次の方法で共有

Microsoft Defender for Storage の前提条件

  • [アーティクル]

この記事では、有効な Defender for Storageとその機能必要な前提条件とアクセス許可の一覧を示します。

前提条件

  • Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。

  • Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。

  • 次のストレージの種類がサポートされています。

    • Blob Storage (Standard/Premium StorageV2、Data Lake Gen2 を含む) アクティビティの監視、マルウェアスキャン、機密データ検出。

    • Azure Files (REST API と SMB 経由): アクティビティの監視。

  • App_BrowsersApp_CodeApp_DataApp_GlobalResourcesApp_LocalResourcesApp_ThemesApp_WebReferencesBinなど、リソース グループに属するストレージ アカウントはサポートされていません。

Defender for Storage を有効にするために必要なアクセス許可

シナリオに応じて、Defender for Storage とその機能を有効にするためのさまざまなレベルのアクセス許可が必要になります。 Defender for Storage は、サブスクリプション レベルまたはストレージ アカウント レベルで有効にして構成できます。 組み込みの Azure ポリシーを使用して Defender for Storage を有効にし、目的のスコープに対してその有効化を適用することもできます。

次の表に、各シナリオに必要なアクセス許可をまとめています。 アクセス許可は、組み込みの Azure ロールか、カスタム ロールに割り当てることができるアクション セットです。

機能 サブスクリプション レベル ストレージ アカウント レベル
アクティビティの監視 セキュリティ管理者、または Pricings/read、Pricings/write セキュリティ管理者、または Microsoft.Security/defenderforstoragesettings/read、Microsoft.Security/defenderforstoragesettings/write
マルウェア スキャン サブスクリプション所有者またはアクション セット 1 ストレージ アカウントの所有者またはアクション セット 2
機密データの脅威検出 サブスクリプション所有者またはアクション セット 1 ストレージ アカウントの所有者またはアクション セット 2

Note

Defender for Storage を有効にすると、アクティビティの監視が常に有効になります。

アクション セットは、カスタム ロールの作成に使用できる Azure リソース プロバイダー操作のコレクションです。 Defender for Storage とその機能を有効にするためのアクション セットは次のとおりです。

アクション セット 1: サブスクリプション レベルの有効化と構成

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

アクション セット 2: ストレージ アカウント レベルの有効化と構成

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (サブスクリプション レベルで付与する必要があります)
  • Microsoft.Security/datascanners/write (サブスクリプション レベルで付与する必要があります)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

関連するコンテンツ