Usare ruoli e autorizzazioni
Microsoft Defender per il cloud usa Controllo degli accessi in base al ruolo di Azure per fornire ruoli predefiniti. È possibile assegnare questi ruoli a utenti, gruppi e servizi in Azure per concedere agli utenti l'accesso alle risorse in base all'accesso definito nel ruolo.
Defender per il cloud valuta la configurazione delle risorse per identificare i problemi di sicurezza e le vulnerabilità. In Defender per il cloud vengono visualizzate solo le informazioni correlate a una risorsa quando viene assegnato uno di questi ruoli per la sottoscrizione o per il gruppo di risorse in cui si trova la risorsa: Proprietario, Collaboratore o Lettore.
Oltre ai ruoli predefiniti, esistono due ruoli specifici per Defender per il cloud:
- Ruolo con autorizzazioni di lettura per la sicurezza: un utente appartenente a questo ruolo ha accesso in sola lettura a Defender per il cloud. L'utente può visualizzare raccomandazioni, avvisi, criteri di sicurezza e stati di sicurezza, ma non può apportare modifiche.
- Amministrazione di sicurezza: un utente che appartiene a questo ruolo ha lo stesso accesso del lettore di sicurezza e può anche aggiornare i criteri di sicurezza e ignorare avvisi e raccomandazioni.
È consigliabile assegnare il ruolo con il minor numero di autorizzazioni che permetta agli utenti di completare le attività. Assegnare ad esempio il ruolo di lettore agli utenti che devono visualizzare solo le informazioni sull'integrità della sicurezza di una risorsa, ma non eseguono alcuna azione, come l'applicazione di consigli e la modifica di criteri.
Ruoli e azioni consentite
Nella tabella seguente vengono visualizzati i ruoli e le azioni consentite in Defender per il cloud.
| Azione | Ruolo con autorizzazioni di lettura per la sicurezza / Lettore |
Amministrazione della protezione | Proprietario collaboratore / | Collaboratore | Proprietario |
|---|---|---|---|---|---|
| (Livello gruppo di risorse) | (Livello sottoscrizione) | (Livello sottoscrizione) | |||
| Aggiungere/assegnare iniziative, inclusi gli standard di conformità alle normative | - | ✔ | - | - | ✔ |
| Modificare i criteri di sicurezza | - | ✔ | - | - | ✔ |
| Abilitare/disabilitare i piani di Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorare gli avvisi | - | ✔ | - | ✔ | ✔ |
| Applicare raccomandazioni di sicurezza per una risorsa (e usare Correzione) | - | - | ✔ | ✔ | ✔ |
| Visualizzare gli avvisi e le raccomandazioni | ✔ | ✔ | ✔ | ✔ | ✔ |
| Esentare le raccomandazioni sulla sicurezza | - | ✔ | - | - | ✔ |
Il ruolo specifico necessario per distribuire i componenti di monitoraggio dipende dall'estensione che si sta distribuendo. Altre informazioni sui componenti di monitoraggio.
Ruoli usati per effettuare automaticamente il provisioning di agenti ed estensioni
Per consentire al ruolo Security Amministrazione di effettuare automaticamente il provisioning di agenti ed estensioni usati nei piani di Defender per il cloud, Defender per il cloud usa la correzione dei criteri in modo analogo a Criteri di Azure. Per usare la correzione, Defender per il cloud deve creare entità servizio, dette anche identità gestite che assegnano ruoli a livello di sottoscrizione. Ad esempio, le entità servizio per il piano Defender per contenitori sono:
| Entità servizio | ruoli |
|---|---|
| Profilo di sicurezza del servizio Azure Kubernetes di provisioning di Defender per contenitori | • Collaboratore estensione Kubernetes •Collaboratore • Collaboratore servizio Azure Kubernetes • Collaboratore log analytics |
| Provisioning di Kubernetes con abilitazione di Defender per contenitori | • Collaboratore servizio Azure Kubernetes • Collaboratore estensione Kubernetes •Collaboratore • Collaboratore log analytics |
| Provisioning di Defender per contenitori Criteri di Azure per Kubernetes | • Collaboratore estensione Kubernetes •Collaboratore • Collaboratore servizio Azure Kubernetes |
| Estensione dei criteri di provisioning di Defender per contenitori per Kubernetes abilitato per Arc | • Collaboratore servizio Azure Kubernetes • Collaboratore estensione Kubernetes •Collaboratore |
Passaggi successivi
Questo articolo ha illustrato come Defender per il cloud usa il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni agli utenti e ha identificato le azioni consentite per ogni ruolo. Ora che è stata acquisita familiarità con le assegnazioni di ruolo necessari per monitorare lo stato di sicurezza della sottoscrizione, modificare i criteri di sicurezza e applicare i consigli, si apprenderà come eseguire queste operazioni: