ESET PROTECT – 目次

Azureサービスプリンシパルに必要な権限

Azureロールベースのアクセス制御(RBAC)

役割

スコープ

必要な権限

原因

Log Analytics共同作成者

/subscriptions/${subscription_id}

*/read

サブスクリプション内のすべてのリソースを読み取れるようにするため。

Microsoft.Insights/DiagnosticSettings/*

リソースログを Azure EventHubに収集するためにDiagnosticSettingsを作成/更新できるようにするため。

ESET Cloud Workload Protection (CWP)は、AzureリソースのDiagnosticSettingsを作成および更新します。

仮想マシン共同作成者

/subscriptions/${subscription_id}

Microsoft.Compute/virtualMachines/runCommand/*
https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute

CWPは、クライアントの仮想マシンでコマンドを実行し、ESETライブインストーラーを使用してESET エンドポイントをインストールします。

共同作成者

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

Azure Event Hubを管理します。

(今後)検査するために仮想マシンを作成します。

eset-cwpp-rgリソースグループには、CWPマネージドリソースが含まれます。CWPは、このリソースグループにAzureイベントハブを作成します。今後、CWPはここでクラウドストレージ/ディスクを検査する仮想マシンを作成します。

MSグラフ

権限名

説明

管理者の同意の付与が必要です

原因

https://graph.microsoft.com/AuditLog.Read.All

すべての監査ログデータを読み取ります。

はい

CWPは、Graph APIを使用してアクティビティログを読み取ります。

https://management.azure.com/user_impersonation

アプリケーションが組織内のユーザーとしてAzure Resource Managerにアクセスできるようにします。

いいえ

CWPとクライアントのAzureテナントの自動統合の場合、ESET Cloud Workload Protectionは既存のサブスクリプションを一覧表示し、必要な権限をESET Cloud Workload Protectionアプリケーション(同意を承認することでクライアントのテナントに接続されるAzureマルチテナントアプリケーション)に割り当て、ESET Cloud Workload Protectionマネージドリソースのリソースグループを作成します。