Pré-requisitos para o Microsoft Defender for Storage
Este artigo lista os pré-requisitos e permissões necessários para habilitar o Defender for Storage e seus recursos.
Pré-requisitos
Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
Os seguintes tipos de armazenamento são suportados:
- Blob Storage (Standard/Premium StorageV2, incluindo Data Lake Gen2) Monitoramento de atividades, verificação de malware, descoberta de dados confidenciais.
- Arquivos do Azure (sobre API REST e SMB): monitoramento de atividades.
Permissões necessárias para ativar o Defender for Storage
Dependendo do cenário, você precisa de diferentes níveis de permissões para habilitar o Defender for Storage e seus recursos. Você pode habilitar e configurar o Defender for Storage no nível da assinatura ou na conta de armazenamento. Você também pode usar políticas internas do Azure para habilitar o Defender for Storage e impor sua habilitação em um escopo desejado.
A tabela a seguir resume as permissões necessárias para cada cenário. As permissões são funções internas do Azure ou conjuntos de ações que você pode atribuir a funções personalizadas.
| Funcionalidade | Nível da subscrição | Nível da conta de armazenamento |
|---|---|---|
| Monitorização da atividade | Administrador de Segurança ou Preços/leitura, Preços/gravação | Security Admin ou Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Verificação de malware | Proprietário da subscrição ou conjunto de ações 1 | Proprietário da conta de armazenamento ou conjunto de ações 2 |
| Deteção de ameaças a dados confidenciais | Proprietário da subscrição ou conjunto de ações 1 | Proprietário da conta de armazenamento ou conjunto de ações 2 |
Nota
O monitoramento de atividades é sempre ativado quando você ativa o Defender for Storage.
Os conjuntos de ações são coleções de operações do provedor de recursos do Azure que você pode usar para criar funções personalizadas. Os conjuntos de ações para habilitar o Defender for Storage e seus recursos são:
Conjunto de ações 1: Ativação e configuração do nível de assinatura
- Microsoft.Security/preços/gravação
- Microsoft.Security/preços/leitura
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Conjunto de ações 2: Ativação e configuração no nível da conta de armazenamento
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (deve ser concedido ao nível da subscrição)
- Microsoft.Security/datascanners/write (deve ser concedido ao nível da subscrição)
- Microsoft.Security/defenderforstoragesettings/ler
- Microsoft.Security/defenderforstoragesettings/gravação
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete