Erforderliche und gewährte Berechtigungen für Azure

Ansichten:

Für Azure-Abonnements erforderliche Berechtigungen

Überprüfen Sie die Berechtigungen erforderlich, um Ressourcen bereitzustellen, und die Berechtigungen, die beim Verbinden von Azure-Abonnements mit Trend Vision One gewährt werden.

Die folgenden Berechtigungen sind erforderlich, um Trend Vision One Cloud-Sicherheitsressourcen erfolgreich in Ihrem Abonnement bereitzustellen.

Für Microsoft Entra ID-Benutzer muss Ihre Anmeldung die folgenden Rollen haben:
- Anwendungsadministrator
- Administrator für privilegierte Rollen
Für Microsoft Azure-Benutzer muss Ihre Anmeldung die folgende oder eine höhere Rolle im Abonnement haben, mit dem Sie sich verbinden:
- Benutzerzugriffsadministrator
- Mitwirkender
Um Microsoft Defender für Endpunkt-Sammlung oder Azure-Aktivitätsprotokolle zu aktivieren, muss Ihre Microsoft Azure-Anmeldung die folgende Rolle haben:
- Key Vault Secrets Officer

Der Terraform-Prozess weist sich selbst bestimmte Berechtigungen zu, um die Verbindung mit Cloud-Konten und Trend Vision One Cloud-Sicherheitsdiensten herzustellen. Diese Berechtigungen umfassen die Aktivierung der Cloud-Konten-App und Sicherheitsdienste, um temporäre Anmeldeinformationen zu erhalten und Aufgaben in Ihrer Azure-Cloud-Umgebung abzuschließen.

Erforderliche Azure-Berechtigungen

Funktion	Erforderliche Berechtigungen
Kernfunktionen	Azure Resource Manager (ARM) permissions: `Microsoft.ContainerService/managedClusters/listClusterUserCredential/action` `Microsoft.ContainerService/managedClusters/read` `Microsoft.Resources/subscriptions/resourceGroups/read` `Microsoft.Authorization/roleAssignments/read` `Microsoft.Authorization/roleDefinitions/read` `/read` API Permissions:* Azure Active Directory Graph (4) Directory.Read.All \| Delegiert Directory.Read.All \| Anwendung User.Read \| Delegiert User.Read.All \| Delegiert Microsoft Graph (4) Directory.Read.All \| Anwendung User.Read \| Delegiert User.Read.All \| Delegiert User.Read.All \| Anwendung
Server- und Workload Protection	Abonnementberechtigungen: `Microsoft.Resources/subscriptions/read` `Microsoft.Resources/subscriptions/resourceGroups/read` `Microsoft.Resources/providers/read` `Microsoft.Resources/resources/read`
	Virtuelle Maschinen (VM)-Berechtigungen: `Microsoft.Compute/virtualMachines/read`
	Berechtigungen für Virtual Machine Scale Set (VMSS): `Microsoft.Compute/virtualMachineScaleSets/read`
	Klassische virtuelle Maschinen (VM)-Berechtigungen: `Microsoft.ClassicCompute/virtualMachines/read` `Microsoft.ClassicCompute/domainNames/read`
	Netzwerkberechtigungen: `Microsoft.Network/networkSecurityGroups/read` `Microsoft.Network/networkInterfaces/read` `Microsoft.Network/publicIPAddresses/read` `Microsoft.Network/virtualNetworks/read`
	Azure-Metadaten-API-Berechtigungen: `Microsoft.Resources/subscriptions/resourceGroups/read` `Microsoft.Compute/locations/read`
	Authentifizierung und IAM-Berechtigungen: `Microsoft.Resources/deployments/read` `Microsoft.Authorization/roleAssignments/read` `Microsoft.Authorization/roleDefinitions/read`
Cloud Security Posture	erforderlicherRessourcenzugriff: resourceAppName: `Microsoft Graph` Ressourcenzugriff: name: `User.Read` type: `Delegated` name: `User.Read.All` type: `Delegated` name: `Directory.Read.All` type: `Application` name: `User.Read.All` type: `Application` name: `Policy.Read.All` type: `Application`
	erforderlicherRollenZugriff resourceAppName: `Microsoft App Configuration` roleActions: name: `Microsoft.AppConfiguration/configurationStores/ListKeyValue/action` resourceAppName: `Microsoft Network` roleActions: name: `Microsoft.Network/networkWatchers/queryFlowLogStatus/action` resourceAppName: `Microsoft Web` roleActions: name: `Microsoft.Web/sites/config/list/Action` resourceAppName: `Microsoft Key Vault` dataActions: name: `Microsoft.KeyVault/vaults/keys/read` name: `Microsoft.KeyVault/vaults/secrets/readMetadata/action`
	requiredTenantScopeRoleAccess resourceAppName: `Microsoft Management` roleActions: name: `Microsoft.Management/managementGroups/read`
Agentenlose Sicherheitslücken- und Bedrohungserkennung	Azure Resource Manager (ARM) permissions: `Microsoft.ContainerRegistry/registries/generateCredentials/action` `Microsoft.ContainerRegistry/registries/read` `Microsoft.ContainerRegistry/registries/pull/read` `Microsoft.ContainerRegistry/registries/tokens/write` `Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read` `Microsoft.ContainerRegistry/registries/scopeMaps/read` `Microsoft.ContainerRegistry/registries/tokens/read` `Microsoft.Compute/disks/read` `Microsoft.Compute/virtualMachines//read` `Microsoft.HybridCompute/machines//read` `Microsoft.Authorization/roleAssignments/write` `Microsoft.Authorization/roleAssignments/delete` `Microsoft.Authorization/roleAssignments/read` `Microsoft.Compute/locations/usages/read` `Microsoft.Quota/quotas/read`
	Trend Micro Resource Group permissions Azure integrierte Rolle: Mitwirkender Aktionen: `Allow Actions:` NichtAktionen: `Microsoft.Authorization//Delete` `Microsoft.Authorization//Write` `Microsoft.Authorization/elevateAccess/Action` `Microsoft.Blueprint/blueprintAssignments/write` `Microsoft.Blueprint/blueprintAssignments/delete` `Microsoft.Compute/galleries/share/action` `Microsoft.Purview/consents/write` `Microsoft.Purview/consents/delete` `Microsoft.Resources/deploymentStacks/manageDenySetting/action` `Microsoft.Subscription/cancel/action` `Microsoft.Subscription/enable/action` Azure integrierte Rolle: AcrPull `Microsoft.ContainerRegistry/registries/pull/read` Azure-eingebaute Rolle: Speicher-Blob-Datenbesitzer `Microsoft.Storage/storageAccounts/blobServices/containers/` `Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action` `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*`
	Trend Micro Storage ID permissions Azure-eingebaute Rolle: Speicher-Blob-Daten-Leser `Microsoft.Storage/storageAccounts/blobServices/containers/read` `Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action` `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
Data Security Posture	Azure Resource Manager (ARM) permissions: `Microsoft.Network/networkSecurityGroups/read` `Microsoft.Network/networkSecurityGroups/write` `Microsoft.Network/networkSecurityGroups/delete` `Microsoft.Network/networkSecurityGroups/securityRules/read` `Microsoft.Network/networkSecurityGroups/securityRules/write` `Microsoft.Network/networkSecurityGroups/securityRules/delete` `Microsoft.Resources/subscriptions/resourceGroups/read` `Microsoft.Resources/subscriptions/resourceGroups/write` `Microsoft.Resources/subscriptions/resourceGroups/delete` `Microsoft.Automation/automationAccounts/read` `Microsoft.Automation/automationAccounts/write` `Microsoft.Automation/automationAccounts/delete` `Microsoft.Authorization/roleAssignments/read` `Microsoft.Authorization/roleAssignments/write` `Microsoft.Authorization/roleAssignments/delete` `Microsoft.Automation/automationAccounts/webhooks/read` `Microsoft.Automation/automationAccounts/webhooks/write` `Microsoft.Automation/automationAccounts/webhooks/delete` `Microsoft.Insights/actionGroups/read` `Microsoft.Insights/actionGroups/write` `Microsoft.Insights/actionGroups/delete` `Microsoft.Automation/automationAccounts/python3Packages/read` `Microsoft.Automation/automationAccounts/python3Packages/write` `Microsoft.Automation/automationAccounts/python3Packages/delete` `Microsoft.Automation/automationAccounts/runbooks/read` `Microsoft.Automation/automationAccounts/runbooks/write` `Microsoft.Automation/automationAccounts/runbooks/delete` `Microsoft.Automation/automationAccounts/jobSchedules/read` `Microsoft.Automation/automationAccounts/jobSchedules/write` `Microsoft.Automation/automationAccounts/jobSchedules/delete` `Microsoft.Network/publicIPAddresses/read` `Microsoft.Network/publicIPAddresses/write` `Microsoft.Network/publicIPAddresses/delete` `Microsoft.Network/virtualNetworks/subnets/read` `Microsoft.Network/virtualNetworks/subnets/write` `Microsoft.Network/virtualNetworks/subnets/delete` `Microsoft.Network/virtualNetworks/subnets/join/action` `Microsoft.Network/bastionHosts/read` `Microsoft.Network/bastionHosts/write` `Microsoft.Network/bastionHosts/delete`
Cloud-Erkennungen für Azure-Aktivitätsprotokoll	Keine erforderlichen Berechtigungen.
Microsoft Defender für Endpunkt-Protokollsammlung	`Microsoft.KeyVault/vaults/secrets/read` `Microsoft.KeyVault/vaults/secrets/write`