Bulut için Defender izinler hakkında sık sorulan sorular

  • SSS

Bulut için Microsoft Defender'da izinler nasıl çalışır?

Bulut için Microsoft Defender kullanımları Azure'daki kullanıcılara, gruplara ve hizmetlere atanabilecek yerleşik roller sağlayan Azure rol tabanlı erişim denetimi (Azure RBAC).

Bulut için Defender, güvenlik sorunlarını ve güvenlik açıklarını belirlemek için kaynaklarınızın yapılandırmasını değerlendirir. Bulut için Defender'de, bir kaynakla ilgili bilgileri yalnızca kaynağın ait olduğu abonelik veya kaynak grubu için Sahip, Katkıda Bulunan veya Okuyucu rolü atandığında görürsünüz.

Bulut için Defender'daki roller ve izin verilen eylemler hakkında daha fazla bilgi edinmek için bkz. Bulut için Microsoft Defender'daki izinler.

Güvenlik ilkesini kimler değiştirebilir?

Bir güvenlik ilkesini değiştirmek için Güvenlik Yöneticisi veya bu aboneliğin Sahibi veya Katkıda Bulunanı olmanız gerekir.

Güvenlik ilkesini yapılandırmayı öğrenmek için bkz. Bulut için Microsoft Defender'de güvenlik ilkelerini ayarlama.

Aracısız tarama hangi izinleri kullanır?

Azure, AWS ve GCP ortamlarınızda aracısız tarama gerçekleştirmek için Bulut için Defender tarafından kullanılan roller ve izinler burada listelenmiştir. Azure'da, aracısız taramayı etkinleştirdiğinizde bu izinler aboneliklerinize otomatik olarak eklenir. AWS'de bu izinler AWS bağlayıcınızdaki CloudFormation yığınına ve GCP izinleri GCP bağlayıcınızdaki ekleme betiğine eklenir.

  • Azure izinleri - Yerleşik rol "VM tarayıcı işleci" anlık görüntü işlemi için gereken VM diskleri için salt okunur izinlere sahiptir. İzinlerin ayrıntılı listesi:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    CMK şifreli disklerin kapsamı etkinleştirildiğinde, şu ek izinler kullanılır:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS izinleri - Aracısız taramayı etkinleştirdiğinizde tarayıcıya "VmScanner" rolü atanır. Bu rol, anlık görüntüleri oluşturmak ve temizlemek (etikete göre kapsamlı) ve VM'nin geçerli durumunu doğrulamak için minimum izin kümesine sahiptir. Ayrıntılı izinler şunlardır:

    Öznitelik Değer
    SID VmScannerDeleteSnapshotAccess
    Eylemler ec2:DeleteSnapshot
    Koşullar "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Bulut için Microsoft Defender"}
    Kaynaklar arn:aws:ec2:::snapshot/
    Etki İzin Ver
    Öznitelik Değer
    SID VmScannerAccess
    Eylemler ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Koşullar Hiçbiri
    Kaynaklar arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Etki İzin Ver
    Öznitelik Değer
    SID VmScannerVerificationAccess
    Eylemler ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Koşullar Hiçbiri
    Kaynaklar *
    Etki İzin Ver
    Öznitelik Değer
    SID VmScannerEncryptionKeyCreation
    Eylemler kms:CreateKey
    Koşullar Hiçbiri
    Kaynaklar *
    Etki İzin Ver
    Öznitelik Değer
    SID VmScannerEncryptionKeyManagement
    Eylemler kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Koşullar Hiçbiri
    Kaynaklar arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Etki İzin Ver
    Öznitelik Değer
    SID VmScannerEncryptionKeyUsage
    Eylemler kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Koşullar Hiçbiri
    Kaynaklar arn:aws:kms::${AWS::AccountId}:key/
    Etki İzin Ver

  • GCP izinleri: ekleme sırasında örnek durumunu almak ve anlık görüntüler oluşturmak için gereken en düşük izinlerle yeni bir özel rol oluşturulur. Bu izinlere ek olarak, CMEK ile şifrelenmiş tarama disklerini desteklemek için mevcut GCP KMS rolüne yönelik izinler verilir. Roller şunlardır:

    • roles/MDCAgentlessScanningRole Bulut için Defender hizmet hesabına verilen izinler: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter Bulut için Defender işlem altyapısı hizmet aracısına verildi

Verileri Azure Event Hubs'a aktarırken gereken en düşük SAS ilkesi izinleri nedir?

Gönder , gereken en düşük SAS ilkesi izinleridir. Adım adım yönergeler için bu makaledeki 1. Adım: Gönderme izinleriyle Event Hubs ad alanı ve olay hub'ı oluşturma makalesine bakın.