Funções de usuário e permissões
O Microsoft Defender para Nuvem usa Controle de acesso baseado em função do Azure (Controle de acesso baseado em função do Azure) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso aos recursos de acordo com o acesso definido na função.
O Defender para Nuvem avalia a configuração de seus recursos e identifica problemas de segurança e vulnerabilidades. No Defender para Nuvem, você pode visualizar as informações relacionadas a um recurso quando tiver uma dessas funções atribuídas à assinatura ou ao grupo de recursos ao qual o recurso pertence: proprietário, colaborador ou leitor.
Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:
- Leitor de Segurança: um usuário que pertence a essa função tem acesso somente leitura para o Defender para Nuvem. O usuário pode exibir as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de segurança: um usuário que pertence a essa função tem os mesmos direitos do Leitor de segurança e também pode atualizar a política de segurança, bem como ignorar alertas e recomendações.
Recomendamos atribuir a função menos permissiva necessária para que os usuários concluam suas tarefas.
Por exemplo, você pode atribuir a função Leitor a usuários que só precisam exibir informações de integridade de segurança de um recurso sem executar nenhuma ação. Os usuários com uma função de Leitor podem aplicar recomendações ou políticas de edição.
Funções e ações permitidas
A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.
Ação | Leitor de segurança / Leitor |
Administrador de Segurança | Colaborador / Proprietário | Colaborador | Proprietário |
---|---|---|---|---|---|
(Nível do grupo de recursos) | (Nível de assinatura) | (Nível de assinatura) | |||
Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) | - | ✔ | - | - | ✔ |
Editar política de segurança | - | ✔ | - | - | ✔ |
Habilitar/desabilitar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
Ignorar alertas | - | ✔ | - | ✔ | ✔ |
Aplicar as recomendações de segurança a um recurso (usar Correção) |
- | - | ✔ | ✔ | ✔ |
Exibir alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
Recomendações de isenção de segurança | - | ✔ | - | - | ✔ |
Configurar notificações por email | - | ✔ | ✔ | ✔ | ✔ |
Observação
Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar planos do Defender, para habilitar todos os recursos de um plano, a função de Proprietário é necessária.
A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre componentes de monitoramento.
Funções usadas para provisionar automaticamente agentes e extensões
Para permitir que a função Administração segurança provisione automaticamente agentes e extensões usados nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política de maneira semelhante à Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:
Entidade de Serviço | Funções |
---|---|
Perfil de segurança do AKS (Serviço de Kubernetes do Azure) do Defender para contêineres | * Colaborador da Extensão Kubernetes * Colaborador * Colaborador do Serviço de Kubernetes do Azure * Colaborador do Log Analytics |
Defender para contêineres provisionando Kubernetes habilitados para Arc | * Colaborador do Serviço de Kubernetes do Azure * Colaborador da Extensão Kubernetes * Colaborador * Colaborador do Log Analytics |
Provisionamento do Defender para contêineres do Azure Policy para Kubernetes | * Colaborador da Extensão Kubernetes * Colaborador * Colaborador do Serviço de Kubernetes do Azure |
Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc | * Colaborador do Serviço de Kubernetes do Azure * Colaborador da Extensão Kubernetes * Colaborador |
Permissões no AWS
Quando você integra um conector do Amazon Web Services (AWS), o Defender para Nuvem cria funções e atribui permissões em sua conta do AWS. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em sua conta do AWS.
Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
---|---|---|
GPSN (Gerenciamento da Postura de Segurança na Nuvem) do Defender | CspmMonitorAws | Para descobrir permissões de recursos do AWS, leia todos os recursos, exceto: consolidatedbilling:* freetier:* invoicing:* payments:* billing:* tax:* cur:* |
GPSN do Defender Defender para Servidores |
DefenderForCloud-AgentlessScanner | Para criar e limpar instantâneos de disco (delimitados por marca) “CreatedBy”: Permissões do "Microsoft Defender para Nuvem": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permissão para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permissões para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
GPSN do Defender Defender para Armazenamento |
SensitiveDataDiscovery | Permissões para descobrir buckets S3 na conta do AWS, permissão para o scanner do Defender para Nuvem acessar dados nos buckets S3 S3 somente leitura Descriptografar KMS kms:Decrypt |
CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permissões para descoberta de CIEM sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
Defender para Servidores | DefenderForCloud-DefenderForServers | Permissões para configurar o acesso à rede JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
Defender para Contêineres | DefenderForCloud-Containers-K8s | Permissões para listar clusters EKS e coletar dados de clusters EKS eks:UpdateClusterConfig eks:DescribeCluster |
Defender para Contêineres | DefenderForCloud-DataCollection | Permissões para o Grupo de Logs do CloudWatch criado pelo Defender para Nuvem logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Permissões para usar a fila do SQS criada pelo Defender para Nuvem sqs:ReceiveMessage sqs:DeleteMessage |
Defender para Contêineres | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Permissões para acessar o fluxo de entrega do Kinesis Data Firehose criado pelo Defender para Nuvem firehose:* |
Defender para Contêineres | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Permissões para acessar o bucket S3 criado pelo Defender para Nuvem s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
Defender para contêineres GPSN do Defender |
MDCContainersAgentlessDiscoveryK8sRole | Permissões para coletar dados de clusters do EKS. Atualizar clusters do EKS para dar suporte à restrição de IP e criar iamidentitymapping para clusters do EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
Defender para contêineres GPSN do Defender |
MDCContainersImageAssessmentRole | Permissões para examinar imagens do ECR e do ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
Defender para Servidores | DefenderForCloud-ArcAutoProvisioning | Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
GPSN do Defender | DefenderForCloud-DataSecurityPostureDB | Permissão para descobrir instâncias de RDS na conta do AWS, criar um instantâneo da instância de RDS, – Listar todos os BDs/clusters do RDS – Copiar todos os instantâneos de BD/cluster – Copiar todos os instantâneos de BD/cluster – Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases – Listar todas as chaves KMS – Usar todas as chaves de KMS somente para os RDS na conta de origem – Listar chaves de KMS com o prefixo de marca DefenderForDatabases – Criar alias para chaves de KMS Permissões necessárias para descobrir, instâncias RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permissões no GCP
Quando você integra uma conexão do Google Cloud Platforms (GCP), o Defender para Nuvem cria funções e atribui permissões em seu projeto do GCP. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em seu projeto GCP.
Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
---|---|---|
GPSN do Defender | MDCCspmCustomRole | Essas permissões permitem que a função CSPM descubra e verifique recursos dentro da organização: Permite que a função exiba organizações, projetos e pastas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite o processo de autoprovisionamento de novos projetos e remoção de projetos excluídos: resourcemanager.projects.get resourcemanager.projects.list Permite que a função habilite os serviços do Google Cloud usados para a descoberta de recursos: serviceusage.services.enable Usado para criar e listar funções do IAM: iam.roles.create iam.roles.list Permite que a função atue como uma conta de serviço e obtenha permissão para recursos: iam.serviceAccounts.actAs Permite que a função visualize detalhes do projeto e defina metadados de instância comuns: compute.projects.get compute.projects.setCommonInstanceMetadata |
Defender para Servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acesso somente leitura para obter e listar o os recursos do Mecanismo de Computação: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
Defender para Banco de Dados | defender-for-databases-arc-ap | Permissões para provisionamento automático ARC do Defender para bancos de dados compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
GPSN do Defender | microsoft-defender-ciem | Permissões para obter detalhes sobre o recurso da organização. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
GPSN do Defender Defender para Servidores |
MDCAgentlessScanningRole | Permissões para verificação de disco sem agente: compute.disks.createSnapshot compute.instances.get |
GPSN do Defender Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | As permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK |
GPSN do Defender Defender para Contêineres |
mdc-containers-artifact-assess | Permissão para examinar imagens de GAR e GCR. artifactregistry.reader storage.objectViewer |
Defender para Contêineres | mdc-containers-k8s-operator | Permissões para coletar dados de clusters do GKE. Atualize os clusters do GKE para dar suporte à restrição de IP. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
Defender para Contêineres | microsoft-defender-containers | Permissões para criar e gerenciar o coletor de logs para rotear logs para um tópico do Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
Defender para Contêineres | ms-defender-containers-stream | Permissões para permitir que o log de eventos envie logs para o pub sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Próximas etapas
Este artigo explicou como o Defender para Nuvem usa o Controle de Acesso Baseado em Função do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como:
- Definir políticas de segurança no Defender para Nuvem
- Gerencie recomendações de segurança no Defender para Nuvem
- Gerencie e responda a alertas de segurança na Defender para Nuvem
- Monitoring partner solutions with Azure Security Center (Monitorando soluções de parceiros com a Central de Segurança do Azure)