Udostępnij za pośrednictwem


Wymagania wstępne dotyczące usługi Microsoft Defender for Storage

W tym artykule wymieniono wymagania wstępne i uprawnienia wymagane do włączenia usługi Defender for Storage i jej funkcji.

Wymagania wstępne

  • Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

  • Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.

  • Obsługiwane są następujące typy magazynów:

    • Usługa Blob Storage (Standardowa/Premium StorageV2, w tym usługa Data Lake Gen2), monitorowanie działań, skanowanie złośliwego oprogramowania, odnajdywanie poufnych danych.
    • Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB): monitorowanie aktywności.

Uprawnienia wymagane do włączenia usługi Defender for Storage

W zależności od scenariusza potrzebne są różne poziomy uprawnień, aby włączyć usługę Defender for Storage i jej funkcje. Usługę Defender for Storage można włączyć i skonfigurować na poziomie subskrypcji lub na poziomie konta magazynu. Możesz również użyć wbudowanych zasad platformy Azure, aby włączyć usługę Defender for Storage i wymusić jej włączenie w żądanym zakresie.

Poniższa tabela zawiera podsumowanie uprawnień potrzebnych dla każdego scenariusza. Uprawnienia są wbudowanymi rolami platformy Azure lub zestawami akcji, które można przypisać do ról niestandardowych.

Możliwość Poziom subskrypcji Poziom konta magazynu
Monitorowanie aktywności Administrator zabezpieczeń lub cennik/odczyt, cennik/zapis Administrator zabezpieczeń lub Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Skanowanie złośliwego oprogramowania Właściciel subskrypcji lub zestaw akcji 1 Właściciel konta magazynu lub zestaw akcji 2
Wykrywanie zagrożeń poufnych danych Właściciel subskrypcji lub zestaw akcji 1 Właściciel konta magazynu lub zestaw akcji 2

Uwaga

Monitorowanie aktywności jest zawsze włączone po włączeniu usługi Defender for Storage.

Zestawy akcji to kolekcje operacji dostawcy zasobów platformy Azure, których można użyć do tworzenia ról niestandardowych. Zestawy akcji umożliwiające włączenie usługi Defender for Storage i jej funkcji to:

Zestaw akcji 1: Włączanie i konfiguracja na poziomie subskrypcji

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Zestaw akcji 2: Włączanie i konfiguracja na poziomie konta magazynu

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (należy przyznać na poziomie subskrypcji)
  • Microsoft.Security/datascanners/write (należy przyznać na poziomie subskrypcji)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete