Microsoft Defender for Cloudでは、Azureのロールベースのアクセス制御 (Azure Role-Based Access Control) を使用して、組み込みロールを提供します。 これらのロールをAzureのユーザー、グループ、およびサービスに割り当てて、ロールの定義されたアクセスに従ってリソースにアクセスできるようにします。
Defender for Cloud は、リソース構成を評価し、セキュリティの問題と脆弱性を特定します。 Defender for Cloud で、サブスクリプションまたはリソース グループに対して次のいずれかのロールが割り当てられているときにリソース情報を表示します(所有者、共同作成者、閲覧者)。
組み込みロールに加えて、Defender for Cloud に固有のロールが 2 つあります。
- セキュリティ閲覧者: このロールのユーザーは、Defender for Cloud への読み取り専用アクセス権を持っています。 ユーザーは推奨事項、アラート、セキュリティ ポリシー、およびセキュリティの状態を表示できますが、変更を加えることはできません。
- セキュリティ管理者: このロールのユーザーは、セキュリティ閲覧者と同じアクセス権を持ち、セキュリティ ポリシーを更新したり、アラートや推奨事項を無視したりすることもできます。
ユーザーが自分のタスクを完了するために必要な最も制限の少ないロールを割り当てます。
たとえば、リソースのセキュリティ正常性情報のみを表示する必要があるユーザーに、何もアクションを実行せずに閲覧者ロールを割り当てます。 閲覧者ロールが付与されたユーザーは、推奨事項を適用したり、ポリシーを編集したりすることはできません。
ルールと許可されているアクション
次の表は、Defender for Cloud でのロールと許可されているアクションを示しています。
| 操作 | セキュリティ閲覧者 Reader |
セキュリティ管理者 | ContributorOwner | 寄稿者 | 所有者 |
|---|---|---|---|---|---|
| (リソース グループ レベル) | (サブスクリプション レベル) | (サブスクリプション レベル) | |||
| イニシアティブを追加する、または割り当てる (規制コンプライアンス標準を含む) | - | ✔ | - | - | ✔ |
| セキュリティ ポリシーを編集する | - | ✔ | - | - | ✔ |
| Microsoft Defenderプランの有効化/無効化 | - | ✔ | - | ✔ | ✔ |
| アラートを無視する | - | ✔ | - | ✔ | ✔ |
| リソースに対するセキュリティ レコメンデーションの適用 (Fix を使用) | - | - | ✔ | ✔ | ✔ |
| アラートと推奨事項を表示する | ✔ | ✔ | ✔ | ✔ | ✔ |
| セキュリティの推奨事項を除外する | - | ✔ | - | - | ✔ |
| メール通知を構成する | - | ✔ | ✔ | ✔ | ✔ |
| GitHubの問題とその関連情報を表示する | ✔ | ✔ | ✔ | ✔ | ✔ |
| GitHubの問題を作成して"所有者"に割り当てる | - | ✔ | ✔ | ✔ | ✔ |
注記
前述の 3 つのロールで Defender for Cloud プランを有効または無効にするだけで十分ですが、プランのすべての機能を有効にするには所有者ロールが必要です。
監視コンポーネントの展開に必要な特定のロールは、展開する拡張機能によって異なります。 コンポーネント監視の詳細についてはこちらをご覧ください。
エージェントと拡張機能を自動的に構成するために使用されるロール
Defender for Cloud プランで使用されるエージェントと拡張機能をセキュリティ管理者ロールが自動的に構成できるようにするには、Defender for Cloud では、Azure Policy のようなポリシー修復が使用されます。 修復を使用するには、Defender for Cloud で、サブスクリプション レベルでロールを割り当てるサービス プリンシパル (マネージド ID とも呼ばれます) を作成する必要があります。 たとえば、Defender for Containers プランのサービス プリンシパルは次のとおりです。
| サービス プリンシパル | 役割 |
|---|---|
| Azure Kubernetes Service (AKS) セキュリティ プロファイルをプロビジョニングする Defender for Containers | Kubernetes 拡張機能共同作成者 貢献者 Azure Kubernetes Service 共同作成者 Log Analytics共同作成者 |
| Arc 対応 Kubernetes をプロビジョニングする Defender for Containers | Azure Kubernetes Service寄稿者 Kubernetes 拡張機能共同作成者 貢献者 Log Analytics共同作成者 |
| Kubernetes 用の Azure Policy アドオンをプロビジョニングする Defender for Containers | Kubernetes 拡張機能共同作成者 貢献者 Azure Kubernetes Service 共同作成者 |
| Arc 対応 Kubernetes 用の Policy 拡張機能をプロビジョニングする Defender for Containers | Azure Kubernetes Service 貢献者 Kubernetes 拡張機能共同作成者 貢献者 |
AWS でのアクセス許可
アマゾン ウェブ サービス (AWS) コネクタをオンボードすると、Defender for Cloud によってロールが作成され、AWS アカウントにアクセス許可が割り当てられます。 次の表は、AWS アカウントの各プランによって割り当てられたロールとアクセス許可を示しています。
| Defender for Cloud プラン | ロールが作成されました | AWS アカウントに割り当てられたアクセス許可 |
|---|---|---|
| Defender クラウド セキュリティ態勢管理 (CSPM) | CspmMonitorAws | AWS リソースのアクセス許可を検出するには、次を除くすべてのリソースの読み取りを行ってください。 統合請求: 無料プラン: 請求書発行 支払い 課金: 税金 cur: |
| Defender CSPM Defender for Servers |
DefenderForCloud-AgentlessScanner | ディスク スナップショットを作成およびクリーンアップするには (タグによってスコープ指定) “CreatedBy”: "Microsoft Defender for Cloud" アクセス許可: ec2:DeleteSnapshot(スナップショットを削除) ec2:ModifySnapshotAttribute(スナップショット属性を変更) ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey へのアクセス許可 kms:ListKeys EncryptionKeyManagement kms:TagResource へのアクセス許可 kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM ストレージ用ディフェンダー |
機密データ発見 | AWS アカウントで S3 バケットを検出するためのアクセス許可、S3 バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 S3 読み取り専用 KMS 復号化 kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery のアクセス許可 sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender for Servers | DefenderForCloud-DefenderForServers | JIT ネットワーク アクセスを構成するためのアクセス許可: ec2:RevokeSecurityGroupIngress ec2:セキュリティグループのインバウンド許可を承認する ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender for Containers | Defender for Containers AWS のアクセス許可を参照してください | |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | SSM を使用してすべての EC2 インスタンスにAzure Arcをインストールするアクセス許可 ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| ディフェンダー CSPM | DefenderForCloud-DataSecurityPostureDB | AWS アカウント内の RDS インスタンスの検出、RDS インスタンス スナップショットの作成のためのアクセス許可 - RDS DB/クラスターをすべて一覧表示する - すべての DB/クラスター スナップショットを一覧表示する - すべての DB/クラスター スナップショットをコピーする - プレフィックス defenderfordatabases を使用して DB/クラスター スナップショットを削除/更新する - すべての KMS キーを一覧表示する - ソース アカウントの RDS に対してのみすべての KMS キーを使用する - タグ プレフィックス DefenderForDatabases を持つ KMS キーを一覧表示する - KMS キーのエイリアスを作成する RDS インスタンスの検出に必要なアクセス許可 rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:DBスナップショット属性の変更 rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP でのアクセス許可
Google Cloud Platforms (GCP) コネクタをオンボードすると、Defender for Cloud によってロールが作成され、GCP プロジェクトに対するアクセス許可が割り当てられます。 次の表は、GCP プロジェクトの各プランによって割り当てられたロールとアクセス許可を示しています。
| Defender for Cloud プラン | ロールが作成されました | アクセス許可がAWSアカウントに割り当てられています。 |
|---|---|---|
| ディフェンダー CSPM | MDCCspmCustomRole | これらのアクセス許可は、CSPM ロールに対して、組織内のリソースの検出とスキャンを許可します。 組織、プロジェクト、フォルダーの閲覧をロールに許可します。 resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy 新しいプロジェクトの自動プロビジョニング プロセスと削除されたプロジェクトの消去を許可します。 resourcemanager.projects.get resourcemanager.projects.list ロールに対して、リソースの検出に使用される Google Cloud サービスの有効化を許可します。 serviceusage.services.enable IAM ロールの作成と一覧表示に使用されます。 iam.roles.create (役割の作成) iam.roles.list ロールに対して、サービス アカウントとして機能し、リソースへのアクセス許可を取得することを許可します。 iam.serviceAccounts.actAs ロールに対して、プロジェクトの詳細の表示と、共通のインスタンス メタデータの設定を許可します。 compute.projects.get compute.projects.setCommonInstanceMetadata 組織内の AI プラットフォーム リソースの検出とスキャンに使われます。 aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list ディスカバリーエンジン.ドキュメント.リスト discoveryengine.engines.list notebooks.instances.list |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
コンピューティング エンジンのリソースを取得および一覧表示するための読み取り専用アクセス: compute.viewer (コンピュート・ビューア) iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| データベース用Defender | defender-for-databases-arc-ap | Defender for Database ARC 自動プロビジョニングに対するアクセス許可 compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin (オペレーティングシステム構成ポリシー割り当て管理) osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM ストレージ用ディフェンダー |
data-security-posture-storage | Defender for Cloud スキャナーが GCP ストレージ バケットを検出して、中のデータにアクセスするためのアクセス許可 ストレージ.オブジェクト.リスト storage.objects.get storage.buckets.get |
| Defender CSPM ストレージ用ディフェンダー |
data-security-posture-storage | Defender for Cloud スキャナーが GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするためのアクセス許可 ストレージ.オブジェクト.リスト storage.objects.get storage.buckets.get |
| ディフェンダー CSPM | microsoft-defender-ciem | 組織のリソースに関する詳細を取得するためのアクセス許可。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender for Servers |
MDCAgentlessScanningRole | エージェントレス ディスク スキャンのアクセス許可: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM サーバー用Defender |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールへのアクセス許可が付与されます |
| Defender for Containers | Defender for Containers の GCP アクセス許可を参照してください |
次のステップ
この記事では、Defender for Cloud がAzure Role-Based Access Controlを使用してアクセス許可をユーザーに割り当てる方法について説明し、各ロールに対して許可されるアクションを特定しました。 サブスクリプションのセキュリティ状態を監視するために必要なロールの割り当てについて理解したら、セキュリティ ポリシーを編集し、推奨事項を適用して、次の方法を学習してください。
- Defender for Cloud でセキュリティ ポリシーを設定する
- Defender for Cloud でセキュリティに関する推奨事項を管理する
- Defender for Cloud でセキュリティ アラートの管理と対応を行う
- パートナー セキュリティ ソリューションを監視する