Definir funções e permissões
O Microsoft Defender for Cloud usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso a recursos de acordo com o acesso definido na função.
O Defender for Cloud avalia a configuração dos seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender for Cloud, você só vê informações relacionadas a um recurso quando recebe uma dessas funções para a assinatura ou para o grupo de recursos em que o recurso está: Proprietário, Colaborador ou Leitor.
Além das funções internas, há duas funções específicas do Defender for Cloud:
- Leitor de segurança: um usuário que pertence a essa função tem acesso somente leitura ao Defender for Cloud. O usuário pode exibir recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de segurança: um usuário que pertence a essa função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar a política de segurança e descartar alertas e recomendações.
Recomendamos que atribua a função menos permissiva necessária para que os utilizadores concluam as respetivas tarefas. Por exemplo, atribua a função Leitor a usuários que só precisam exibir informações sobre a integridade da segurança de um recurso, mas não tomar medidas, como aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela a seguir exibe funções e ações permitidas no Defender for Cloud.
Ação | Leitor de Segurança / Leitor |
Administrador de Segurança | Proprietário do / Colaborador | Contribuinte | Proprietário |
---|---|---|---|---|---|
(Nível do grupo de recursos) | (Nível de subscrição) | (Nível de subscrição) | |||
Adicionar/atribuir iniciativas (incluindo) normas de conformidade regulamentar) | - | ✔ | - | - | ✔ |
Editar política de segurança | - | ✔ | - | - | ✔ |
Ativar/desativar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
Ignorar alertas | - | ✔ | - | ✔ | ✔ |
Aplicar recomendações de segurança para um recurso (e usar Correção) |
- | - | ✔ | ✔ | ✔ |
Ver alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
Recomendações de segurança isentas | - | ✔ | - | - | ✔ |
A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre o monitoramento de componentes.
Funções usadas para provisionar automaticamente agentes e extensões
Para permitir que a função de Administrador de Segurança provisione automaticamente agentes e extensões usados nos planos do Defender for Cloud, o Defender for Cloud usa a correção de políticas de maneira semelhante à Política do Azure. Para usar a correção, o Defender for Cloud precisa criar entidades de serviço, também chamadas de identidades gerenciadas que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano Defender for Containers são:
Principal de Serviço | Funções |
---|---|
Defender for Containers provisionamento AKS Security Profile | • Colaborador de Extensão Kubernetes • Colaborador • Colaborador do Serviço Kubernetes do Azure • Colaborador do Log Analytics |
Kubernetes habilitado para Arc do Defender for Containers | • Colaborador do Serviço Kubernetes do Azure • Colaborador de Extensão Kubernetes • Colaborador • Colaborador do Log Analytics |
Defender for Containers provisionando a Política do Azure para Kubernetes | • Colaborador de Extensão Kubernetes • Colaborador • Colaborador do Serviço Kubernetes do Azure |
Extensão da política de provisionamento do Defender for Containers para Kubernetes habilitado para Arc | • Colaborador do Serviço Kubernetes do Azure • Colaborador de Extensão Kubernetes • Colaborador |
Próximos passos
Este artigo explicou como o Defender for Cloud usa o RBAC do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança da sua assinatura, editar políticas de segurança e aplicar recomendações, saiba como: