Kullanıcı rolleri ve izinleri
Bulut için Microsoft Defender kullanımları Yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure Rol Tabanlı Erişim Denetimi). Kullanıcılara rolde tanımlanan erişime göre kaynaklara erişim vermek için bu rolleri Azure'daki kullanıcılara, gruplara ve hizmetlere atayabilirsiniz.
Bulut için Defender kaynaklarınızın yapılandırmasını değerlendirir ve güvenlik sorunlarını ve güvenlik açıklarını tanımlar. Bulut için Defender abonelik veya kaynağın ait olduğu kaynak grubu için bu rollerden birine atandığınızda kaynakla ilgili bilgileri görüntüleyebilirsiniz: Sahip, Katkıda Bulunan veya Okuyucu.
Yerleşik rollere ek olarak, Bulut için Defender özgü iki rol vardır:
- Güvenlik Okuyucusu: Bu role ait bir kullanıcının Bulut için Defender salt okunur erişimi vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
- Güvenlik Yöneticisi: Bu role ait bir kullanıcı, Güvenlik Okuyucusu ile aynı erişime sahiptir ve güvenlik ilkesini güncelleştirebilir, uyarıları ve önerileri kapatabilir.
Kullanıcıların görevlerini tamamlaması için gereken en az izinli rolü atamanızı öneririz.
Örneğin, okuyucu rolünü herhangi bir işlem yapmadan yalnızca bir kaynağın güvenlik durumu bilgilerini görüntülemesi gereken kullanıcılara atayabilirsiniz. Okuyucu rolüne sahip kullanıcılar öneriler veya düzenleme ilkeleri uygulayabilir.
Roller ve izin verilen eylemler
Aşağıdaki tabloda Bulut için Defender rol ve izin verilen eylemler gösterilir.
| Eylem | Güvenlik Okuyucusu / Okuyucu |
Güvenlik Yöneticisi | Katkıda Bulunan / Sahibi | Katkıda Bulunan | Sahip |
|---|---|---|---|---|---|
| (Kaynak grubu düzeyi) | (Abonelik düzeyi) | (Abonelik düzeyi) | |||
| Girişim ekleme/atama (mevzuat uyumluluğu standartları dahil) | - | ✔ | - | - | ✔ |
| Güvenlik ilkesini düzenleme | - | ✔ | - | - | ✔ |
| Microsoft Defender planlarını etkinleştirme/devre dışı bırakma | - | ✔ | - | ✔ | ✔ |
| Uyarıları kapatma | - | ✔ | - | ✔ | ✔ |
| Bir kaynak için güvenlik önerileri uygulama (Düzeltmeyi Kullan) |
- | - | ✔ | ✔ | ✔ |
| Uyarıları ve önerileri görüntüleme | ✔ | ✔ | ✔ | ✔ | ✔ |
| Muaf güvenlik önerileri | - | ✔ | - | - | ✔ |
| E-posta bildirimlerini yapılandırma | - | ✔ | ✔ | ✔ | ✔ |
Not
Belirtilen üç rol Defender planlarını etkinleştirmek ve devre dışı bırakmak için yeterli olsa da, bir planın tüm özelliklerini etkinleştirmek için Sahip rolü gereklidir.
İzleme bileşenlerini dağıtmak için gereken belirli rol, dağıttığınız uzantıya bağlıdır. İzleme bileşenleri hakkında daha fazla bilgi edinin.
Aracıları ve uzantıları otomatik olarak sağlamak için kullanılan roller
Güvenlik Yöneticisi rolünün Bulut için Defender planlarında kullanılan aracıları ve uzantıları otomatik olarak sağlamasına izin vermek için, Bulut için Defender ilke düzeltmesini Azure İlkesi benzer şekilde kullanır. Düzeltmeyi kullanmak için Bulut için Defender abonelik düzeyinde rol atayan yönetilen kimlikler olarak da adlandırılan hizmet sorumluları oluşturması gerekir. Örneğin, Kapsayıcılar için Defender planının hizmet sorumluları şunlardır:
| Hizmet Sorumlusu | Roller |
|---|---|
| Kapsayıcılar için Defender, Azure Kubernetes Service (AKS) Güvenlik Profili sağlama | * Kubernetes Uzantısı Katkıda Bulunanı *Katılımcı * Azure Kubernetes Service Katkıda Bulunanı * Log Analytics Katkıda Bulunanı |
| Kapsayıcılar için Defender arc özellikli Kubernetes sağlama | * Azure Kubernetes Service Katkıda Bulunanı * Kubernetes Uzantısı Katkıda Bulunanı *Katılımcı * Log Analytics Katkıda Bulunanı |
| Kubernetes için Kapsayıcılar için Defender sağlama Azure İlkesi | * Kubernetes Uzantısı Katkıda Bulunanı *Katılımcı * Azure Kubernetes Service Katkıda Bulunanı |
| Arc özellikli Kubernetes için Kapsayıcılar için Defender sağlama İlkesi uzantısı | * Azure Kubernetes Service Katkıda Bulunanı * Kubernetes Uzantısı Katkıda Bulunanı *Katılımcı |
AWS'de izinler
Bir Amazon Web Services (AWS) bağlayıcısı eklediğinizde Bulut için Defender AWS hesabınızda roller oluşturur ve izinler atar. Aşağıdaki tabloda AWS hesabınızdaki her plan tarafından atanan roller ve izinler gösterilmektedir.
| Bulut için Defender planı | Rol oluşturuldu | AWS hesabında atanan izin |
|---|---|---|
| Defender Bulut Güvenliği Duruş Yönetimi (CSPM) | CspmMonitorAws | AWS kaynakları izinlerini keşfetmek için aşağıdakiler dışındaki tüm kaynakları okuyun: birleştirilmiş birleştirme:* freetier:* Faturalama:* Ödeme:* Fatura:* vergi:* it:* |
| Defender CSPM Sunucular için Defender |
DefenderForCloud-AgentlessScanner | Disk anlık görüntülerini oluşturmak ve temizlemek için (kapsamı etikete göre belirlenmiştir) "CreatedBy": "Bulut için Microsoft Defender" İzinleri: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey izni kms:ListKeys EncryptionKeyManagement kms:TagResource izinleri kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Depolama için Defender |
SensitiveDataDiscovery | AWS hesabında S3 demetlerini bulma izinleri, Bulut için Defender tarayıcının S3 demetlerindeki verilere erişme izni S3 salt okunur KMS şifresi çözme kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Bulma İzinleri sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Sunucular için Defender | DefenderForCloud-DefenderForServers | JIT Ağ Erişimini yapılandırma izinleri: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Kapsayıcılar için Defender | DefenderForCloud-Containers-K8s | EKS kümelerini listeleme ve EKS kümelerinden Veri Toplama İzinleri eks:UpdateClusterConfig eks:DescribeCluster |
| Kapsayıcılar için Defender | DefenderForCloud-DataCollection | Bulut için Defender tarafından oluşturulan CloudWatch Günlük Grubu izinleri logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Bulut için Defender tarafından oluşturulan SQS kuyruğunu kullanma izinleri sqs:ReceiveMessage sqs:DeleteMessage |
| Kapsayıcılar için Defender | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Bulut için Defender tarafından oluşturulan Kinesis Data Firehose teslim akışına erişim izinleri firehose:* |
| Kapsayıcılar için Defender | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Bulut için Defender tarafından oluşturulan S3 demetine erişim izinleri s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Kapsayıcılar için Defender Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | EKS kümelerinden Veri Toplama İzinleri. EKS kümelerini IP kısıtlamasını destekleyecek şekilde güncelleştirme ve EKS kümeleri için iamidentitymapping oluşturma "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Kapsayıcılar için Defender Defender CSPM |
MDCContainersImageAssessmentRole | ECR ve ECR Genel'den görüntü tarama izinleri. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Sunucular için Defender | DefenderForCloud-ArcAutoProvisioning | SSM kullanarak tüm EC2 örneklerine Azure Arc yükleme izinleri ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | AWS hesabında RDS örneklerini bulma izni, RDS örneği anlık görüntüsü oluşturma, - Tüm RDS DB'lerini/kümelerini listeleme - Tüm VERITABANı/Küme anlık görüntülerini listeleme - Tüm veritabanı/küme anlık görüntülerini kopyalama - Defenderfordatabases ön ekiyle DB/küme anlık görüntüsünü silme/güncelleştirme - Tüm KMS anahtarlarını listeleme - Tüm KMS anahtarlarını yalnızca kaynak hesapta RDS için kullanın - DefenderForDatabases etiket ön ekiyle KMS anahtarlarını listeleme - KMS anahtarları için diğer ad oluşturma RDS örneklerini bulmak için gereken izinler rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP'de izinler
Google Bulut Platformları (GCP) bağlayıcısı eklediğinizde Bulut için Defender GCP projenizde roller oluşturur ve izinler atar. Aşağıdaki tabloda GCP projenizdeki her plan tarafından atanan roller ve izinler gösterilmektedir.
| Bulut için Defender planı | Rol oluşturuldu | AWS hesabında atanan izin |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Bu izinler CSPM rolünün kuruluş içindeki kaynakları bulmasına ve taramasına olanak sağlar: Rolün kuruluş, proje ve klasörleri görüntülemesine izin verir: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Yeni projelerin otomatik sağlama işlemine ve silinen projelerin kaldırılmasına izin verir: resourcemanager.projects.get resourcemanager.projects.list Rolün, kaynakları bulmak için kullanılan Google Cloud hizmetlerini etkinleştirmesine izin verir: serviceusage.services.enable IAM rollerini oluşturmak ve listelemek için kullanılır: iam.roles.create iam.roles.list Rolün bir hizmet hesabı olarak davranmasına ve kaynaklara izin almasına izin verir: iam.serviceAccounts.actAs Rolün proje ayrıntılarını görüntülemesine ve ortak örnek meta verilerini ayarlamasına izin verir: compute.projects.get compute.projects.setCommonInstanceMetadata Kuruluş içindeki yapay zeka platformu kaynaklarını bulmak ve taramak için kullanılır: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list notebooks.instances.list |
| Sunucular için Defender | sunucular için microsoft-defender azure-arc-for-servers-onboard |
İşlem Altyapısı kaynaklarını almak ve listelemek için salt okunur erişim: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Veritabanı için Defender | defender-for-databases-arc-ap | Veritabanları için Defender'a yönelik izinler ARC otomatik sağlama compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Depolama için Defender |
veri güvenliği-duruş-depolama | Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Depolama için Defender |
veri güvenliği-duruş-depolama | Bulut için Defender tarayıcısının GCP depolama demetlerini bulma, GCP depolama demetlerindeki verilere erişme izni storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Kuruluş kaynağıyla ilgili ayrıntıları alma izinleri. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Sunucular için Defender |
MDCAgentlessScanningRole | Aracısız disk taraması için izinler: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Sunucular için Defender |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK ile şifrelenmiş tarama disklerini desteklemek için mevcut GCP KMS rolüne yönelik izinler verilir |
| Defender CSPM Kapsayıcılar için Defender |
mdc-containers-artifact-assess | GAR ve GCR'den görüntü tarama izni. artifactregistry.reader storage.objectViewer |
| Kapsayıcılar için Defender | mdc-containers-k8s-operator | GKE kümelerinden Veri Toplama İzinleri. GKE kümelerini IP kısıtlamasını destekleyecek şekilde güncelleştirin. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Kapsayıcılar için Defender | microsoft-defender-containers | Günlükleri bir Cloud Pub/Sub konusuna yönlendirmek için günlük havuzu oluşturma ve yönetme izinleri. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Kapsayıcılar için Defender | ms-defender-containers-stream | Günlüğün pub alt bölümüne günlük göndermesine izin verme izinleri: pubsub.subscriptions.consume pubsub.subscriptions.get |
Sonraki adımlar
Bu makalede, Bulut için Defender'ın kullanıcılara izin atamak için Azure Rol Tabanlı Erişim Denetimi'ni nasıl kullandığı ve her rol için izin verilen eylemleri nasıl tanımladığı açıklanmıştır. Artık aboneliğinizin güvenlik durumunu izlemek, güvenlik ilkelerini düzenlemek ve öneriler uygulamak için gereken rol atamalarını öğrendiğinize göre şunları nasıl yapacağınızı öğrenin: