Vereisten voor Microsoft Defender voor Storage
Dit artikel bevat de vereisten en machtigingen die vereist zijn om Defender for Storage en de bijbehorende functies in te schakelen.
Vereisten
U hebt een Microsoft Azure-abonnement nodig. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.
De volgende opslagtypen worden ondersteund:
- Blob Storage (Standard/Premium StorageV2, waaronder Data Lake Gen2) Activiteitscontrole, malwarescans, gevoelige gegevensdetectie.
- Azure Files (via REST API en SMB): Activiteitenbewaking.
Vereiste machtigingen voor het inschakelen van Defender for Storage
Afhankelijk van het scenario hebt u verschillende machtigingsniveaus nodig om Defender for Storage en de bijbehorende functies in te schakelen. U kunt Defender for Storage inschakelen en configureren op abonnementsniveau of op opslagaccountniveau. U kunt ook ingebouwde Azure-beleidsregels gebruiken om Defender for Storage in te schakelen en de activering ervan af te dwingen voor een gewenst bereik.
De volgende tabel bevat een overzicht van de machtigingen die u nodig hebt voor elk scenario. De machtigingen zijn ingebouwde Azure-rollen of actiesets die u kunt toewijzen aan aangepaste rollen.
| Mogelijkheid | Abonnementsniveau | Opslagaccountniveau |
|---|---|---|
| Controle van activiteiten | Beveiligingsbeheerder of prijzen/lezen, prijzen/schrijven | Beveiligingsbeheerder of Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Malware scannen | Abonnementseigenaar of actieset 1 | Eigenaar van opslagaccount of actieset 2 |
| Detectie van bedreigingen voor gevoelige gegevens | Abonnementseigenaar of actieset 1 | Eigenaar van opslagaccount of actieset 2 |
Notitie
Activiteitenbewaking wordt altijd ingeschakeld wanneer u Defender for Storage inschakelt.
De actiesets zijn verzamelingen bewerkingen van Azure-resourceproviders die u kunt gebruiken om aangepaste rollen te maken. De actiesets voor het inschakelen van Defender voor Opslag en de bijbehorende functies zijn:
Actieset 1: Activering en configuratie op abonnementsniveau
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Actieset 2: Activering en configuratie op opslagaccountniveau
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (moet worden verleend op abonnementsniveau)
- Microsoft.Security/datascanners/write (moet worden verleend op abonnementsniveau)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete