Compartilhar via

Permissões exigidas para habilitar o Defender para Armazenamento e seus recursos

  • Artigo

Esse artigo lista as permissões necessárias para habilitar o Defender para Armazenamento e seus recursos.

O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos.

  • Monitoramento de atividades: detecta atividades suspeitas em contas de armazenamento, analisando as atividades do plano de dados e do plano de controle e utilizando a Inteligência contra Ameaças da Microsoft, a modelagem comportamental e o aprendizado de máquina.

  • Verificação de malware: verifica todos os blobs carregados quase em tempo real utilizando o Microsoft Defender Antivirus para proteger as contas de armazenamento contra conteúdo mal-intencionado.

  • Detecção de ameaças a dados confidenciais:. prioriza os alertas de segurança com base na confidencialidade dos dados descoberta pelo Mecanismo de Descoberta de Dados Confidenciais, detecta eventos de exposição e atividades suspeitas, aprimorando a proteção contra violações de dados.

Dependendo do cenário, você precisará de diferentes níveis de permissões para habilitar o Defender para Armazenamento e seus recursos. Você pode habilitar e configurar o Defender para Armazenamento no nível da assinatura ou no nível da conta de armazenamento. Também é possível utilizar as políticas internas do Azure para habilitar o Defender para Armazenamento e impor sua habilitação em um escopo desejado.

A seguinte tabela resume as permissões necessárias para cada cenário. As permissões são funções internas do Azure ou conjuntos de ações que você pode atribuir a funções personalizadas.

Funcionalidade Nível de assinatura Nível da conta de armazenamento
Monitorando de atividades Administrador de Segurança ou Preços/leitura, Preços/gravação Administração de Segurança ou Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Verificação de malware Proprietário da Assinatura ou conjunto de ações 1 Proprietário da Conta de Armazenamento ou conjunto de ações 2
Detecção de ameaças de dados confidenciais Proprietário da Assinatura ou conjunto de ações 1 Proprietário da Conta de Armazenamento ou conjunto de ações 2

Observação

O monitoramento de atividades sempre é habilitado quando você habilita o Defender para Armazenamento.

Os conjuntos de ações são coleções de operações do provedor de recursos do Azure que você pode utilizar para criar funções personalizadas. Os conjuntos de ações para habilitar o Defender para Armazenamento e seus recursos são:

Conjunto de ações 1: habilitação e configuração no nível da assinatura

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Conjunto de ações 2: habilitação e configuração no nível da conta de armazenamento

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (deve ser concedido no nível da assinatura)
  • Microsoft.Security/datascanners/write (deve ser concedido no nível da assinatura)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete