Vereiste machtigingen voor het inschakelen van Defender for Storage en de bijbehorende functies
Dit artikel bevat de machtigingen die vereist zijn om Defender for Storage en de bijbehorende functies in te schakelen.
Microsoft Defender for Storage is een systeemeigen beveiligingslaag van Azure waarmee potentiƫle bedreigingen voor uw opslagaccounts worden gedetecteerd. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens.
Activiteitscontrole: Detecteert verdachte activiteiten in opslagaccounts door activiteiten in het gegevensvlak en besturingsvlak te analyseren en Microsoft Threat Intelligence, gedragsmodellering en machine learning te gebruiken.
Scannen van malware: scant alle geĆ¼ploade blobs in bijna realtime met Microsoft Defender Antivirus om opslagaccounts te beschermen tegen schadelijke inhoud.
Detectie van bedreigingen voor gevoelige gegevens: geeft prioriteit aan beveiligingswaarschuwingen op basis van gegevensgevoeligheid die zijn gedetecteerd door de Discovery Engine voor gevoelige gegevens, detecteert blootstellingsgebeurtenissen en verdachte activiteiten, waardoor de beveiliging tegen gegevensschendingen wordt verbeterd.
Afhankelijk van het scenario hebt u verschillende machtigingsniveaus nodig om Defender for Storage en de bijbehorende functies in te schakelen. U kunt Defender for Storage inschakelen en configureren op abonnementsniveau of op opslagaccountniveau. U kunt ook ingebouwde Azure-beleidsregels gebruiken om Defender for Storage in te schakelen en de activering ervan af te dwingen voor een gewenst bereik.
De volgende tabel bevat een overzicht van de machtigingen die u nodig hebt voor elk scenario. De machtigingen zijn ingebouwde Azure-rollen of actiesets die u kunt toewijzen aan aangepaste rollen.
Mogelijkheid | Abonnementsniveau | Opslagaccountniveau |
---|---|---|
Controle van activiteiten | Beveiligingsbeheerder of prijzen/lezen, prijzen/schrijven | Beveiligingsbeheerder of Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
Malware scannen | Abonnementseigenaar of actieset 1 | Eigenaar van opslagaccount of actieset 2 |
Detectie van bedreigingen voor gevoelige gegevens | Abonnementseigenaar of actieset 1 | Eigenaar van opslagaccount of actieset 2 |
Notitie
Activiteitenbewaking wordt altijd ingeschakeld wanneer u Defender for Storage inschakelt.
De actiesets zijn verzamelingen bewerkingen van Azure-resourceproviders die u kunt gebruiken om aangepaste rollen te maken. De actiesets voor het inschakelen van Defender voor Opslag en de bijbehorende functies zijn:
Actieset 1: Activering en configuratie op abonnementsniveau
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Actieset 2: Activering en configuratie op opslagaccountniveau
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (moet worden verleend op abonnementsniveau)
- Microsoft.Security/datascanners/write (moet worden verleend op abonnementsniveau)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete