Édition

Partage via

Questions courantes sur les autorisations dans Defender pour le cloud

  • FAQ

Comment fonctionnent les autorisations dans Microsoft Defender pour le cloud ?

Defender pour le cloud utilise le contrôle d’accès en fonction du rôle d’Azure (Azure RBAC), qui fournit des rôles intégrés susceptibles d’être affectés à des utilisateurs, des groupes et des services dans Azure.

Defender pour le cloud évalue la configuration de vos ressources pour identifier les vulnérabilités et les problèmes de sécurité. Dans Defender pour le cloud, vous ne voyez les informations relatives à une ressource que lorsque vous avez reçu le rôle de propriétaire, de collaborateur ou de lecteur pour l’abonnement ou le groupe de ressources auquel appartient la ressource.

Pour en savoir plus sur les rôles et les actions autorisées dans Defender pour le cloud, consultez Autorisations dans Microsoft Defender pour le cloud.

Qui peut modifier une stratégie de sécurité ?

Pour modifier une stratégie de sécurité, vous devez avoir le rôle d’administrateur de la sécurité, de propriétaire ou de collaborateur pour l’abonnement concerné.

Pour savoir comment configurer une stratégie de sécurité, consultez Définition de stratégies de sécurité dans Microsoft Defender pour le cloud.

Quelles autorisations sont utilisées par l’analyse sans agent ?

Les rôles et autorisations que Defender pour le cloud utilise pour effectuer une analyse sans agent de vos environnements Azure, AWS et GCP sont répertoriés ici. Dans Azure, ces autorisations sont automatiquement ajoutées à vos abonnements lorsque vous activez l’analyse sans agent. Dans AWS, ces autorisations sont ajoutées à la pile CloudFormation dans votre connecteur AWS et, dans GCP, les autorisations sont ajoutées au script d’intégration dans votre connecteur GCP.

  • Autorisations Azure : le rôle intégré « Opérateur de scanner de machine virtuelle » dispose d’autorisations de lecture seule pour les disques de machine virtuelle, qui sont requises pour le processus d’instantané. Voici la liste détaillée des autorisations :

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Lorsque la couverture des disques chiffrés CMK est activée, ces autorisations supplémentaires sont utilisées :

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • Autorisations AWS : le rôle « VmScanner » est attribué au scanneur lorsque vous activez l’analyse sans agent. Ce rôle dispose de l’ensemble d’autorisations minimal pour créer et nettoyer des instantanés (délimités par balise), et vérifier l’état actuel de la machine virtuelle. Les autorisations détaillées sont les suivantes :

    Attribut Valeur
    SID VmScannerDeleteSnapshotAccess
    Actions ec2:DeleteSnapshot
    Conditions "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    « Microsoft Defender pour le cloud »}
    Ressources arn:aws:ec2:::snapshot/
    Effet Autoriser
    Attribut Valeur
    SID VmScannerAccess
    Actions ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Conditions None
    Ressources arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Effet Autoriser
    Attribut Valeur
    SID VmScannerVerificationAccess
    Actions ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Conditions None
    Ressources *
    Effet Autoriser
    Attribut Valeur
    SID VmScannerEncryptionKeyCreation
    Actions kms:CreateKey
    Conditions None
    Ressources *
    Effet Autoriser
    Attribut Valeur
    SID VmScannerEncryptionKeyManagement
    Actions kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Conditions None
    Ressources arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Effet Autoriser
    Attribut Valeur
    SID VmScannerEncryptionKeyUsage
    Actions kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Conditions None
    Ressources arn:aws:kms::${AWS::AccountId}:key/
    Effet Allow

  • Autorisations GCP : pendant l’intégration, un nouveau rôle personnalisé est créé avec les autorisations minimales requises pour obtenir l’état des instances et créer des instantanés. Outre cela, les autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK. Ces rôles sont les suivants :

    • roles/MDCAgentlessScanningRole accordé au compte de service Defender pour le cloud avec les autorisations : compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter accordé à l’agent de service du moteur de calcul de Defender pour le cloud

Quelles sont les autorisations de stratégie SAS minimales requises lors de l’exportation de données vers Azure Event Hubs ?

Envoi correspond aux autorisations de stratégie SAS minimales requises. Pour obtenir des instructions pas à pas, consultez Étape 1 : Créer un espace de noms Event Hubs et un hub d’événements avec des autorisations d’envoi dans cet article.