ESET PROTECT – Inhaltsverzeichnis

Erforderliche Berechtigungen für den Azure-Dienstprinzipal

Azure rollenbasierte Zugriffskontrolle (RBAC)

Rolle

Umfang

Erforderliche Berechtigungen

Grund

Log Analytics-Mitwirkender

/subscriptions/${subscription_id}

*/read

Um alle Ressourcen im Lösungspaket lesen zu können.

Microsoft.Insights/DiagnosticSettings/*

Um DiagnosticSettings zum Sammeln von Ressourcen-Logs in Azure EventHub erstellen und aktualisieren zu können.

ESET Cloud Workload Protection (CWP) erstellt und aktualisiert DiagnosticSettings für Azure-Ressourcen.

Mitwirkender von virtuellen Computern

/subscriptions/${subscription_id}

Microsoft.Compute/virtualMachines/runCommand/*
https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute

CWP führt Befehle auf den virtuellen Maschinen des Kunden aus, um ESET Endpoint mit dem ESET Live-Installationsprogramm zu installieren.

Mitwirkender

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

Azure Event Hub verwalten.

Virtuelle Maschinen zum Scannen erstellen (in der Zukunft).

Die eset-cwpp-rg-Ressourcengruppe enthält verwaltete CWP-Ressourcen. CWP wird einen Azure-Event Hub in dieser Ressourcengruppe erstellen. In Zukunft CWP wird hier virtuelle Maschinen zum Scannen von Cloud-Speichern und -Datenträgern erstellen.

MS-Diagramm

Berechtigungsname

Beschreibung

Erteilung der Administratorzustimmung ist erforderlich

Grund

https://graph.microsoft.com/AuditLog.Read.All

Alle Audit-Log-Daten lesen

Ja

CWP wird mithilfe der Graph API Aktivitätsprotokolle auslesen.

https://management.azure.com/user_impersonation

Erlauben Sie der Anwendung den Zugriff auf Azure Resource Manager, indem sie als Benutzer in der Organisation agiert.

Nein

Bei einer automatischen Integration von CWP in den AzureA-Mandanten des Kunden listet ESET Cloud Workload Protection die bestehenden Lösungspakete auf, weist der ESET Cloud Workload Protection-Anwendung (einer mehrmandantenfähigen Azure-Anwendung, die mit dem Mandanten des Kunden durch eine Zustimmung verbunden ist) die erforderlichen Berechtigungen zu und erstellt eine Ressourcengruppe für die von ESET Cloud Workload Protection verwalteten Ressourcen.