Krav för Microsoft Defender för Storage
I den här artikeln visas de krav och behörigheter som krävs för att aktivera Defender för Lagring och dess funktioner.
Förutsättningar
Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.
Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.
Följande lagringstyper stöds:
Blob Storage (Standard/Premium StorageV2, inklusive Data Lake Gen2) Aktivitetsövervakning, Genomsökning av skadlig kod, identifiering av känsliga data.
Azure Files (via REST API och SMB): Aktivitetsövervakning.
Lagringskonton som tillhör en resursgrupp med något av följande namn stöds inte:
App_Browsers,App_Code,App_Data,App_GlobalResources,App_LocalResources,App_Themes, ,App_WebReferences.Bin
Behörigheter som krävs för att aktivera Defender för lagring
Beroende på scenariot behöver du olika behörighetsnivåer för att aktivera Defender för Storage och dess funktioner. Du kan aktivera och konfigurera Defender för Lagring på prenumerationsnivå eller på lagringskontonivå. Du kan också använda inbyggda Azure-principer för att aktivera Defender för Lagring och framtvinga dess aktivering på ett önskat omfång.
I följande tabell sammanfattas de behörigheter du behöver för varje scenario. Behörigheterna är antingen inbyggda Azure-roller eller åtgärdsuppsättningar som du kan tilldela till anpassade roller.
| Kapacitet | Prenumerationsnivå | Lagringskontonivå |
|---|---|---|
| Aktivitetsövervakning | Säkerhetsadministratör eller prissättning/läsning, priser/skrivning | Säkerhetsadministratör eller Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Genomsökning av skadlig kod | Prenumerationsägare eller åtgärdsuppsättning 1 | Ägare eller åtgärdsuppsättning för lagringskonto 2 |
| Hotidentifiering av känsliga data | Prenumerationsägare eller åtgärdsuppsättning 1 | Ägare eller åtgärdsuppsättning för lagringskonto 2 |
Kommentar
Aktivitetsövervakning aktiveras alltid när du aktiverar Defender för lagring.
Åtgärdsuppsättningarna är samlingar av Azure-resursprovideråtgärder som du kan använda för att skapa anpassade roller. Åtgärdsuppsättningarna för att aktivera Defender för Storage och dess funktioner är:
Åtgärdsuppsättning 1: Aktivering och konfiguration på prenumerationsnivå
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Åtgärdsuppsättning 2: Aktivering och konfiguration på lagringskontonivå
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (måste beviljas på prenumerationsnivå)
- Microsoft.Security/datascanners/write (måste beviljas på prenumerationsnivå)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete