Предварительные требования для Microsoft Defender для хранилища
В этой статье перечислены предварительные требования и разрешения, необходимые для включения Defender для хранилища и ее функций.
Необходимые компоненты
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Поддерживаются следующие типы хранилища:
- Хранилище BLOB-объектов (standard/хранилище класса Premium V2, включая мониторинг активности Data Lake 2-го поколения), сканирование вредоносных программ, обнаружение конфиденциальных данных.
- Файлы Azure (по REST API и SMB): мониторинг активности.
Разрешения, необходимые для включения Defender для хранилища
В зависимости от сценария требуются различные уровни разрешений для включения Defender для хранилища и ее функций. Вы можете включить и настроить Defender для хранилища на уровне подписки или на уровне учетной записи хранения. Вы также можете использовать встроенные политики Azure, чтобы включить Defender для хранилища и применить его включение в нужной области.
В следующей таблице перечислены необходимые разрешения для каждого сценария. Разрешения — это встроенные роли Azure или наборы действий, которые можно назначить пользовательским ролям.
| Возможность | Уровень подписки | Уровень учетной записи хранения |
|---|---|---|
| Мониторинг активности | Администратор безопасности или цены/ чтение, цены и запись | Администратор безопасности или Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Сканирование вредоносных программ | Владелец подписки или набор действий 1 | Владелец учетной записи хранения или набор действий 2 |
| Обнаружение угроз конфиденциальных данных | Владелец подписки или набор действий 1 | Владелец учетной записи хранения или набор действий 2 |
Примечание.
Мониторинг действий всегда включен при включении Defender для хранилища.
Наборы действий — это коллекции операций поставщика ресурсов Azure, которые можно использовать для создания пользовательских ролей. Наборы действий для включения Defender для хранилища и его функций:
Набор действий 1. Включение и настройка уровня подписки
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperator/read
- Microsoft.Security/pricings/SecurityOperator/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write.
- Microsoft.Authorization/roleAssignments/delete
Набор действий 2. Включение и настройка уровня учетной записи хранения
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (необходимо предоставить на уровне подписки)
- Microsoft.Security/datascanners/write (необходимо предоставить на уровне подписки)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write.
- Microsoft.Authorization/roleAssignments/delete