Q: Jaká jsou minimální požadovaná oprávnění zásad SAS při exportu dat do služby Azure Event Hubs?

Odeslat je minimální požadovaná oprávnění zásad SAS. Podrobné pokyny najdete v kroku 1: Vytvoření oboru názvů služby Event Hubs a centra událostí s oprávněními k odeslání v tomto článku .

Question 1

Jak fungují oprávnění v Programu Microsoft Defender for Cloud?

Accepted Answer

Microsoft Defender pro cloud používá řízení přístupu na základě role v Azure (Azure RBAC), které poskytuje předdefinované role , které je možné přiřadit uživatelům, skupinám a službám v Azure.

Defender for Cloud vyhodnocuje konfiguraci vašich prostředků za účelem identifikace problémů se zabezpečením a ohrožení zabezpečení. V defenderu pro cloud se zobrazí jenom informace související s prostředkem, pokud máte přiřazenou roli vlastníka, přispěvatele nebo čtenáře pro předplatné nebo skupinu prostředků, ke které prostředek patří.

Další informace o rolích a povolených akcích v programu Defender for Cloud najdete v části Oprávnění v Programu Microsoft Defender for Cloud .

Question 2

Kdo může upravit zásady zabezpečení?

Accepted Answer

Pokud chcete upravit zásady zabezpečení, musíte být Správa zabezpečení nebo vlastník nebo přispěvatel daného předplatného.

Informace o konfiguraci zásad zabezpečení najdete v tématu Nastavení zásad zabezpečení v programu Microsoft Defender for Cloud.

Question 3

Která oprávnění používá kontrola bez agentů?

Accepted Answer

Tady jsou uvedené role a oprávnění používaná defenderem for Cloud k provádění kontroly bez agentů v prostředíCh Azure, AWS a GCP. V Azure se tato oprávnění automaticky přidají do vašich předplatných, když povolíte kontrolu bez agentů. V AWS se tato oprávnění přidají do zásobníku CloudFormation v konektoru AWS a v oprávněních GCP se přidají do skriptu onboardingu v konektoru GCP.

Oprávnění Azure – Předdefinovaná role Operátor skeneru virtuálních počítačů má oprávnění jen pro čtení pro disky virtuálních počítačů, které jsou potřeba pro proces snímku. Podrobný seznamoprávněních
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/beginGetAccess/action
- Microsoft.Compute/disks/diskEncryptionSets/read
- Microsoft.Compute/virtualMachines/instanceView/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/instanceView/read
- Microsoft.Compute/virtualMachineScaleSets/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
- Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Pokud je povolené pokrytí šifrovaných disků CMK, použijí se tato další oprávnění:
- Microsoft.KeyVault/vaults/keys/read
- Microsoft.KeyVault/vaults/keys/wrap/action
- Microsoft.KeyVault/vaults/keys/unwrap/action

Oprávnění AWS – Role VmScanner je přiřazena skeneru, když povolíte kontrolu bez agentů. Tato role má minimální nastavená oprávnění k vytváření a čištění snímků (vymezených značkou) a k ověření aktuálního stavu virtuálního počítače. Podrobná oprávnění jsou:

Atribut	Hodnota
SID	VmScannerDeleteSnapshotAccess
Akce	ec2:DeleteSnapshot
Podmínky	"StringEquals":{"ec2:ResourceTag/CreatedBy": "Microsoft Defender for Cloud"}
Zdroje informací	arn:aws:ec2::snapshot/
Účinnost	Povolit

Atribut	Hodnota
SID	VmScannerAccess
Akce	ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot
Podmínky	Nic
Zdroje informací	arn:aws:ec2::instance/ arn:aws:ec2::snapshot/ arn:aws:ec2:::volume/
Účinnost	Povolit

Atribut	Hodnota
SID	VmScannerVerificationAccess
Akce	ec2:DescribeSnapshots ec2:DescribeInstanceStatus
Podmínky	Nic
Zdroje informací	*
Účinnost	Povolit

Atribut	Hodnota
SID	VmScannerEncryptionKeyCreation
Akce	kms:CreateKey
Podmínky	Nic
Zdroje informací	*
Účinnost	Povolit

Atribut	Hodnota
SID	VmScannerEncryptionKeyManagement
Akce	kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags
Podmínky	Nic
Zdroje informací	arn:aws:kms::${AWS::AccountId}:key/ arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
Účinnost	Povolit

Atribut	Hodnota
SID	VmScannerEncryptionKeyUsage
Akce	kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey Kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom
Podmínky	Nic
Zdroje informací	arn:aws:kms::${AWS::AccountId}:key/
Účinnost	Povolit

Oprávnění GCP: Během připojování se vytvoří nová vlastní role s minimálními oprávněními potřebnými k získání stavu instancí a vytváření snímků. Nad tím, že oprávnění k existující roli GCP Služba správy klíčů jsou udělena pro podporu skenování disků, které jsou šifrované pomocí CMEK. Jedná se o následující role:
- role/MDCAgentlessScanningRole udělený účtu služby Defender for Cloud s oprávněními: compute.disks.createSnapshot, compute.instances.get
- role /cloudkms.cryptoKeyEncrypterDecrypterDecrypter udělený agentovi služby výpočetního stroje v programu Defender for Cloud

Question 4

Jaká jsou minimální požadovaná oprávnění zásad SAS při exportu dat do služby Azure Event Hubs?

Accepted Answer

Odeslat je minimální požadovaná oprávnění zásad SAS. Podrobné pokyny najdete v kroku 1: Vytvoření oboru názvů služby Event Hubs a centra událostí s oprávněními k odeslání v tomto článku.

Share via

Běžné dotazy týkající se oprávnění v defenderu pro cloud

Jak fungují oprávnění v Programu Microsoft Defender for Cloud?

Kdo může upravit zásady zabezpečení?

Která oprávnění používá kontrola bez agentů?

Jaká jsou minimální požadovaná oprávnění zásad SAS při exportu dat do služby Azure Event Hubs?

Váš názor

Další materiály