Роли и разрешения пользователей
Microsoft Defender для облака используется Управление доступом на основе ролей Azure (контроль доступа на основе ролей Azure) для предоставления встроенных ролей. Эти роли можно назначить пользователям, группам и службам в Azure, чтобы предоставить пользователям доступ к ресурсам в соответствии с доступом, определенным в роли.
Defender для облака оценивает конфигурацию ресурсов и определяет проблемы безопасности и уязвимости. В Defender для облака можно просмотреть сведения, связанные с ресурсом, если у вас есть одна из этих ролей, назначенных для подписки или группы ресурсов, к которой принадлежит ресурс: Владелец, участник или читатель.
Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:
- Средство чтения безопасности: пользователь, принадлежащий этой роли, имеет доступ только для чтения к Defender для облака. Пользователь может просматривать рекомендации, оповещения, политику безопасности и состояния безопасности, но не может вносить изменения.
- Администратор безопасности: пользователь, принадлежащий этой роли, имеет тот же доступ, что и средство чтения безопасности, а также может обновлять политику безопасности, а также отклонять оповещения и рекомендации.
Рекомендуется назначить наименьшую неизрешительную роль, необходимую для выполнения задач пользователями.
Например, вы можете назначить роль читателя пользователям, которые должны просматривать сведения о работоспособности системы безопасности ресурса, не выполняя никаких действий. Пользователи с ролью читателя могут применять рекомендации или политики редактирования.
Роли и разрешенные действия
В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.
| Действие |
читатель сведений о безопасности /; Читатель |
Администратор безопасности | Участник / Владелец | Участник | Ответственное лицо |
|---|---|---|---|---|---|
| (уровень группы ресурсов) | (уровень подписки) | (уровень подписки) | |||
| Добавление и назначение инициатив (включая стандарты соответствия нормативным требованиям) | - | ✔ | - | - | ✔ |
| Изменение политики безопасности | - | ✔ | - | - | ✔ |
| Включение и выключение планов Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Закрытие оповещений | - | ✔ | - | ✔ | ✔ |
| Применение рекомендаций по безопасности для ресурса (использование исправления) |
- | - | ✔ | ✔ | ✔ |
| Просмотр оповещений и рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
| Исключение рекомендаций по безопасности | - | ✔ | - | - | ✔ |
| Настройка уведомлений по электронной почте | - | ✔ | ✔ | ✔ | ✔ |
Примечание.
Хотя для включения и отключения планов Defender достаточно трех ролей, необходимо включить все возможности плана владельца.
Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от развернутого расширения. Дополнительные сведения о компонентах мониторинга.
Роли, используемые для автоматической подготовки агентов и расширений
Чтобы роль администратора безопасности автоматически подготавливала агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики аналогичным образом, чтобы Политика Azure. Чтобы использовать исправление, Defender для облака необходимо создать субъекты-службы, также называемые управляемыми удостоверениями, назначающими роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:
| Субъект-служба | Роли |
|---|---|
| Профиль безопасности Служба Azure Kubernetes (AKS) в Защитнике для контейнеров | * Участник расширения Kubernetes *Сотрудник * Участник Служба Azure Kubernetes * Участник Log Analytics |
| Защитник для контейнеров с поддержкой Arc Kubernetes | * Участник Служба Azure Kubernetes * Участник расширения Kubernetes *Сотрудник * Участник Log Analytics |
| Политика Azure подготовки к контейнерам в Defender для Kubernetes | * Участник расширения Kubernetes *Сотрудник * Участник Служба Azure Kubernetes |
| Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc | * Участник Служба Azure Kubernetes * Участник расширения Kubernetes *Сотрудник |
Разрешения на AWS
При подключении соединителя Amazon Web Services (AWS) Defender для облака создает роли и назначает разрешения для учетной записи AWS. В следующей таблице показаны роли и разрешения, назначенные каждым планом в учетной записи AWS.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| Управление облачной безопасностью Defender (CSPM) | CspmMonitorAws | Чтобы обнаружить разрешения ресурсов AWS, ознакомьтесь со всеми ресурсами, кроме следующих: консолидация:* freetier:* Выставление счетов:* Платежи:* Выставления счетов:* налог:* дворняга:* |
| CSPM в Защитнике Defender для серверов |
DefenderForCloud-AgentlessScanner | Чтобы создать и очистить моментальные снимки дисков (в области по тегу) "CreateBy": "Microsoft Defender для облака" Разрешения: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Разрешение на ШифрованиеKeyCreation kms:CreateKey kms:ListKeys Разрешения для kms:TagResource для EncryptionKeyManagement kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM в Защитнике Defender для хранилища |
SensitiveDataDiscovery | Разрешения на обнаружение контейнеров S3 в учетной записи AWS, разрешение для сканера Defender для облака для доступа к данным в контейнерах S3 Только для чтения S3 Расшифровка KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Разрешения для обнаружения Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender для серверов | DefenderForCloud-DefenderForServers | Разрешения для настройки доступа к сети JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender для контейнеров | DefenderForCloud-Containers-K8s | Разрешения для перечисления кластеров EKS и сбора данных из кластеров EKS eks:UpdateClusterConfig eks:DescribeCluster |
| Defender для контейнеров | DefenderForCloud-DataCollection | Разрешения для группы журналов CloudWatch, созданной Defender для облака logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Разрешения на использование очереди SQS, созданной Defender для облака sqs:ReceiveMessage sqs:DeleteMessage |
| Defender для контейнеров | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Разрешения на доступ к потоку доставки Kinesis Data Firehose, созданному Defender для облака firehose:* |
| Defender для контейнеров | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Разрешения на доступ к контейнеру S3, созданному Defender для облака s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender для контейнеров Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Разрешения на сбор данных из кластеров EKS. Обновление кластеров EKS для поддержки ограничения IP-адресов и создания ioopntitymapping для кластеров EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender для контейнеров Defender CSPM |
MDCContainersImageAssessmentRole | Разрешения на сканирование изображений из ECR и ecR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender для серверов | DefenderForCloud-ArcAutoProvisioning | Разрешения на установку Azure Arc на всех экземплярах EC2 с помощью SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Разрешение на обнаружение экземпляров RDS в учетной записи AWS, создание моментального снимка экземпляра RDS; — список всех DBS/кластеров RDS — вывод списка всех моментальных снимков базы данных и кластера — копирование всех моментальных снимков базы данных и кластера — удаление или обновление моментального снимка базы данных или кластера с префиксом Defenderfordatabases — вывод списка всех ключей KMS — Используйте все ключи KMS только для RDS в исходной учетной записи. — вывод списка ключей KMS с префиксом тега DefenderForDatabases — создание псевдонима для ключей KMS Разрешения, необходимые для обнаружения экземпляров RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Разрешения на GCP
При подключении соединителя Google Cloud Platform (GCP) Defender для облака создает роли и назначает разрешения для проекта GCP. В следующей таблице показаны роли и разрешения, назначенные каждым планом в проекте GCP.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Эти разрешения позволяют роли CSPM обнаруживать и сканировать ресурсы в организации: Позволяет роли просматривать и организации, проекты и папки: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Разрешает процесс автоматической подготовки новых проектов и удаление удаленных проектов: resourcemanager.projects.get resourcemanager.projects.list Позволяет включить облачные службы Google, используемые для обнаружения ресурсов: serviceusage.services.enable Используется для создания и перечисления ролей IAM: iam.role.create iam.role.list Позволяет роли выступать в качестве учетной записи службы и получать разрешения на ресурсы: iam.serviceAccounts.actAs Позволяет роли просматривать сведения о проекте и задавать общие метаданные экземпляра: compute.projects.get compute.projects.setCommonInstanceMetadata Используется для обнаружения и сканирования ресурсов платформы ИИ в организации: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender для серверов | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Доступ только для чтения для получения и перечисления ресурсов подсистемы вычислений: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender для базы данных | defender-for-database-arc-ap | Разрешения на автоматическую подготовку в Defender для баз данных ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Разрешения для получения сведений о ресурсе организации. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM в Защитнике Defender для серверов |
MDCAgentlessScanningRole | Разрешения для сканирования дисков без агента: compute.disks.createSnapshot compute.instances.get |
| CSPM в Защитнике Defender для серверов |
cloudkms.cryptoKeyEncrypterDecrypter | Разрешения для существующей роли GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK |
| CSPM в Защитнике Defender для контейнеров |
mdc-containers-artifact-assess | Разрешение на сканирование изображений из GAR и GCR. artifactregistry.reader storage.objectViewer |
| Defender для контейнеров | оператор mdc-containers-k8s-operator | Разрешения на сбор данных из кластеров GKE. Обновите кластеры GKE для поддержки ограничения IP-адресов. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender для контейнеров | контейнеры Microsoft-Defender | Разрешения для создания приемника журналов и управления ими для маршрутизации журналов в раздел Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender для контейнеров | ms-defender-containers-stream | Разрешения для ведения журнала для отправки журналов в вложенный файл pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Следующие шаги
В этой статье объясняется, как Defender для облака использовать контроль доступа на основе ролей Azure для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.