Compartir a través de


Requisitos previos para Microsoft Defender para Storage

En este artículo se enumeran los requisitos previos y los permisos necesarios para habilitar Defender para Storage y sus características.

Requisitos previos

Permisos necesarios para habilitar Defender para Storage

En función del escenario, necesita distintos niveles de permisos para habilitar Defender para Storage y sus características. Puede habilitar y configurar Defender para Storage en el nivel de suscripción o en el nivel de cuenta de almacenamiento. También puede usar directivas integradas de Azure para habilitar Defender para Storage y aplicar su habilitación en un ámbito deseado.

En la tabla siguiente se resumen los permisos que necesita para cada escenario. Los permisos son roles integrados de Azure o conjuntos de acciones que puede asignar a roles personalizados.

Funcionalidad Nivel de suscripción Nivel de cuenta de almacenamiento
Supervisión de la actividad Administrador de seguridad o Precios/lectura, Precios/escritura Administrador de seguridad o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Examen de malware Propietario de la suscripción o conjunto de acciones 1 Propietario de la cuenta de almacenamiento o conjunto de acciones 2
Detección de amenazas de datos confidenciales Propietario de la suscripción o conjunto de acciones 1 Propietario de la cuenta de almacenamiento o conjunto de acciones 2

Nota:

La supervisión de actividad siempre está habilitada cuando se habilita Defender para Storage.

Los conjuntos de acciones son colecciones de operaciones del proveedor de recursos de Azure que puede usar para crear roles personalizados. Los conjuntos de acciones para habilitar Defender para Storage y sus características son:

Conjunto de acciones 1: habilitación y configuración de nivel de suscripción

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Conjunto de acciones 2: Habilitación y configuración del nivel de cuenta de almacenamiento

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (se debe conceder en el nivel de suscripción)
  • Microsoft.Security/datascanners/write (se debe conceder en el nivel de suscripción)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete