Defender for Storage とその機能を有効にするために必要なアクセス許可
この記事では、Defender for Storage とその機能を有効にするために必要なアクセス許可について説明します。
Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。
アクティビティの監視: データ プレーンとコントロール プレーンのアクティビティを分析し、Microsoft 脅威インテリジェンス、行動モデリング、機械学習を使用して、ストレージ アカウント内の疑わしいアクティビティを検出します。
マルウェア スキャン: Microsoft Defender ウイルス対策を使用して、アップロードされたすべての BLOB をほぼリアルタイムでスキャンし、悪意のあるコンテンツからストレージ アカウントを保護します。
機密データの脅威検出: 機密データ検出エンジンによって検出されたデータの秘密度に基づいてセキュリティ アラートに優先順位を付け、露出イベントと疑わしいアクティビティを検出し、データ侵害に対する保護を強化します。
シナリオに応じて、Defender for Storage とその機能を有効にするためのさまざまなレベルのアクセス許可が必要になります。 Defender for Storage は、サブスクリプション レベルまたはストレージ アカウント レベルで有効にして構成できます。 組み込みの Azure ポリシーを使用して Defender for Storage を有効にし、目的のスコープに対してその有効化を適用することもできます。
次の表に、各シナリオに必要なアクセス許可をまとめています。 アクセス許可は、組み込みの Azure ロールか、カスタム ロールに割り当てることができるアクション セットです。
機能 | サブスクリプション レベル | ストレージ アカウント レベル |
---|---|---|
活動の監視 | セキュリティ管理者、または Pricings/read、Pricings/write | セキュリティ管理者、または Microsoft.Security/defenderforstoragesettings/read、Microsoft.Security/defenderforstoragesettings/write |
マルウェア スキャン | サブスクリプション所有者またはアクション セット 1 | ストレージ アカウントの所有者またはアクション セット 2 |
機密データの脅威検出 | サブスクリプション所有者またはアクション セット 1 | ストレージ アカウントの所有者またはアクション セット 2 |
Note
Defender for Storage を有効にすると、アクティビティの監視が常に有効になります。
アクション セットは、カスタム ロールの作成に使用できる Azure リソース プロバイダー操作のコレクションです。 Defender for Storage とその機能を有効にするためのアクション セットは次のとおりです。
アクション セット 1: サブスクリプション レベルの有効化と構成
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
アクション セット 2: ストレージ アカウント レベルの有効化と構成
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (サブスクリプション レベルで付与する必要があります)
- Microsoft.Security/datascanners/write (サブスクリプション レベルで付与する必要があります)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete