar e limpar instantâneos de disco (delimitados por marca) “CreatedBy”: Permissões do "Microsoft Defender para Nuvem":
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Permissão para EncryptionKeyCreation kms:CreateKey
kms:ListKeys
Permissões para EncryptionKeyManagement kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
GPSN do Defender

Defender para Armazenamento
SensitiveDataDiscovery Permissões para descobrir buckets S3 na conta do AWS, permissão para o scanner do Defender para Nuvem acessar dados nos buckets S3
S3 somente leitura

Descriptografar KMS
kms:Decrypt
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Permissões para descoberta de CIEM
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender para Servidores DefenderForCloud-DefenderForServers Permissões para configurar o acesso à rede JIT:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender para Contêineres DefenderForCloud-Containers-K8s Permissões para listar clusters EKS e coletar dados de clusters EKS
eks:UpdateClusterConfig
eks:DescribeCluster
Defender para Contêineres DefenderForCloud-DataCollection Permissões para o Grupo de Logs do CloudWatch criado pelo Defender para Nuvem
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

Permissões para usar a fila do SQS criada pelo Defender para Nuvem
sqs:ReceiveMessage
sqs:DeleteMessage
Defender para Contêineres DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Permissões para acessar o fluxo de entrega do Kinesis Data Firehose criado pelo Defender para Nuvem
firehose:*
Defender para Contêineres DefenderForCloud-Containers-K8s-kinesis-to-s3 Permissões para acessar o bucket S3 criado pelo Defender para Nuvem
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender para contêineres

GPSN do Defender
MDCContainersAgentlessDiscoveryK8sRole Permissões para coletar dados de clusters do EKS. Atualizar clusters do EKS para dar suporte à restrição de IP e criar iamidentitymapping para clusters do EKS
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Defender para contêineres

GPSN do Defender
MDCContainersImageAssessmentRole Permissões para examinar imagens do ECR e do ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender para Servidores DefenderForCloud-ArcAutoProvisioning Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
GPSN do Defender DefenderForCloud-DataSecurityPostureDB Permissão para descobrir instâncias de RDS na conta do AWS, criar um instantâneo da instância de RDS,
– Listar todos os BDs/clusters do RDS
– Copiar todos os instantâneos de BD/cluster
– Copiar todos os instantâneos de BD/cluster
– Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases
– Listar todas as chaves KMS
– Usar todas as chaves de KMS somente para os RDS na conta de origem
– Listar chaves de KMS com o prefixo de marca DefenderForDatabases
– Criar alias para chaves de KMS

Permissões necessárias para descobrir, instâncias RDS
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

Permissões no GCP

Quando você integra uma conexão do Google Cloud Platforms (GCP), o Defender para Nuvem cria funções e atribui permissões em seu projeto do GCP. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em seu projeto GCP.

Planos do Defender para Nuvem Função criada Permissão atribuída na conta do AWS
GPSN do Defender MDCCspmCustomRole Essas permissões permitem que a função CSPM descubra e verifique recursos dentro da organização:

Permite que a função exiba organizações, projetos e pastas:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Permite o processo de autoprovisionamento de novos projetos e remoção de projetos excluídos:
resourcemanager.projects.get
resourcemanager.projects.list

Permite que a função habilite os serviços do Google Cloud usados ​​para a descoberta de recursos:
serviceusage.services.enable

Usado para criar e listar funções do IAM:
iam.roles.create
iam.roles.list

Permite que a função atue como uma conta de serviço e obtenha permissão para recursos:
iam.serviceAccounts.actAs

Permite que a função visualize detalhes do projeto e defina metadados de instância comuns:
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender para Servidores microsoft-defender-for-servers
azure-arc-for-servers-onboard
Acesso somente leitura para obter e listar o os recursos do Mecanismo de Computação:
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender para Banco de Dados defender-for-databases-arc-ap Permissões para provisionamento automático ARC do Defender para bancos de dados
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
GPSN do Defender

Defender para Armazenamento
data-security-posture-storage Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP
storage.objects.list
storage.objects.get
storage.buckets.get
GPSN do Defender

Defender para Armazenamento
data-security-posture-storage Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP
storage.objects.list
storage.objects.get
storage.buckets.get
GPSN do Defender microsoft-defender-ciem Permissões para obter detalhes sobre o recurso da organização.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
GPSN do Defender

Defender para Servidores
MDCAgentlessScanningRole Permissões para verificação de disco sem agente:
compute.disks.createSnapshot
compute.instances.get
GPSN do Defender

Defender para servidores
cloudkms.cryptoKeyEncrypterDecrypter As permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK
GPSN do Defender

Defender para Contêineres
mdc-containers-artifact-assess Permissão para examinar imagens de GAR e GCR.
artifactregistry.reader
storage.objectViewer
Defender para Contêineres mdc-containers-k8s-operator Permissões para coletar dados de clusters do GKE. Atualize os clusters do GKE para dar suporte à restrição de IP.

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender para Contêineres microsoft-defender-containers Permissões para criar e gerenciar o coletor de logs para rotear logs para um tópico do Cloud Pub/Sub.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender para Contêineres ms-defender-containers-stream Permissões para permitir que o log de eventos envie logs para o pub sub:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Próximas etapas

Este artigo explicou como o Defender para Nuvem usa o Controle de Acesso Baseado em Função do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como: