Požadovaná oprávnění pro povolení Defenderu pro úložiště a jeho funkcí
Tento článek obsahuje seznam oprávnění potřebných k povolení Defenderu pro úložiště a jeho funkcí.
Microsoft Defender for Storage je vrstva inteligentních funkcí zabezpečení nativní pro Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrávání škodlivých souborů, exfiltrace citlivých dat a poškození dat.
Monitorování aktivit: Detekuje podezřelé aktivity v účtech úložiště tím, že analyzuje aktivity roviny dat a řídicí roviny a používá Microsoft Threat Intelligence, behaviorální modelování a strojové učení.
Kontrola malwaru: Kontroluje všechny nahrané objekty blob téměř v reálném čase pomocí Microsoft Defender Antivirus a chrání účty úložiště před škodlivým obsahem.
Detekce hrozeb citlivých dat: Určuje prioritu výstrah zabezpečení na základě citlivosti dat zjištěných modulem pro zjišťování citlivých dat, detekuje události vystavení a podezřelé aktivity a zvyšuje ochranu před únikem dat.
V závislosti na scénáři potřebujete různé úrovně oprávnění k povolení Defenderu pro úložiště a jeho funkcí. Defender for Storage můžete povolit a nakonfigurovat na úrovni předplatného nebo na úrovni účtu úložiště. Pomocí předdefinovaných zásad Azure můžete také povolit Defender for Storage a vynutit jeho povolení v požadovaném oboru.
Následující tabulka shrnuje oprávnění, která potřebujete pro jednotlivé scénáře. Oprávnění jsou buď předdefinované role Azure, nebo sady akcí, které můžete přiřadit k vlastním rolím.
| Schopnost | Úroveň předplatného | Úroveň účtu úložiště |
|---|---|---|
| Monitorování aktivit | Bezpečnostní Správa nebo ceny/čtení, ceny/zápis | Security Správa nebo Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Kontrola malwaru | Vlastník předplatného nebo sada akcí 1 | Vlastník účtu úložiště nebo sada akcí 2 |
| Detekce hrozeb citlivých dat | Vlastník předplatného nebo sada akcí 1 | Vlastník účtu úložiště nebo sada akcí 2 |
Poznámka
Monitorování aktivit je vždy povolené, když povolíte Defender for Storage.
Sady akcí jsou kolekce operací poskytovatele prostředků Azure, které můžete použít k vytváření vlastních rolí. Sady akcí pro povolení Defenderu pro úložiště a jeho funkce jsou:
Sada akcí 1: Povolení a konfigurace na úrovni předplatného
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Sada akcí 2: Povolení a konfigurace na úrovni účtu úložiště
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro