Editar

Perguntas comuns sobre permissões no Defender for Cloud

  • FAQ

Como funcionam as permissões no Microsoft Defender for Cloud?

O Microsoft Defender for Cloud usa o controle de acesso baseado em função do Azure (Azure RBAC), que fornece funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure.

O Defender for Cloud avalia a configuração dos seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender for Cloud, você só vê informações relacionadas a um recurso quando lhe é atribuída a função de Proprietário, Colaborador ou Leitor para a assinatura ou grupo de recursos ao qual um recurso pertence.

Consulte Permissões no Microsoft Defender for Cloud para saber mais sobre funções e ações permitidas no Defender for Cloud.

Quem pode modificar uma política de segurança?

Para modificar uma política de segurança, tem de ser um Administrador de Segurança ou um Proprietário ou Colaborador dessa subscrição.

Para saber como configurar uma política de segurança, consulte Definindo políticas de segurança no Microsoft Defender for Cloud.

Quais permissões são usadas pela verificação sem agente?

As funções e permissões usadas pelo Defender for Cloud para executar a verificação sem agente em seus ambientes Azure, AWS e GCP estão listadas aqui. No Azure, essas permissões são adicionadas automaticamente às suas assinaturas quando você habilita a verificação sem agente. Na AWS, essas permissões são adicionadas à pilha do CloudFormation no conector da AWS e, no GCP, as permissões são adicionadas ao script de integração no conector GCP.

  • Permissões do Azure - A função interna "operador de scanner de VM" tem permissões somente leitura para discos de VM que são necessários para o processo de instantâneo. A lista detalhada de permissões é:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    Quando a cobertura para discos criptografados CMK está habilitada, estas permissões adicionais são usadas:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • Permissões da AWS - A função "VmScanner" é atribuída ao mecanismo de varredura quando você habilita a verificação sem agente. Essa função tem a permissão mínima definida para criar e limpar instantâneos (com escopo por tag) e verificar o estado atual da VM. As permissões detalhadas são:

    Atributo Value
    SID VmScannerDeleteSnapshotAccess
    Ações ec2:DeleteSnapshot
    Condições "StringEquals":{"ec2:ResourceTag/CreatedBy":
    "Microsoft Defender para Cloud"}
    Recursos arn:aws:ec2:::snapshot/
    Efeito Permitir
    Atributo Value
    SID VmScannerAccess
    Ações ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CriarTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    Condições Nenhuma
    Recursos arn:aws:ec2:::instância/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    Efeito Permitir
    Atributo Value
    SID VmScannerVerificationAccess
    Ações ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    Condições Nenhuma
    Recursos *
    Efeito Permitir
    Atributo Value
    SID VmScannerEncryptionKeyCreation
    Ações kms:CreateKey
    Condições Nenhuma
    Recursos *
    Efeito Permitir
    Atributo Value
    SID VmScannerEncryptionKeyManagement
    Ações kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    Condições Nenhuma
    Recursos arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    Efeito Permitir
    Atributo Value
    SID VmScannerEncryptionKeyUsage
    Ações kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    Condições Nenhuma
    Recursos arn:aws:kms::${AWS::AccountId}:key/
    Efeito Permitir

  • Permissões GCP: durante a integração - uma nova função personalizada é criada com permissões mínimas necessárias para obter o status das instâncias e criar instantâneos. Além disso, as permissões para uma função KMS existente do GCP são concedidas para dar suporte à verificação de discos criptografados com CMEK. As funções são:

    • roles/MDCAgentlessScanningRole concedido à conta de serviço do Defender for Cloud com permissões: compute.disks.createSnapshot, compute.instances.get
    • roles/cloudkms.cryptoKeyEncrypterDecrypter concedido ao agente de serviço do mecanismo de computação do Defender for Cloud

Quais são as permissões mínimas de política SAS necessárias ao exportar dados para os Hubs de Eventos do Azure?

Send é o mínimo de permissões de política SAS necessárias. Para obter instruções passo a passo, consulte Etapa 1: Criar um namespace de Hubs de Eventos e um hub de eventos com permissões de envio neste artigo.