다음을 통해 공유

스토리지용 Microsoft Defender의 필수 구성 요소

  • 아티클

이 문서에서는 Storage용 Defender 및 해당 기능을 사용하도록 설정하는 데 필요한 필수 구성 요소 및 권한을 나열합니다.

필수 조건

  • Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.

  • Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.

  • 지원되는 스토리지 유형은 다음과 같습니다.

    • Blob Storage (Standard/Premium StorageV2, Data Lake Gen2 포함) 활동 모니터링, 맬웨어 검사, 중요한 데이터 검색

    • Azure Files(REST API 및 SMB를 통해): 활동 모니터링.

  • 리소스 그룹에 속하는 스토리지 계정은 지원되지 않습니다App_BrowsersApp_LocalResourcesApp_CodeApp_WebReferencesApp_DataApp_ThemesApp_GlobalResourcesBin.

Storage용 Defender를 사용하도록 설정하는 데 필요한 권한

시나리오에 따라 Storage용 Defender 및 해당 기능을 사용하도록 설정하려면 다양한 수준의 권한이 필요합니다. 구독 수준 또는 스토리지 계정 수준에서 Defender for Storage를 사용하도록 설정하고 구성할 수 있습니다. 기본 제공 Azure 정책을 사용하여 Defender for Storage를 사용하도록 설정하고 원하는 범위에서 해당 사용 권한을 적용할 수도 있습니다.

다음 표에서는 각 시나리오에 필요한 사용 권한을 요약합니다. 권한은 사용자 지정 역할에 할당할 수 있는 기본 제공 Azure 역할 또는 작업 집합입니다.

기능 구독 수준 스토리지 계정 수준
활동 모니터링 보안 관리자 또는 가격 책정/읽기, 가격 책정/쓰기 보안 관리자 또는 Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
맬웨어 검사 구독 소유자 또는 작업 집합 1 스토리지 계정 소유자 또는 작업 집합 2
중요한 데이터 위협 탐지 테스트 구독 소유자 또는 작업 집합 1 스토리지 계정 소유자 또는 작업 집합 2

참고 항목

Defender for Storage를 사용하도록 설정하면 활동 모니터링이 항상 활성화됩니다.

작업 집합은 사용자 지정 역할을 만드는 데 사용할 수 있는 Azure 리소스 공급자 작업의 컬렉션입니다. Storage용 Defender 및 해당 기능을 사용하도록 설정하기 위한 작업 집합은 다음과 같습니다.

작업 집합 1: 구독 수준 사용 및 구성

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

작업 집합 2: 스토리지 계정 수준 사용 및 구성

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read(구독 수준에서 부여해야 합니다).
  • Microsoft.Security/datascanners/write(구독 수준에서 부여해야 합니다).
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

관련 콘텐츠