Permisos de Microsoft Defender for Cloud
Defender for Cloud usa el control de acceso basado en rol de Azure (RBAC de Azure), que proporciona roles integrados que se pueden asignar a usuarios, grupos y servicios de Azure.
Defender for Cloud evalúa la configuración de los recursos para identificar problemas de seguridad y vulnerabilidades. En Defender for Cloud solo se muestra información relacionada con un recurso si se tiene asignado el rol de Propietario, Colaborador o Lector en la suscripción o el grupo de recursos del recurso.
Además de los roles integrados, hay dos roles específicos de Defender for Cloud:
- Lector de seguridad: un usuario que pertenece a este rol tiene derechos de visualización en Defender for Cloud. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.
- Administrador de seguridad: un usuario que pertenece a este rol tiene los mismos derechos que el lector de seguridad y puede actualizar la directiva de seguridad, descartar las alertas y las recomendaciones y aplicar las recomendación.
Nota
Los roles de seguridad, Lector de seguridad y Administrador de seguridad, solo tienen acceso en Defender for Cloud. Los roles de seguridad no tienen acceso a otros servicios de Azure, como Storage, Web y móvil o Internet de las cosas.
Roles y acciones permitidas
En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.
| Acción | Lector de seguridad / Lector |
Administrador de seguridad | Colaborador / Propietario | Colaborador | Propietario |
|---|---|---|---|---|---|
| (Nivel de grupo de recursos) | (Nivel de suscripción) | (Nivel de suscripción) | |||
| Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) | - | - | - | ✔ | ✔ |
| Editar directivas de seguridad | - | ✔ | - | ✔ | ✔ |
| Habilitar o deshabilitar planes de Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Descartar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendaciones de seguridad en un recurso (y usar el botón Corregir) | - | - | ✔ | ✔ | ✔ |
| Ver alertas y recomendaciones | ✔ | ✔ | ✔ | ✔ | ✔ |
En el caso del aprovisionamiento automático, el rol específico necesario depende de la extensión que se va a implementar. Para obtener detalles completos, consulte la pestaña de la extensión específica en la tabla de disponibilidad de la página de inicio rápido del aprovisionamiento automático.
Nota
Es recomendable que asigne el rol de menos permisos que los usuarios necesiten para realizar sus tareas. Por ejemplo, asigne el rol Lector a los usuarios que solo necesiten ver información sobre el estado de seguridad de los recursos, pero no llevar a cabo acciones como aplicar recomendaciones o editar directivas.
Pasos siguientes
En este artículo se ha explicado cómo usa Defender for Cloud RBAC de Azure para asignar permisos a usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos: