ESET PROTECT – 目录

Azure 服务主体所需的权限

Azure 基于角色的访问控制 (RBAC)

角色

范围

所需权限

原因

Log Analytics 参与者

/subscriptions/${subscription_id}

*/read

能够读取订阅中的所有资源。

Microsoft.Insights/DiagnosticSettings/*

能够创建/更新 DiagnosticSettings 以将资源日志收集到 Azure EventHub。

ESET Cloud Workload Protection (CWP) 将创建和更新 Azure 资源的 DiagnosticSettings。

虚拟机参与者

/subscriptions/${subscription_id}

Microsoft.Compute/virtualMachines/runCommand/*
https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute

CWP 将在客户端的虚拟机上运行命令,以使用 ESET Live 安装程序安装 ESET Endpoint。

参与者

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

管理 Azure 事件中心。

创建用于扫描(以后执行)的虚拟机。

eset-cwpp-rg 资源组将包含 CWP 托管的资源。CWP 将在此资源组中创建 Azure 事件中心。将来,CWP 将在此处创建虚拟机来扫描云存储空间/磁盘。

MS 图形

权限名称

说明

需要授予管理员同意

原因

https://graph.microsoft.com/AuditLog.Read.All

读取所有审核日志数据。

CWP 将使用图形 API 读取活动日志。

https://management.azure.com/user_impersonation

允许应用程序以组织中用户的身份访问 Azure 资源管理器。

如果 CWP 与客户的 Azure 租户自动集成,ESET Cloud Workload Protection 将列出现有订阅,将所需权限分配给 ESET Cloud Workload Protection 应用程序(通过批准同意连接到客户端租户的 Azure 多租户应用程序),并为 ESET Cloud Workload Protection 管理的资源创建资源组。