Modifica

Domande comuni sulle autorizzazioni in Defender per il cloud

  • Domande frequenti

Come funzionano le autorizzazioni in Microsoft Defender per il cloud?

Microsoft Defender per il cloud usa Controllo degli accessi in base al ruolo di Azure, che fornisce ruoli predefiniti che possono essere assegnati a utenti, gruppi e servizi in Azure.

Defender per il cloud valuta la configurazione delle risorse per identificare i problemi di sicurezza e le vulnerabilità. In Defender per il cloud vengono visualizzate solo le informazioni correlate a una risorsa quando viene assegnato il ruolo proprietario, collaboratore o lettore per la sottoscrizione o il gruppo di risorse a cui appartiene una risorsa.

Per altre informazioni sui ruoli e sulle azioni consentite in Defender per il cloud, vedere Autorizzazioni in Microsoft Defender per il cloud.

Chi può modificare i criteri di sicurezza?

Per modificare un criterio di sicurezza, è necessario essere un Amministrazione di sicurezza o un proprietario o un collaboratore di tale sottoscrizione.

Per informazioni su come configurare un criterio di sicurezza, vedere Impostazione dei criteri di sicurezza in Microsoft Defender per il cloud.

Quali autorizzazioni vengono usate dall'analisi senza agente?

I ruoli e le autorizzazioni usati da Defender per il cloud per eseguire l'analisi senza agente negli ambienti Azure, AWS e GCP sono elencati qui. In Azure queste autorizzazioni vengono aggiunte automaticamente alle sottoscrizioni quando si abilita l'analisi senza agente. In AWS queste autorizzazioni vengono aggiunte allo stack CloudFormation nel connettore AWS e in GCP le autorizzazioni vengono aggiunte allo script di onboarding nel connettore GCP.

  • Autorizzazioni di Azure: il ruolo predefinito "Operatore dello scanner di macchine virtuali" dispone di autorizzazioni di sola lettura per i dischi delle macchine virtuali necessari per il processo di snapshot. L'elenco dettagliato delle autorizzazioni è:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Quando la copertura per i dischi crittografati cmk è abilitata, vengono usate queste autorizzazioni aggiuntive:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • Autorizzazioni AWS: il ruolo "VmScanner" viene assegnato allo scanner quando si abilita l'analisi senza agente. Questo ruolo dispone dell'autorizzazione minima impostata per creare e pulire gli snapshot (con ambito per tag) e per verificare lo stato corrente della macchina virtuale. Le autorizzazioni dettagliate sono:

    Attributo valore
    SID VmScannerDeleteSnapshotAccess
    Azioni ec2:DeleteSnapshot
    Condizioni "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Microsoft Defender per il cloud"}
    Risorse arn:aws:ec2:::snapshot/
    Effetto Consenti
    Attributo valore
    SID VmScannerAccess
    Azioni ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Condizioni None
    Risorse arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Effetto Consenti
    Attributo valore
    SID VmScannerVerificationAccess
    Azioni ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Condizioni None
    Risorse *
    Effetto Consenti
    Attributo valore
    SID VmScannerEncryptionKeyCreation
    Azioni kms:CreateKey
    Condizioni None
    Risorse *
    Effetto Consenti
    Attributo valore
    SID VmScannerEncryptionKeyManagement
    Azioni kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Condizioni None
    Risorse arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Effetto Consenti
    Attributo valore
    SID VmScannerEncryptionKeyUsage
    Azioni kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Condizioni None
    Risorse arn:aws:kms::${AWS::AccountId}:key/
    Effetto Consenti

  • Autorizzazioni GCP: durante l'onboarding, viene creato un nuovo ruolo personalizzato con autorizzazioni minime necessarie per ottenere lo stato delle istanze e creare snapshot. Oltre a queste autorizzazioni per un ruolo GCP Servizio di gestione delle chiavi esistente, viene concesso per supportare l'analisi dei dischi crittografati con CMEK. I ruoli sono:

    • roles/MDCAgentlessScanningRole concesso all'account del servizio di Defender per il cloud con autorizzazioni: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter concesso all'agente del servizio del motore di calcolo di Defender per il cloud

Quali sono le autorizzazioni minime dei criteri di firma di accesso condiviso necessarie per l'esportazione dei dati in Hub eventi di Azure?

Send è l'autorizzazione minima per i criteri di firma di accesso condiviso necessaria. Per istruzioni dettagliate, vedere Passaggio 1: Creare uno spazio dei nomi di Hub eventi e un hub eventi con autorizzazioni di invio in questo articolo.