Erforderliche Berechtigungen zum Aktivieren von Defender für Speicher und deren Features
Dieser Artikel führt die erforderlichen Berechtigungen zum Aktivieren von Defender for Storage und seinen Funktionen auf.
Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung.
Aktivitätsüberwachung: Erkennt verdächtige Aktivitäten in Speicherkonten, indem Datenebenen- und Steuerungsebenenaktivitäten analysiert und Microsoft Threat Intelligence, Verhaltensmodellierung und Maschinelles Lernen verwendet werden.
Schadsoftwareüberprüfung: Überprüft alle hochgeladenen Blobs in Nahezu-Echtzeit mithilfe von Microsoft Defender Antivirus, um Speicherkonten vor schädlichen Inhalten zu schützen.
Erkennung vertraulicher Daten: Priorisiert Sicherheitswarnungen basierend auf der vom Vertraulichen Datenermittlungsmodul ermittelten Datenempfindlichkeit, erkennt Expositionsereignisse und verdächtige Aktivitäten und verbessert den Schutz vor Datenschutzverletzungen.
Je nach Szenario benötigen Sie unterschiedliche Berechtigungsstufen, um Defender für Speicher und die zugehörigen Features zu aktivieren. Sie können Defender für Speicher auf Abonnementebene oder auf Speicherkontoebene aktivieren und konfigurieren. Sie können auch integrierte Azure-Richtlinien verwenden, um Defender for Storage zu aktivieren und die Aktivierung auf einem gewünschten Bereich zu erzwingen.
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die Sie für jedes Szenario benötigen. Die Berechtigungen sind entweder integrierte Azure-Rollen oder Aktionssätze, die Sie benutzerdefinierten Rollen zuweisen können.
| Funktion | Abonnementebene | Speicherkontoebene |
|---|---|---|
| Aktivitätsüberwachung | Sicherheitsadministrator oder Preise/Lese-, Preis-/Schreibzugriff | Sicherheitsadministrator oder Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Schadsoftwareüberprüfung | Abonnementbesitzer oder Aktionssatz 1 | Speicherkontobesitzer oder Aktionssatz 2 |
| Bedrohungserkennung für vertrauliche Daten | Abonnementbesitzer oder Aktionssatz 1 | Speicherkontobesitzer oder Aktionssatz 2 |
Hinweis
Die Aktivitätsüberwachung ist immer aktiviert, wenn Sie Defender für Speicher aktivieren.
Die Aktionssätze sind Sammlungen von Azure-Ressourcenanbietervorgängen, die Sie zum Erstellen benutzerdefinierter Rollen verwenden können. Die Aktionssätze zum Aktivieren von Defender für Speicher und deren Features sind:
Aktionssatz 1: Aktivierung und Konfiguration auf Abonnementebene
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Aktionssatz 2: Aktivierung und Konfiguration der Speicherkontoebene
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (muss auf Abonnementebene gewährt werden)
- Microsoft.Security/datascanners/write (muss auf Abonnementebene erteilt werden)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete