Benutzerrollen und -berechtigungen
Microsoft Defender for Cloud verwendet zur Bereitstellung integrierter Rollen die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC). Sie können diese Rollen Benutzern, Gruppen und Diensten in Azure zuweisen, um Benutzern den Zugriff auf Ressourcen entsprechend dem in der Rolle vorgesehenen Zugriff zu ermöglichen.
Defender für Cloud bewertet die Konfiguration Ihrer Ressourcen, um Sicherheitsprobleme und Schwachstellen zu identifizieren. In Defender for Cloud werden nur dann Informationen zu einer Ressource angezeigt, wenn Ihnen eine der folgenden Rollen für das Abonnement oder für die Ressourcengruppe, in der sich die Ressource befindet, zugewiesen ist: „Besitzer“, „Mitwirkender“ oder „Leser“.
Zusätzlich zu den integrierten Rollen gibt es zwei spezielle Rollen für Defender für Cloud:
- Sicherheitsleseberechtigter: Ein Benutzer mit dieser Rolle hat schreibgeschützten Zugriff auf Defender for Cloud. Der Benutzer kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.
- Sicherheitsadministrator: Ein Benutzer, der dieser Rolle angehört, hat den gleichen Zugriff wie der Sicherheitsleseberechtigte und kann darüber hinaus die Sicherheitsrichtlinie aktualisieren sowie Warnungen und Empfehlungen verwerfen.
Es empfiehlt sich, den Benutzern eine Rolle zuzuweisen, die jeweils nur so viele Berechtigungen umfasst wie für die Erfüllung ihrer Aufgaben erforderlich sind. Weisen Sie die Rolle „Leser“ etwa Benutzern zu, die nur Informationen zur Sicherheitsintegrität einer Ressource anzeigen, aber keine Aktionen durchführen müssen (also beispielsweise keine Empfehlungen umsetzen oder Richtlinien bearbeiten).
Rollen und zulässige Aktionen
Die folgende Tabelle zeigt die Rollen und zulässigen Aktionen in Defender für Cloud.
| Aktion | Sicherheitsleseberechtigter / Leser |
Sicherheitsadministrator | Mitwirkender / Besitzer | Mitwirkender | Besitzer |
|---|---|---|---|---|---|
| (Ressourcengruppenebene) | (Abonnementebene) | (Abonnementebene) | |||
| Initiativen hinzufügen/zuweisen (einschließlich Standards für die Einhaltung gesetzlicher Bestimmungen) | - | ✔ | - | - | ✔ |
| Sicherheitsrichtlinie bearbeiten | - | ✔ | - | - | ✔ |
| Aktivieren/Deaktivieren von Microsoft Defender-Plänen | - | ✔ | - | ✔ | ✔ |
| Warnungen verwerfen | - | ✔ | - | ✔ | ✔ |
| Anwenden von Sicherheitsempfehlungen für eine Ressource (und Verwenden von Beheben) |
- | - | ✔ | ✔ | ✔ |
| Warnungen und Empfehlungen anzeigen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Ausgenommene Sicherheitsempfehlungen | - | ✔ | - | - | ✔ |
| Konfigurieren von E-Mail-Benachrichtigungen | - | ✔ | ✔ | ✔ | ✔ |
Hinweis
Die drei genannten Rollen reichen zwar zum Aktivieren und Deaktivieren von Defender-Plänen aus, um alle Funktionen eines Plans zu aktivieren, ist aber die Rolle „Besitzer“ erforderlich.
Die spezifische Rolle, die für die Bereitstellung von Überwachungskomponenten erforderlich ist, hängt von der Erweiterung ab, die Sie bereitstellen. Erfahren Sie mehr über Überwachungskomponenten.
Rollen zum automatischen Bereitstellen von Agents und Erweiterungen
Damit die Rolle „Sicherheitsadministrator“ in Defender for Cloud-Plänen verwendete Agents und Erweiterungen automatisch bereitstellen kann, wird von Defender for Cloud die Richtlinienwartung auf ähnliche Weise wie von Azure Policy verwendet. Um die Wartung zu nutzen, muss Defender for Cloud Dienstprinzipale (auch als verwaltete Identitäten bezeichnet) erstellen, die Rollen auf Abonnementebene zuweisen. Beispielsweise sind die Dienstprinzipale für den Defender for Containers-Plan wie folgt:
| Dienstprinzipal | Rollen |
|---|---|
| Defender for Containers: Bereitstellen des AKS-Sicherheitsprofils | • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender • Mitwirkender für Azure Kubernetes Service • Log Analytics-Mitwirkender |
| Defender for Containers stellt Arc-fähige Kubernetes bereit | • Mitwirkender für Azure Kubernetes Service • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender • Log Analytics-Mitwirkender |
| Bereitstellung von Defender for Containers: Azure Policy für Kubernetes | • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender • Mitwirkender für Azure Kubernetes Service |
| Richtlinienerweiterung für die Bereitstellung von Defender for Containers für Arc-fähiges Kubernetes | • Mitwirkender für Azure Kubernetes Service • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender |
Berechtigungen bei AWS
Wenn Sie einen Amazon Web Services-Connector (AWS) integrieren, erstellt Defender for Cloud Rollen und weist Ihrem AWS-Konto Berechtigungen zu. In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die durch die einzelnen Pläne in Ihrem AWS-Konto zugewiesen werden.
| Defender for Cloud-Plan | Erstellte Rolle | Für AWS-Konto zugewiesene Berechtigung |
|---|---|---|
| Defender CSPM | CspmMonitorAws | Um die AWS-Ressourcenberechtigungen zu ermitteln, lesen Sie alle Ressourcen außer: consolidatedbilling: freetier: invoicing: payments: billing: tax: cur:* |
| Defender CSPM Defender für Server |
DefenderForCloud-AgentlessScanner | So erstellen und bereinigen Sie Datenträgermomentaufnahmen (nach Tag) „CreatedBy“: Berechtigungen für „Microsoft Defender for Cloud“: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Berechtigung für „EncryptionKeyCreation kms:CreateKey“ kms:ListKeys Berechtigungen für „EncryptionKeyManagement kms:TagResource“ kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender für Storage |
SensitiveDataDiscovery | Berechtigungen zum Ermitteln von S3-Buckets im AWS-Konto, Berechtigung für den Defender for Cloud-Scanner für den Zugriff auf Daten in den S3-Buckets. S3: schreibgeschützt; KMS-Entschlüsselung: „kms:Decrypt“ |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Berechtigungen für Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender für Server | DefenderForCloud-DefenderForServers | Berechtigungen zum Konfigurieren des JIT-Netzwerkzugriffs: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender für Container | DefenderForCloud-Containers-K8s | Berechtigungen zum Auflisten von EKS-Clustern und Sammeln von Daten aus EKS-Clustern. eks:UpdateClusterConfig eks:DescribeCluster |
| Defender für Container | DefenderForCloud-DataCollection | Berechtigungen für CloudWatch-Protokollgruppe, die von Defender for Cloud erstellt wurde logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy Berechtigungen für die Verwendung der SQS-Warteschlange, die von Defender for Cloud erstellt wurde sqs:ReceiveMessage sqs:DeleteMessage |
| Defender für Container | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Berechtigungen für den Zugriff auf den Kinesis Data Firehose-Übermittlungsdatenstrom, der von Defender for Cloud erstellt wurde firehose:* |
| Defender für Container | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Berechtigungen für den Zugriff auf den S3-Bucket, der von Defender for Cloud erstellt wurde s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Berechtigungen zum Sammeln von Daten aus EKS-Clustern. Aktualisieren von EKS-Clustern zur Unterstützung der IP-Einschränkung und Erstellen von iamidentitymapping für EKS-Cluster „eks:DescribeCluster“ „eks:UpdateClusterConfig*“ |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | Berechtigungen zum Scannen von Bildern aus ECR und ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender für Server | DefenderForCloud-ArcAutoProvisioning | Berechtigungen zum Installieren von Azure Arc auf allen EC2-Instanzen mit SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Berechtigung zum Ermitteln von RDS-Instanzen im AWS-Konto, Erstellen einer RDS-Instanzmomentaufnahme, - Auflisten aller RDS-Datenbanken/-Cluster - Auflisten aller Datenbank-/Clustermomentaufnahmen - Kopieren aller Datenbank-/Clustermomentaufnahmen - Löschen/Aktualisieren einer Datenbank-/Clustermomentaufnahme mit dem Präfix defenderfordatabases - Auflisten aller KMS-Schlüssel - Verwenden aller KMS-Schlüssel nur für RDS im Quellkonto - Auflisten von KMS-Schlüsseln mit dem Tagpräfix DefenderForDatabases - Erstellen eines Alias für KMS-Schlüssel Erforderliche Berechtigungen zum Ermitteln, RDS-Instanzen rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Berechtigungen für GCP
Wenn Sie einen Google Cloud Projects-Connector (GCP) integrieren, erstellt Defender for Cloud Rollen und weist Ihrem GCP-Projekt Berechtigungen zu. In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die durch die einzelnen Pläne in Ihrem GCP-Projekt zugewiesen werden.
| Defender for Cloud-Plan | Erstellte Rolle | Für AWS-Konto zugewiesene Berechtigung |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Mit diesen Berechtigungen kann die CSPM-Rolle Ressourcen innerhalb der Organisation ermitteln und überprüfen: Ermöglicht der Rolle das Anzeigen von Organisationen, Projekten und Ordnern: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Ermöglicht die automatische Bereitstellung neuer Projekte und das Entfernen gelöschter Projekte: resourcemanager.projects.get resourcemanager.projects.list Ermöglicht der Rolle die Aktivierung von Google Cloud-Diensten, die für die Ermittlung von Ressourcen verwendet werden: serviceusage.services.enable Wird zum Erstellen und Auflisten von IAM-Rollen verwendet: iam.roles.create iam.roles.list Ermöglicht der Rolle, als Dienstkonto zu fungieren und Berechtigungen für Ressourcen zu erhalten: iam.serviceAccounts.actAs Ermöglicht der Rolle, Projektdetails anzuzeigen und allgemeine Instanzmetadaten festzulegen: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender für Server | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Schreibgeschützter Zugriff zum Abrufen und Auflisten der Compute-Engine resources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender für Datenbank | defender-for-databases-arc-ap | Berechtigungen für die automatische Arc-Bereitstellung von Defender für Datenbanken compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender für Storage |
data-security-posture-storage | Berechtigung für den Defender for Cloud-Scanner zum Ermitteln von GCP-Speicherbuckets für den Zugriff auf Daten in den GCP-Speicherbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender für Storage |
data-security-posture-storage | Berechtigung für den Defender for Cloud-Scanner zum Ermitteln von GCP-Speicherbuckets für den Zugriff auf Daten in den GCP-Speicherbuckets storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Berechtigungen zum Abrufen von Details zur Organisationsressource. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender für Server |
MDCAgentlessScanningRole | Berechtigungen für agentlose Datenträgerüberprüfung: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender für Server |
cloudkms.cryptoKeyEncrypterDecrypter | Berechtigungen für eine vorhandene GCP-KMS-Rolle werden erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. |
| Defender CSPM Defender für Container |
mdc-containers-artifact-assess | Berechtigung zum Scannen von Bildern von GAR und GCR. artifactregistry.reader storage.objectViewer |
| Defender für Container | mdc-containers-k8s-operator | Berechtigungen zum Sammeln von Daten aus GKE-Clustern. Aktualisieren Sie GKE-Cluster, um die IP-Einschränkung zu unterstützen. container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender für Container | microsoft-defender-containers | Berechtigungen zum Erstellen und Verwalten der Protokollsenke zum Weiterleiten von Protokollen an ein Cloud-Pub/Sub-Thema. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender für Container | ms-defender-containers-stream | Berechtigungen zum Zulassen der Protokollierung zum Senden von Protokollen an Pub/Sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Nächste Schritte
In diesem Artikel wurde erläutert, wie Defender für Cloud Azure RBAC verwendet, um Benutzern Berechtigungen zuzuweisen und die zulässigen Aktionen für jede Rolle zu identifizieren. Informieren Sie sich als Nächstes über Folgendes, nachdem Sie sich mit den Rollenzuweisungen zum Überwachen des Sicherheitszustands Ihres Abonnements, Bearbeiten von Sicherheitsrichtlinien und Anwenden von Empfehlungen vertraut gemacht haben: