Storage용 Defender 및 해당 기능을 사용하도록 설정하기 위한 필수 권한
이 문서에서는 Storage용 Defender 및 해당 기능을 사용하도록 설정하는 데 필요한 사용 권한을 나열합니다.
Microsoft Defender for Storage는 스토리지 정에 대한 잠재적 위협을 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다.
활동 모니터링: 데이터 평면 및 컨트롤 플레인 활동을 분석하고 Microsoft 위협 인텔리전스, 동작 모델링 및 기계 학습을 사용하여 스토리지 계정에서 의심스러운 활동을 감지합니다.
맬웨어 검사: Microsoft Defender 바이러스 백신 사용하여 업로드된 모든 Blob을 거의 실시간으로 검사하여 악의적인 콘텐츠로부터 스토리지 계정을 보호합니다.
중요한 데이터 위협 검색: 중요한 데이터 검색 엔진에서 검색한 데이터 민감도에 따라 보안 경고의 우선 순위를 지정하고, 노출 이벤트 및 의심스러운 활동을 검색하여 데이터 위반에 대한 보호를 강화합니다.
시나리오에 따라 Storage용 Defender 및 해당 기능을 사용하도록 설정하려면 다양한 수준의 권한이 필요합니다. 구독 수준 또는 스토리지 계정 수준에서 Defender for Storage를 사용하도록 설정하고 구성할 수 있습니다. 기본 제공 Azure 정책을 사용하여 Defender for Storage를 사용하도록 설정하고 원하는 범위에서 해당 사용 권한을 적용할 수도 있습니다.
다음 표에서는 각 시나리오에 필요한 사용 권한을 요약합니다. 권한은 사용자 지정 역할에 할당할 수 있는 기본 제공 Azure 역할 또는 작업 집합입니다.
기능 | 구독 수준 | 스토리지 계정 수준 |
---|---|---|
활동 모니터링 | 보안 관리자 또는 가격 책정/읽기, 가격 책정/쓰기 | 보안 관리자 또는 Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
맬웨어 검사 | 구독 소유자 또는 작업 집합 1 | 스토리지 계정 소유자 또는 작업 집합 2 |
중요한 데이터 위협 탐지 테스트 | 구독 소유자 또는 작업 집합 1 | 스토리지 계정 소유자 또는 작업 집합 2 |
참고 항목
Defender for Storage를 사용하도록 설정하면 활동 모니터링이 항상 활성화됩니다.
작업 집합은 사용자 지정 역할을 만드는 데 사용할 수 있는 Azure 리소스 공급자 작업의 컬렉션입니다. Storage용 Defender 및 해당 기능을 사용하도록 설정하기 위한 작업 집합은 다음과 같습니다.
작업 집합 1: 구독 수준 사용 및 구성
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
작업 집합 2: 스토리지 계정 수준 사용 및 구성
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read(구독 수준에서 부여해야 합니다).
- Microsoft.Security/datascanners/write(구독 수준에서 부여해야 합니다).
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete