Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Nuvem usa o Controle de acesso baseado em função do Azure (Controle de acesso baseado em função do Azure) para fornecer funções internas. Atribua essas funções a usuários, grupos e serviços no Azure para conceder-lhes acesso aos recursos de acordo com o acesso definido da função.
O Defender para Nuvem avalia as configurações de recursos e identifica problemas de segurança e vulnerabilidades. No Defender para Nuvem, exiba informações de recursos quando atribuídas uma dessas funções para a assinatura ou grupo de recursos: Proprietário, Colaborador ou Leitor.
Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:
- Leitor de Segurança: um usuário nessa função tem acesso somente leitura ao Defender para Nuvem. O usuário pode exibir recomendações, alertas, políticas de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de Segurança: um usuário nessa função tem o mesmo acesso que o Leitor de Segurança e também pode atualizar políticas de segurança e ignorar alertas e recomendações.
Atribua a função menos permissiva necessária para que os usuários concluam suas tarefas.
Por exemplo, atribua a função Leitor a usuários que só precisam exibir informações de integridade de segurança de um recurso sem tomar nenhuma ação. Os usuários com uma função leitor não podem aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.
| Ação |
Leitor de segurança / Leitor |
Administrador de Segurança | Colaborador / Proprietário | Colaborador | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de assinatura) | (Nível de assinatura) | |||
| Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Habilitar/desabilitar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar as recomendações de segurança a um recurso (Usar Correção) |
- | - | ✔ | ✔ | ✔ |
| Exibir alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendações de isenção de segurança | - | ✔ | - | - | ✔ |
| Configurar notificações por email | - | ✔ | ✔ | ✔ | ✔ |
Observação
Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar planos do Defender para Nuvem, a função Proprietário é necessária para habilitar todos os recursos de um plano.
A função específica necessária para implantar componentes de monitoramento depende da extensão implantada. Saiba mais sobre componentes de monitoramento.
Funções usadas para configurar automaticamente agentes e extensões
Para permitir que a função administrador de segurança configure automaticamente agentes e extensões usadas nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política semelhante ao Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:
| Entidade de Serviço | Funções |
|---|---|
| Perfil de segurança do Serviço de Kubernetes do Azure (AKS) do Defender para contêineres | Colaborador da Extensão Kubernetes Colaborador Colaborador do Serviço de Kubernetes do Azure Colaborador do Log Analytics |
| Defender para contêineres provisionando Kubernetes habilitados para Arc | Colaborador do Serviço de Kubernetes do Azure Colaborador da Extensão Kubernetes Colaborador Colaborador do Log Analytics |
| Provisionamento do Defender para contêineres do Azure Policy para Kubernetes | Colaborador da Extensão Kubernetes Colaborador Colaborador do Serviço de Kubernetes do Azure |
| Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc | Colaborador do Serviço de Kubernetes do Azure Colaborador da Extensão Kubernetes Colaborador |
Permissões no AWS
Quando você integra um conector do AWS (Amazon Web Services), o Defender para Nuvem cria funções e atribui permissões em sua conta do AWS. A tabela a seguir mostra as funções e permissões atribuídas por cada plano em sua conta do AWS.
| Planos do Defender para Nuvem | Função criada | Permissões atribuídas na conta do AWS |
|---|---|---|
| GPSN (gerenciamento da postura de segurança na nuvem) do Defender | CspmMonitorAws | Para descobrir permissões de recursos do AWS, leia todos os recursos, exceto: consolidatedbilling: freetier: faturamento: pagamentos: cobrança: imposto: cur: |
| GPSN do Defender Defender para servidores |
DefenderForCloud-AgentlessScanner | Para criar e limpar instantâneos de disco (delimitados por marca) “CreatedBy”: Permissões do "Microsoft Defender para Nuvem": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permissão para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permissões para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| GPSN do Defender Defender para Armazenamento |
SensitiveDataDiscovery | Permissões para descobrir buckets S3 na conta do AWS, permissão para o scanner do Defender para Nuvem acessar dados nos buckets S3 S3 somente leitura Descriptografar KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permissões para descoberta de CIEM sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender para servidores | DefenderForCloud-DefenderForServers | Permissões para configurar o acesso à rede JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender para contêineres | Consulte as permissões do Defender para Contêineres no AWS | |
| Defender para servidores | DefenderForCloud-ArcAutoProvisioning | Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| GPSN do Defender | DefenderForCloud-DataSecurityPostureDB | Permissão para descobrir instâncias de RDS na conta do AWS, criar um instantâneo da instância de RDS, – Listar todos os BDs/clusters do RDS – Copiar todos os instantâneos de BD/cluster – Copiar todos os instantâneos de BD/cluster – Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases – Listar todas as chaves KMS – Usar todas as chaves de KMS somente para os RDS na conta de origem – Listar chaves de KMS com o prefixo de marca DefenderForDatabases – Criar alias para chaves de KMS Permissões necessárias para descobrir, instâncias RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permissões no GCP
Quando você integra um conector do GCP (Google Cloud Platforms), o Defender para Nuvem cria funções e atribui permissões ao seu projeto GCP. A tabela a seguir mostra as funções e permissões atribuídas por cada plano em seu projeto GCP.
| Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
|---|---|---|
| GPSN do Defender | MDCCspmCustomRole | Essas permissões permitem que a função CSPM descubra e verifique recursos dentro da organização: Permite que a função exiba organizações, projetos e pastas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite o processo de provisionamento automático de novos projetos e a remoção de projetos excluídos: resourcemanager.projects.get resourcemanager.projects.list Permite que a função habilite os serviços do Google Cloud usados para a descoberta de recursos: serviceusage.services.enable Usado para criar e listar funções do IAM: iam.roles.create iam.roles.list Permite que a função atue como uma conta de serviço e obtenha permissão para recursos: iam.serviceAccounts.actAs Permite que a função visualize detalhes do projeto e defina metadados de instância comuns: compute.projects.get compute.projects.setCommonInstanceMetadata Usado para descobrir e verificar os recursos da plataforma de IA dentro da organização: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender para servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acesso somente leitura para obter e listar o os recursos do Mecanismo de Computação: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender para Banco de Dados | defender-for-databases-arc-ap | Permissões para provisionamento automático ARC do Defender para bancos de dados compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSN do Defender | microsoft-defender-ciem | Permissões para obter detalhes sobre o recurso da organização. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| GPSN do Defender Defender para servidores |
MDCAgentlessScanningRole | Permissões para verificação de disco sem agente: compute.disks.createSnapshot compute.instances.get |
| GPSN do Defender Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | As permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK |
| Defender para contêineres | Consulte Permissões do Defender para contêineres no GCP |
Próximas etapas
Este artigo explicou como o Defender para Nuvem usa o Controle de Acesso Baseado em Função do Azure para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como:
- Definir políticas de segurança no Defender para Nuvem
- Gerencie recomendações de segurança no Defender para Nuvem
- Gerenciar e responder a alertas de segurança no Defender para Nuvem
- Monitoring partner solutions with Azure Security Center (Monitorando soluções de parceiros com a Central de Segurança do Azure)