通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender for Storage 的先决条件

  • 项目

本文列出了启用 Defender for Storage 及其功能所需的先决条件和权限。

先决条件

  • 需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅,可以注册免费订阅

  • 必须在 Azure 订阅上启用 Microsoft Defender for Cloud

  • 支持以下存储类型:

    • Blob 存储(标准/高级存储V2,包括 Data Lake Gen2)活动监视、恶意软件扫描、敏感数据发现。
    • Azure 文件存储(通过 REST API 和 SMB):活动监视。

启用 Defender for Storage 所需的权限

根据方案,你需要不同级别的权限来启用 Defender for Storage 及其功能。 可以在订阅级别或存储帐户级别启用和配置 Defender for Storage。 还可以使用内置的 Azure 策略来启用 Defender for Storage,并在所需的范围内强制启用它。

下表汇总了针对每个方案所需的权限。 这些权限是内置的 Azure 角色,或可分配给自定义角色的操作集。

功能 订阅级别 存储帐户级别
活动监视 安全管理员或定价/读取、定价/写入 安全管理员或 Microsoft.Security/defenderforstoragesettings/read,Microsoft.Security/defenderforstoragesettings/write
恶意软件扫描 订阅所有者或操作集 1 存储帐户所有者或操作集 2
敏感数据威胁检测 订阅所有者或操作集 1 存储帐户所有者或操作集 2

注意

启用 Defender for Storage 后,将始终启用活动监视。

操作集是可用于创建自定义角色的 Azure 资源提供程序操作的集合。 用于启用 Defender for Storage 及其功能的操作集包括:

操作集 1:订阅级别的启用和配置

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

操作集 2:存储帐户级别的启用和配置

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read(必须在订阅级别授予)
  • Microsoft.Security/datascanners/write(必须在订阅级别授予)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

相关内容