Kullanıcı rolleri ve izinleri
Bulut için Microsoft Defender kullanımları Yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure RBAC). Kullanıcılara rolde tanımlanan erişime göre kaynaklara erişim vermek için bu rolleri Azure'daki kullanıcılara, gruplara ve hizmetlere atayabilirsiniz.
Bulut için Defender, güvenlik sorunlarını ve güvenlik açıklarını belirlemek için kaynaklarınızın yapılandırmasını değerlendirir. Bulut için Defender'da, bir kaynakla ilgili bilgileri yalnızca abonelik veya kaynağın içinde yer alan kaynak grubu için bu rollerden birine atandığınızda görürsünüz: Sahip, Katkıda Bulunan veya Okuyucu.
Yerleşik rollere ek olarak, Bulut için Defender özgü iki rol vardır:
- Güvenlik Okuyucusu: Bu role ait bir kullanıcının Bulut için Defender salt okunur erişimi vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
- Güvenlik Yönetici: Bu role ait bir kullanıcı, Güvenlik Okuyucusu ile aynı erişime sahiptir ve güvenlik ilkesini güncelleştirebilir, uyarıları ve önerileri kapatabilir.
Kullanıcılara, görevlerini tamamlamak için gereken rolleri en alt seviyede esneklik sunacak şekilde atamanızı öneririz. Örneğin, Okuyucu rolünü yalnızca bir kaynağın güvenlik durumuyla ilgili bilgileri görüntülemesi gereken ancak öneriler uygulama veya ilkeleri düzenleme gibi işlem yapmayan kullanıcılara atayın.
Roller ve izin verilen eylemler
Aşağıdaki tabloda Bulut için Defender rol ve izin verilen eylemler gösterilir.
Eylem | Güvenlik Okuyucusu / Okuyucu |
Güvenlik Yöneticisi | Katkıda Bulunan / Sahibi | Katkıda Bulunan | Sahip |
---|---|---|---|---|---|
(Kaynak grubu düzeyi) | (Abonelik düzeyi) | (Abonelik düzeyi) | |||
Girişim ekleme/atama (mevzuat uyumluluğu standartları dahil) | - | ✔ | - | - | ✔ |
Güvenlik ilkesini düzenleme | - | ✔ | - | - | ✔ |
Microsoft Defender planlarını etkinleştirme/devre dışı bırakma | - | ✔ | - | ✔ | ✔ |
Uyarıları kapatma | - | ✔ | - | ✔ | ✔ |
Bir kaynak için güvenlik önerileri uygulama (ve Düzelt'i kullanma) |
- | - | ✔ | ✔ | ✔ |
Uyarıları ve önerileri görüntüleme | ✔ | ✔ | ✔ | ✔ | ✔ |
Muaf güvenlik önerileri | - | ✔ | - | - | ✔ |
İzleme bileşenlerini dağıtmak için gereken belirli rol, dağıttığınız uzantıya bağlıdır. İzleme bileşenleri hakkında daha fazla bilgi edinin.
Aracıları ve uzantıları otomatik olarak sağlamak için kullanılan roller
Güvenlik Yönetici rolünün Bulut için Defender planlarında kullanılan aracıları ve uzantıları otomatik olarak sağlamasına izin vermek için, Bulut için Defender ilke düzeltmeyi Azure İlkesi benzer bir şekilde kullanır. Düzeltmeyi kullanmak için Bulut için Defender abonelik düzeyinde rol atayan yönetilen kimlikler olarak da adlandırılan hizmet sorumluları oluşturması gerekir. Örneğin, Kapsayıcılar için Defender planının hizmet sorumluları şunlardır:
Hizmet Sorumlusu | Roller |
---|---|
Kapsayıcılar için Defender AKS Güvenlik Profili sağlama | • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı • Azure Kubernetes Service Katkıda Bulunanı • Log Analytics Katkıda Bulunanı |
Kapsayıcılar için Defender arc özellikli Kubernetes sağlama | • Azure Kubernetes Service Katkıda Bulunanı • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı • Log Analytics Katkıda Bulunanı |
Kubernetes için Kapsayıcılar için Defender sağlama Azure İlkesi | • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı • Azure Kubernetes Service Katkıda Bulunanı |
Arc özellikli Kubernetes için Kapsayıcılar için Defender sağlama İlkesi uzantısı | • Azure Kubernetes Service Katkıda Bulunanı • Kubernetes Uzantısı Katkıda Bulunanı •Katılımcı |
Sonraki adımlar
Bu makalede, Bulut için Defender'ın kullanıcılara izin atamak için Azure RBAC'yi nasıl kullandığı açıklanmış ve her rol için izin verilen eylemler tanımlanmıştır. Artık aboneliğinizin güvenlik durumunu izlemek, güvenlik ilkelerini düzenlemek ve öneriler uygulamak için gereken rol atamalarını öğrendiğinize göre şunları nasıl yapacağınızı öğrenin: