Izin yang diperlukan untuk mengaktifkan Defender for Storage dan fiturnya
Artikel ini mencantumkan izin yang diperlukan untuk mengaktifkan Defender for Storage dan fitur-fiturnya.
Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data.
Pemantauan aktivitas: Mendeteksi aktivitas mencurigakan di akun penyimpanan dengan menganalisis aktivitas sarana data dan sarana kontrol dan menggunakan Inteligensi Ancaman Microsoft, pemodelan perilaku, dan pembelajaran mesin.
Pemindaian Malware: Memindai semua blob yang diunggah hampir real time menggunakan Antivirus Microsoft Defender untuk melindungi akun penyimpanan dari konten berbahaya.
Deteksi ancaman data sensitif: Memprioritaskan pemberitahuan keamanan berdasarkan sensitivitas data yang ditemukan oleh Mesin Penemuan Data Sensitif, mendeteksi peristiwa paparan dan aktivitas mencurigakan, meningkatkan perlindungan terhadap pelanggaran data.
Bergantung pada skenarionya, Anda memerlukan tingkat izin yang berbeda untuk mengaktifkan Defender for Storage dan fitur-fiturnya. Anda dapat mengaktifkan dan mengonfigurasi Defender for Storage di tingkat langganan atau di tingkat akun penyimpanan. Anda juga dapat menggunakan kebijakan Azure bawaan untuk mengaktifkan Defender for Storage dan menerapkan pengaktifannya pada cakupan yang diinginkan.
Tabel berikut ini meringkas izin yang Anda butuhkan untuk setiap skenario. Izinnya adalah peran Azure bawaan atau kumpulan tindakan yang dapat Anda tetapkan ke peran kustom.
| Kemampuan | Tingkat langganan | Tingkat akun penyimpanan |
|---|---|---|
| Pemantauan aktivitas | Admin Keamanan atau Harga/baca, Harga/tulis | Admin Keamanan atau Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Pemindaian malware | Pemilik Langganan atau set tindakan 1 | Pemilik Akun Penyimpanan atau kumpulan tindakan 2 |
| Deteksi ancaman data sensitif | Pemilik Langganan atau set tindakan 1 | Pemilik Akun Penyimpanan atau kumpulan tindakan 2 |
Catatan
Pemantauan aktivitas selalu diaktifkan saat Anda mengaktifkan Defender for Storage.
Kumpulan tindakan adalah kumpulan operasi penyedia sumber daya Azure yang dapat Anda gunakan untuk membuat peran kustom. Set tindakan untuk mengaktifkan Defender for Storage dan fitur-fiturnya adalah:
Set tindakan 1: Pengaktifan dan konfigurasi tingkat langganan
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/baca
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Set tindakan 2: Pengaktifan dan konfigurasi tingkat akun penyimpanan
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/baca
- Microsoft.Security/datascanners/read (harus diberikan pada tingkat langganan)
- Microsoft.Security/datascanners/write (harus diberikan pada tingkat langganan)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/baca
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete