Požadavky pro Microsoft Defender for Storage
Tento článek uvádí požadavky a oprávnění potřebná k povolení defenderu pro úložiště a jeho funkcí.
Požadavky
Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .
Podporují se následující typy úložiště:
- Blob Storage (Standard/Premium StorageV2, včetně monitorování aktivit Data Lake Gen2), prohledávání malwaru, zjišťování citlivých dat
- Azure Files (přes REST API a SMB): Monitorování aktivit
Oprávnění požadovaná k povolení defenderu pro úložiště
V závislosti na scénáři potřebujete různé úrovně oprávnění, abyste povolili Defender for Storage a jeho funkce. Defender for Storage můžete povolit a nakonfigurovat na úrovni předplatného nebo na úrovni účtu úložiště. Pomocí integrovaných zásad Azure můžete také povolit Defender for Storage a vynutit jeho povolení v požadovaném oboru.
Následující tabulka shrnuje oprávnění, která potřebujete pro každý scénář. Oprávnění jsou buď předdefinované role Azure, nebo sady akcí, které můžete přiřadit k vlastním rolím.
| Schopnost | Úroveň předplatného | Úroveň účtu úložiště |
|---|---|---|
| Monitorování aktivit | Správce zabezpečení nebo ceny / čtení, ceny / zápis | Správce zabezpečení nebo Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Kontrola malwaru | Vlastník předplatného nebo sada akcí 1 | Vlastník účtu úložiště nebo sada akcí 2 |
| Detekce citlivých dat před hrozbami | Vlastník předplatného nebo sada akcí 1 | Vlastník účtu úložiště nebo sada akcí 2 |
Poznámka:
Monitorování aktivit je vždy povolené, když povolíte Defender for Storage.
Sady akcí jsou kolekce operací poskytovatele prostředků Azure, které můžete použít k vytvoření vlastních rolí. Sady akcí pro povolení defenderu pro úložiště a jeho funkce jsou:
Sada akcí 1: Povolení a konfigurace na úrovni předplatného
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Sada akcí 2: Povolení a konfigurace na úrovni účtu úložiště
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (musí být udělena na úrovni předplatného)
- Microsoft.Security/datascanners/write (musí být udělena na úrovni předplatného)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete