Share via

Permisos necesarios para habilitar Defender para Storage y sus características

  • Artículo

En este artículo se enumeran los permisos necesarios para habilitar Defender para Storage y sus características.

Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados.

  • Supervisión de la actividad: Detecta actividades sospechosas en cuentas de almacenamiento mediante el análisis del plano de datos y las actividades del plano de control y el uso de Inteligencia sobre amenazas de Microsoft, modelado de comportamiento y aprendizaje automático.

  • Examen de malware: Examina todos los blobs cargados casi en tiempo real mediante Microsoft Defender Antivirus para proteger las cuentas de almacenamiento frente a contenido malintencionado.

  • Detección de amenazas de datos confidenciales: Prioriza las alertas de seguridad basadas en la confidencialidad de los datos detectadas por el motor de detección de datos confidenciales, detecta eventos de exposición y actividades sospechosas, lo que mejora la protección contra las infracciones de datos.

En función del escenario, necesita distintos niveles de permisos para habilitar Defender para Storage y sus características. Puede habilitar y configurar Defender para Storage en el nivel de suscripción o en el nivel de cuenta de almacenamiento. También puede usar directivas de Azure integradas para habilitar Defender para Storage y aplicar su habilitación en un ámbito deseado.

En la tabla siguiente se resumen los permisos que necesita para cada escenario. Los permisos son roles de Azure integrados o conjuntos de acciones que puede asignar a roles personalizados.

Capacidad Nivel de suscripción Nivel de cuenta de almacenamiento
Supervisión de la actividad Administrador de seguridad o Precios/lectura, Precios/escritura Administrador de seguridad o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Examen de malware Propietario de la suscripción o conjunto de acciones 1 Propietario de la cuenta de almacenamiento o conjunto de acciones 2
Detección de amenazas de datos confidenciales Propietario de la suscripción o conjunto de acciones 1 Propietario de la cuenta de almacenamiento o conjunto de acciones 2

Nota

La supervisión de la actividad siempre está habilitada cuando se habilita Defender para Storage.

Los conjuntos de acciones son colecciones de operaciones del proveedor de recursos de Azure que puede usar para crear roles personalizados. Los conjuntos de acciones para habilitar Defender para Storage y sus características son:

Conjunto de acciones 1: habilitación y configuración del nivel de la suscripción

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Conjunto de acciones 2: habilitación y configuración del nivel de la cuenta de almacenamiento

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete