Wymagania wstępne dotyczące usługi Microsoft Defender for Storage
W tym artykule wymieniono wymagania wstępne i uprawnienia wymagane do włączenia usługi Defender for Storage i jej funkcji.
Wymagania wstępne
Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.
Obsługiwane są następujące typy magazynów:
Monitorowanie aktywności usługi Blob Storage (Standardowa/Premium StorageV2, w tym Data Lake Gen2), skanowanie złośliwego oprogramowania, odnajdywanie poufnych danych.
Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB): monitorowanie aktywności.
Konta magazynu należące do grupy zasobów o dowolnej z następujących nazw nie są obsługiwane:
App_Browsers,App_Code,App_LocalResourcesApp_GlobalResourcesApp_ThemesApp_Data, , .BinApp_WebReferences
Uprawnienia wymagane do włączenia usługi Defender for Storage
W zależności od scenariusza potrzebne są różne poziomy uprawnień, aby włączyć usługę Defender for Storage i jej funkcje. Usługę Defender for Storage można włączyć i skonfigurować na poziomie subskrypcji lub na poziomie konta magazynu. Możesz również użyć wbudowanych zasad platformy Azure, aby włączyć usługę Defender for Storage i wymusić jej włączenie w żądanym zakresie.
Poniższa tabela zawiera podsumowanie uprawnień potrzebnych dla każdego scenariusza. Uprawnienia są wbudowanymi rolami platformy Azure lub zestawami akcji, które można przypisać do ról niestandardowych.
| Możliwość | Poziom subskrypcji | Poziom konta magazynu |
|---|---|---|
| Monitorowanie aktywności | Administrator zabezpieczeń lub cennik/odczyt, cennik/zapis | Administrator zabezpieczeń lub Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Skanowanie złośliwego oprogramowania | Właściciel subskrypcji lub zestaw akcji 1 | Właściciel konta magazynu lub zestaw akcji 2 |
| Wykrywanie zagrożeń poufnych danych | Właściciel subskrypcji lub zestaw akcji 1 | Właściciel konta magazynu lub zestaw akcji 2 |
Uwaga
Monitorowanie aktywności jest zawsze włączone po włączeniu usługi Defender for Storage.
Zestawy akcji to kolekcje operacji dostawcy zasobów platformy Azure, których można użyć do tworzenia ról niestandardowych. Zestawy akcji umożliwiające włączenie usługi Defender for Storage i jej funkcji to:
Zestaw akcji 1: Włączanie i konfiguracja na poziomie subskrypcji
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Zestaw akcji 2: Włączanie i konfiguracja na poziomie konta magazynu
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (należy przyznać na poziomie subskrypcji)
- Microsoft.Security/datascanners/write (należy przyznać na poziomie subskrypcji)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete