스토리지용 Microsoft Defender의 필수 구성 요소
이 문서에서는 Storage용 Defender 및 해당 기능을 사용하도록 설정하는 데 필요한 필수 구성 요소 및 권한을 나열합니다.
필수 조건
Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
지원되는 스토리지 유형은 다음과 같습니다.
Blob Storage (Standard/Premium StorageV2, Data Lake Gen2 포함) 활동 모니터링, 맬웨어 검사, 중요한 데이터 검색
Azure Files(REST API 및 SMB를 통해): 활동 모니터링.
리소스 그룹에 속하는 스토리지 계정은 지원되지 않습니다
App_Browsers
App_LocalResources
App_Code
App_WebReferences
App_Data
App_Themes
App_GlobalResources
Bin
.
Storage용 Defender를 사용하도록 설정하는 데 필요한 권한
시나리오에 따라 Storage용 Defender 및 해당 기능을 사용하도록 설정하려면 다양한 수준의 권한이 필요합니다. 구독 수준 또는 스토리지 계정 수준에서 Defender for Storage를 사용하도록 설정하고 구성할 수 있습니다. 기본 제공 Azure 정책을 사용하여 Defender for Storage를 사용하도록 설정하고 원하는 범위에서 해당 사용 권한을 적용할 수도 있습니다.
다음 표에서는 각 시나리오에 필요한 사용 권한을 요약합니다. 권한은 사용자 지정 역할에 할당할 수 있는 기본 제공 Azure 역할 또는 작업 집합입니다.
기능 | 구독 수준 | 스토리지 계정 수준 |
---|---|---|
활동 모니터링 | 보안 관리자 또는 가격 책정/읽기, 가격 책정/쓰기 | 보안 관리자 또는 Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
맬웨어 검사 | 구독 소유자 또는 작업 집합 1 | 스토리지 계정 소유자 또는 작업 집합 2 |
중요한 데이터 위협 탐지 테스트 | 구독 소유자 또는 작업 집합 1 | 스토리지 계정 소유자 또는 작업 집합 2 |
참고 항목
Defender for Storage를 사용하도록 설정하면 활동 모니터링이 항상 활성화됩니다.
작업 집합은 사용자 지정 역할을 만드는 데 사용할 수 있는 Azure 리소스 공급자 작업의 컬렉션입니다. Storage용 Defender 및 해당 기능을 사용하도록 설정하기 위한 작업 집합은 다음과 같습니다.
작업 집합 1: 구독 수준 사용 및 구성
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
작업 집합 2: 스토리지 계정 수준 사용 및 구성
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read(구독 수준에서 부여해야 합니다).
- Microsoft.Security/datascanners/write(구독 수준에서 부여해야 합니다).
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete