Azureサービスに必要な権限

Azureロールベースのアクセス制御(RBAC)

役割	スコープ	必要な権限	原因
Log Analytics共同作成者	/subscriptions/${subscription_id}	•/read サブスクリプション内のすべてのリソースを読み取れるようにするため。 •Microsoft.Insights/DiagnosticSettings/ リソースログをAzure EventHubに収集するためにDiagnosticSettingsを作成/更新できるようにするため。	Cloud Workload Protection Platform (CWPP)は、AzureリソースのDiagnosticSettingsを作成および更新します。
仮想マシン共同作成者	/subscriptions/${subscription_id}	•Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	CWPPは、クライアントの仮想マシンでコマンドを実行し、ESETライブインストーラーを使用してESET エンドポイントをインストールします。
共同作成者	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	•Azure Event Hubを管理します。 •(今後)検査するために仮想マシンを作成します。	eset-cwpp-rgリソースグループには、CWPPマネージドリソースが含まれます。CWPPは、このリソースグループにAzure Event Hubを作成します。今後、CWPPはここでクラウドストレージ/ディスクを検査する仮想マシンを作成します。

役割

スコープ

必要な権限

原因

Log Analytics共同作成者

/subscriptions/${subscription_id}

•*/read
サブスクリプション内のすべてのリソースを読み取れるようにするため。

•Microsoft.Insights/DiagnosticSettings/*
リソースログをAzure EventHubに収集するためにDiagnosticSettingsを作成/更新できるようにするため。

Cloud Workload Protection Platform (CWPP)は、AzureリソースのDiagnosticSettingsを作成および更新します。

仮想マシン共同作成者

/subscriptions/${subscription_id}

CWPPは、クライアントの仮想マシンでコマンドを実行し、ESETライブインストーラーを使用してESET エンドポイントをインストールします。

共同作成者

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

•Azure Event Hubを管理します。

•(今後)検査するために仮想マシンを作成します。

eset-cwpp-rgリソースグループには、CWPPマネージドリソースが含まれます。CWPPは、このリソースグループにAzure Event Hubを作成します。今後、CWPPはここでクラウドストレージ/ディスクを検査する仮想マシンを作成します。

権限名	説明	管理者の同意が必要です	原因
https://graph.microsoft.com/AuditLog.Read.All	すべての監査ログデータを読み取ります。	はい	CWPPは、Graph APIを使用してEntraログとアクティビティログを読み取ります。
https://management.azure.com/user_impersonation	アプリケーションが組織内のユーザーとしてAzure Resource Managerにアクセスできるようにします。	いいえ	CWPPとクライアントのAzureテナントの自動統合の場合、CWPPは既存のサブスクリプションを一覧表示し、必要な権限をCWPPアプリケーション(同意を承認することでクライアントのテナントに接続されるAzureマルチテナントアプリケーション)に割り当て、CWPPマネージドリソースのリソースグループを作成します。

˄˅