Vanliga frågor om behörigheter i Defender för molnet

  • Vanliga frågor

Hur fungerar behörigheter i Microsoft Defender för molnet?

Microsoft Defender för molnet använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) som tillhandahåller inbyggda roller som kan tilldelas till användare, grupper och tjänster i Azure.

Defender för Cloud utvärderar konfigurationen av dina resurser för att identifiera säkerhetsproblem och sårbarheter. I Defender för molnet ser du bara information som är relaterad till en resurs när du har tilldelats rollen Ägare, Deltagare eller Läsare för den prenumeration eller resursgrupp som en resurs tillhör.

Mer information om roller och tillåtna åtgärder i Defender för molnet finns i Behörigheter i Microsoft Defender för molnet .

Vem kan ändra en säkerhetsprincip?

Om du vill ändra en säkerhetsprincip måste du vara säkerhetsadministratör eller ägare eller deltagare i den prenumerationen.

Information om hur du konfigurerar en säkerhetsprincip finns i Ange säkerhetsprinciper i Microsoft Defender för molnet.

Vilka behörigheter används vid agentlös genomsökning?

De roller och behörigheter som används av Defender för molnet för att utföra agentlös genomsökning i dina Azure-, AWS- och GCP-miljöer visas här. I Azure läggs dessa behörigheter automatiskt till i dina prenumerationer när du aktiverar agentlös genomsökning. I AWS läggs dessa behörigheter till i CloudFormation-stacken i AWS-anslutningstjänsten och i GCP-behörigheter läggs de till i registreringsskriptet i GCP-anslutningsappen.

  • Azure-behörigheter – Den inbyggda rollen "VM-skanneroperator" har skrivskyddade behörigheter för virtuella datordiskar som krävs för ögonblicksbildsprocessen. Den detaljerade listan över behörigheter är:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    När täckning för CMK-krypterade diskar är aktiverat används dessa ytterligare behörigheter:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS-behörigheter – Rollen "VmScanner" tilldelas till skannern när du aktiverar agentlös genomsökning. Den här rollen har den minsta behörighetsuppsättningen för att skapa och rensa ögonblicksbilder (omfångsbegränsade efter tagg) och för att verifiera den virtuella datorns aktuella tillstånd. De detaljerade behörigheterna är:

    Attribut Värde
    SID VmScannerDeleteSnapshotAccess
    Åtgärder ec2:DeleteSnapshot
    Villkor "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Microsoft Defender för molnet"}
    Resurser arn:aws:ec2:::snapshot/
    Effekt Tillåt
    Attribut Värde
    SID VmScannerAccess
    Åtgärder ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Villkor Ingen
    Resurser arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Effekt Tillåt
    Attribut Värde
    SID VmScannerVerificationAccess
    Åtgärder ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Villkor Ingen
    Resurser *
    Effekt Tillåt
    Attribut Värde
    SID VmScannerEncryptionKeyCreation
    Åtgärder kms:CreateKey
    Villkor Ingen
    Resurser *
    Effekt Tillåt
    Attribut Värde
    SID VmScannerEncryptionKeyManagement
    Åtgärder kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Villkor Ingen
    Resurser arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Effekt Tillåt
    Attribut Värde
    SID VmScannerEncryptionKeyUsage
    Åtgärder kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Villkor Ingen
    Resurser arn:aws:kms::${AWS::AccountId}:key/
    Effekt Tillåt

  • GCP-behörigheter: under registrering – skapas en ny anpassad roll med minimal behörighet som krävs för att hämta instansstatus och skapa ögonblicksbilder. Utöver dessa behörigheter till en befintlig GCP KMS-roll beviljas för att stödja genomsökning av diskar som är krypterade med CMEK. Rollerna är:

    • roles/MDCAgentlessScanningRole som beviljats defender för molnets tjänstkonto med behörigheter: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter beviljad till Defender for Clouds beräkningsmotortjänstagent

Vilka är de minsta SAS-principbehörigheter som krävs när du exporterar data till Azure Event Hubs?

Skicka är den minsta SAS-principbehörighet som krävs. Stegvisa instruktioner finns i Steg 1: Skapa ett Event Hubs-namnområde och en händelsehubb med sändningsbehörigheter i den här artikeln.