Editar

Preguntas comunes sobre los permisos en Defender for Cloud

  • Preguntas más frecuentes

¿Cómo funcionan los permisos en Microsoft Defender for Cloud?

Microsoft Defender for Cloud usa el control de acceso basado en rol de Azure (Azure RBAC), que proporciona roles integrados que se pueden asignar a usuarios, grupos y servicios en Azure.

Defender for Cloud evalúa la configuración de los recursos para identificar problemas de seguridad y vulnerabilidades. En Defender for Cloud, solo puede ver la información relacionada con un recurso cuando se le asigna el rol de Propietario, Colaborador o Lector para la suscripción o el grupo de recursos al que pertenece un recurso.

Consulte Permisos en Microsoft Defender for Cloud para obtener más información sobre los roles y las acciones permitidas en Defender for Cloud.

¿Quién puede modificar una directiva de seguridad?

Para modificar una directiva de seguridad, debe ser administrador de seguridad o propietario/colaborador de esa suscripción.

Para obtener información sobre cómo configurar una directiva de seguridad, consulte Establecimiento de directivas de seguridad en Microsoft Defender for Cloud.

¿Qué permisos usan los exámenes sin agente?

Los roles y permisos usados por Defender for Cloud para realizar análisis sin agente en sus entornos Azure, AWS y GCP se enumeran aquí. En Azure, estos permisos se agregan automáticamente a las suscripciones al habilitar el examen sin agente. En AWS, estos permisos se agregan a la pila de CloudFormation en el conector de AWS y en los permisos de GCP se agregan al script de incorporación en el conector de GCP.

  • Permisos de Azure: el rol integrado "Operador de examen de máquina virtual" tiene permisos de solo lectura para los discos de máquina virtual que son necesarios para el proceso de la instantánea. La lista detallada de permisos es:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Cuando se habilita la cobertura de los discos cifrados de CMK, se usan estos permisos adicionales:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • Permisos de AWS: el rol "VmScanner" se asigna al analizador al habilitar el examen sin agente. Este rol tiene el conjunto de permisos mínimo para crear y limpiar instantáneas (con ámbito por etiqueta) y para comprobar el estado actual de la máquina virtual. Los permisos detallados son:

    Atributo Value
    SID VmScannerDeleteSnapshotAccess
    Actions ec2:DeleteSnapshot
    Condiciones "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "Microsoft Defender for Cloud"}
    Recursos arn:aws:ec2:::snapshot/
    Efecto Allow
    Atributo Value
    SID VmScannerAccess
    Acciones ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Condiciones None
    Recursos arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Efecto Allow
    Atributo Value
    SID VmScannerVerificationAccess
    Acciones ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Condiciones None
    Recursos *
    Efecto Allow
    Atributo Value
    SID VmScannerEncryptionKeyCreation
    Actions kms:CreateKey
    Condiciones None
    Recursos *
    Efecto Allow
    Atributo Value
    SID VmScannerEncryptionKeyManagement
    Acciones kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Condiciones None
    Recursos arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Efecto Allow
    Atributo Value
    SID VmScannerEncryptionKeyUsage
    Acciones kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Condiciones None
    Recursos arn:aws:kms::${AWS::AccountId}:key/
    Efecto Permitir

  • Permisos de GCP: durante la incorporación, se crea un nuevo rol personalizado con los permisos mínimos necesarios para obtener el estado de las instancias y crear instantáneas. Además de esos permisos para un rol de KMS de GCP existente se conceden para admitir el examen de discos cifrados con CMEK. Los roles son:

    • roles/MDCAgentlessScanningRole concedido a la cuenta de servicio de Defender for Cloud con permisos: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter concedido al agente de servicio del motor de proceso de Defender for Cloud

¿Cuáles son los permisos mínimos de directiva de SAS necesarios al exportar datos a Azure Event Hubs?

Enviar es el mínimo de permisos de directiva de SAS necesarios. Para obtener instrucciones paso a paso, vea Paso 1: Creación de un espacio de nombres de Event Hubs y un centro de eventos con permisos de envío en este artículo.