Requisitos previos para Microsoft Defender para Storage
En este artículo se enumeran los requisitos previos y los permisos necesarios para habilitar Defender para Storage y sus características.
Requisitos previos
Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.
Debe haber habilitado Microsoft Defender for Cloud en la suscripción de Azure.
Se admiten los siguientes tipos de almacenamiento:
- Supervisión de la actividad de Blob Storage (Standard/Premium StorageV2, incluido Data Lake Gen2), examen de malware, detección de datos confidenciales.
- Azure Files (a través de la API de REST y SMB): supervisión de actividades.
Permisos necesarios para habilitar Defender para Storage
En función del escenario, necesita distintos niveles de permisos para habilitar Defender para Storage y sus características. Puede habilitar y configurar Defender para Storage en el nivel de suscripción o en el nivel de cuenta de almacenamiento. También puede usar directivas integradas de Azure para habilitar Defender para Storage y aplicar su habilitación en un ámbito deseado.
En la tabla siguiente se resumen los permisos que necesita para cada escenario. Los permisos son roles integrados de Azure o conjuntos de acciones que puede asignar a roles personalizados.
Funcionalidad | Nivel de suscripción | Nivel de cuenta de almacenamiento |
---|---|---|
Supervisión de la actividad | Administrador de seguridad o Precios/lectura, Precios/escritura | Administrador de seguridad o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
Examen de malware | Propietario de la suscripción o conjunto de acciones 1 | Propietario de la cuenta de almacenamiento o conjunto de acciones 2 |
Detección de amenazas de datos confidenciales | Propietario de la suscripción o conjunto de acciones 1 | Propietario de la cuenta de almacenamiento o conjunto de acciones 2 |
Nota:
La supervisión de actividad siempre está habilitada cuando se habilita Defender para Storage.
Los conjuntos de acciones son colecciones de operaciones del proveedor de recursos de Azure que puede usar para crear roles personalizados. Los conjuntos de acciones para habilitar Defender para Storage y sus características son:
Conjunto de acciones 1: habilitación y configuración de nivel de suscripción
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Conjunto de acciones 2: Habilitación y configuración del nivel de cuenta de almacenamiento
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (se debe conceder en el nivel de suscripción)
- Microsoft.Security/datascanners/write (se debe conceder en el nivel de suscripción)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete