Felhasználói szerepkörök és engedélyek
Felhőhöz készült Microsoft Defender használ Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) a beépített szerepkörök biztosításához. Ezeket a szerepköröket hozzárendelheti az Azure felhasználóihoz, csoportjaihoz és szolgáltatásaihoz, hogy a szerepkörben meghatározott hozzáférésnek megfelelően hozzáférést biztosítson a felhasználóknak az erőforrásokhoz.
Felhőhöz készült Defender értékeli az erőforrások konfigurációját a biztonsági problémák és a biztonsági rések azonosítása érdekében. A Felhőhöz készült Defender csak akkor jelenik meg egy erőforrással kapcsolatos információ, ha az előfizetéshez vagy az erőforráscsoporthoz tartozó egyik szerepkörhöz van hozzárendelve: Tulajdonos, Közreműködő vagy Olvasó.
A beépített szerepkörök mellett a Felhőhöz készült Defender két szerepkör is van:
- Biztonsági olvasó: A szerepkörhöz tartozó felhasználó írásvédett hozzáféréssel rendelkezik a Felhőhöz készült Defender. A felhasználó megtekintheti a javaslatokat, riasztásokat, biztonsági szabályzatokat és biztonsági állapotokat, de nem végezhet módosításokat.
- Biztonsági Rendszergazda: A szerepkörhöz tartozó felhasználók ugyanazzal a hozzáféréssel rendelkezik, mint a Biztonsági olvasó, és frissíthetik a biztonsági szabályzatot, és elutasíthatják a riasztásokat és javaslatokat.
Javasoljuk, hogy a felhasználókhoz azt a lehető legalacsonyabb szintű szerepkört rendelje, amellyel még el tudják végezni feladataikat. Rendelje hozzá például az Olvasó szerepkört azokhoz a felhasználókhoz, akiknek csak az erőforrás biztonsági állapotával kapcsolatos információkat kell megtekinteniük, de nem kell műveleteket végrehajtaniuk, például javaslatokat kell alkalmazniuk vagy szabályzatokat kell szerkeszteniük.
Szerepkörök és engedélyezett műveletek
Az alábbi táblázat a szerepköröket és az engedélyezett műveleteket jeleníti meg Felhőhöz készült Defender.
Művelet | Biztonsági olvasó / Olvasó |
Biztonsági rendszergazda | Közreműködő / tulajdonosa | Közreműködő | Tulajdonos |
---|---|---|---|---|---|
(Erőforráscsoport szintje) | (Előfizetési szint) | (Előfizetési szint) | |||
Kezdeményezések hozzáadása/hozzárendelése (beleértve) a szabályozási megfelelőségi szabványokat) | - | ✔ | - | - | ✔ |
Biztonsági szabályzat szerkesztése | - | ✔ | - | - | ✔ |
Microsoft Defender-csomagok engedélyezése/letiltása | - | ✔ | - | ✔ | ✔ |
Riasztások elvetése | - | ✔ | - | ✔ | ✔ |
Biztonsági javaslatok alkalmazása egy erőforráshoz (és a Javítás használata) |
- | - | ✔ | ✔ | ✔ |
Riasztások és javaslatok megtekintése | ✔ | ✔ | ✔ | ✔ | ✔ |
Kivételt képező biztonsági javaslatok | - | ✔ | - | - | ✔ |
A monitorozási összetevők üzembe helyezéséhez szükséges szerepkör az üzembe helyezendő bővítménytől függ. További információ az összetevők monitorozásáról.
Ügynökök és bővítmények automatikus kiépítéséhez használt szerepkörök
Annak érdekében, hogy a Biztonsági Rendszergazda szerepkör automatikusan kiépíthesse Felhőhöz készült Defender csomagokban használt ügynököket és bővítményeket, Felhőhöz készült Defender az Azure Policyhoz hasonlóan a szabályzatok szervizelését használja. A szervizelés használatához Felhőhöz készült Defender létre kell hoznia szolgáltatásneveket, más néven felügyelt identitásokat, amelyek szerepköröket rendelnek hozzá az előfizetés szintjén. A Defender for Containers csomag szolgáltatásnevei például a következők:
Szolgáltatásnév | Szerepkörök |
---|---|
Defender for Containers– AKS biztonsági profil kiépítése | • Kubernetes-bővítmény közreműködője •Közreműködő • Azure Kubernetes Service-közreműködő • Log Analytics-közreműködő |
Defender for Containers– Arc-kompatibilis Kubernetes kiépítése | • Azure Kubernetes Service-közreműködő • Kubernetes-bővítmény közreműködője •Közreműködő • Log Analytics-közreműködő |
Defender for Containers– Azure Policy kiépítése a Kuberneteshez | • Kubernetes-bővítmény közreműködője •Közreműködő • Azure Kubernetes Service-közreműködő |
A Defender for Containers kiépítési szabályzatbővítménye az Arc-kompatibilis Kuberneteshez | • Azure Kubernetes Service-közreműködő • Kubernetes-bővítmény közreműködője •Közreműködő |
Következő lépések
Ez a cikk azt ismertette, hogy Felhőhöz készült Defender hogyan használja az Azure RBAC-t a felhasználókhoz való engedélyek hozzárendeléséhez, és hogyan azonosította az egyes szerepkörök engedélyezett műveleteit. Most, hogy megismerte az előfizetés biztonsági állapotának figyeléséhez, a biztonsági szabályzatok szerkesztéséhez és a javaslatok alkalmazásához szükséges szerepkör-hozzárendeléseket, megtudhatja, hogyan: