Editar

Perguntas comuns sobre permissões no Defender para Nuvem

  • Perguntas frequentes

Como as permissões funcionam no Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem usa o RBAC do Azure (controle de acesso baseado em função do Azure), que fornece funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure.

O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para Nuvem, você só vê as informações relacionadas a um recurso quando lhe for atribuída uma função de Proprietário, Colaborador ou Leitor da assinatura ou do grupo de recursos ao qual o recurso pertence.

Confira Permissões no Microsoft Defender para Nuvem para saber mais sobre funções e ações permitidas no Defender para Nuvem.

Quem pode modificar uma política de segurança?

Para modificar uma política de segurança, você deve ser um administrador de segurança ou o proprietário ou colaborador dessa assinatura.

Para saber como configurar uma política de segurança, confira Como configurar políticas de segurança no Microsoft Defender para Nuvem.

Quais permissões são usadas pela verificação sem agente?

As funções e permissões usadas pelo Defender para Nuvem para executar a verificação sem agente nos seus ambientes do Azure, da AWS e do GCP estão listadas aqui. No Azure, essas permissões são adicionadas automaticamente às suas assinaturas quando você habilita a verificação sem agente. Na AWS, essas permissões são adicionadas à pilha do CloudFormation no seu conector da AWS. No GCP, as permissões são adicionadas ao script de integração no seu conector do GCP.

  • Permissões do Azure: a função integrada "Operador de verificação da VM" tem permissões somente de leitura para discos de VM necessários para o processo de instantâneo. A lista detalhada de permissões é:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Quando a cobertura para discos criptografados do CMK está habilitada, estas permissões adicionais são usadas:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • Permissões AWS – a função "VmScanner" é atribuída ao scanner quando você habilita a verificação sem agente. Essa função tem o conjunto mínimo de permissões para criar e limpar instantâneos (limitados por marca) e verificar o estado atual da VM. As permissões detalhadas são:

    Atributo Valor
    SID VmScannerDeleteSnapshotAccess
    Ações ec2:DeleteSnapshot
    Condições "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "Microsoft Defender para Nuvem"}
    Recursos arn:aws:ec2:::snapshot/
    Efeito Allow
    Atributo Valor
    SID VmScannerAccess
    Ações ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Condições Nenhum
    Recursos arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Efeito Allow
    Atributo Valor
    SID VmScannerVerificationAccess
    Ações ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Condições Nenhum
    Recursos *
    Efeito Allow
    Atributo Valor
    SID VmScannerEncryptionKeyCreation
    Ações kms:CreateKey
    Condições Nenhum
    Recursos *
    Efeito Allow
    Atributo Valor
    SID VmScannerEncryptionKeyManagement
    Ações kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Condições Nenhum
    Recursos arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Efeito Allow
    Atributo Valor
    SID VmScannerEncryptionKeyUsage
    Ações kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Condições Nenhum
    Recursos arn:aws:kms::${AWS::AccountId}:key/
    Efeito Allow

  • Permissões do GCP: durante a integração — uma nova função personalizada é criada com as permissões mínimas necessárias para obter o status de instâncias e criar instantâneos. Além disso, as permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK. As funções são:

    • roles/MDCAgentlessScanningRole concedido à conta de serviço do Defender para Nuvem com as permissões: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter concedido ao agente de serviço do mecanismo de computação do Defender para Nuvem

Quais são as permissões mínimas de política SAS necessárias ao exportar dados para os Hubs de Eventos do Azure?

Enviar é a permissão mínima de política SAS necessária. Para obter instruções passo a passo, confira a Etapa 1: Criar um namespace e um hub de eventos dos Hubs de Eventos com permissões de envioneste artigo.