Autorizzazioni necessarie per abilitare Defender per l'archiviazione e le relative funzionalità
Questo articolo elenca le autorizzazioni necessarie per abilitare Defender for Storage e le relative funzionalità.
Microsoft Defender per l'archiviazione è un livello nativo di intelligence per la sicurezza di Azure che rileva potenziali minacce agli account di archiviazione. Consente di prevenire i tre principali effetti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione dei dati sensibili e danneggiamento dei dati.
Monitoraggio attività: Rileva attività sospette negli account di archiviazione analizzando le attività del piano dati e del piano di controllo e usando Microsoft Threat Intelligence, la modellazione comportamentale e l'apprendimento automatico.
Analisi malware: Analizza tutti i BLOB caricati in tempo quasi reale usando Microsoft Defender Antivirus per proteggere gli account di archiviazione da contenuti dannosi.
Rilevamento delle minacce sensibili ai dati: Assegna priorità agli avvisi di sicurezza in base alla riservatezza dei dati rilevati dal motore di individuazione dati sensibili, rileva gli eventi di esposizione e le attività sospette, migliorando la protezione dalle violazioni dei dati.
A seconda dello scenario, sono necessari diversi livelli di autorizzazioni per abilitare Defender for Storage e le relative funzionalità. È possibile abilitare e configurare Defender per l'archiviazione a livello di sottoscrizione o a livello di account di archiviazione. È anche possibile usare criteri di Azure predefiniti per abilitare Defender for Storage e applicare il relativo abilitazione in un ambito desiderato.
Nella tabella seguente vengono riepilogate le autorizzazioni necessarie per ogni scenario. Le autorizzazioni sono ruoli o set di azioni predefiniti di Azure che è possibile assegnare ai ruoli personalizzati.
| Funzionalità | Livello di sottoscrizione | Livello account di archiviazione |
|---|---|---|
| Monitoraggio attività | Sicurezza Amministrazione o prezzi/lettura, prezzi/scrittura | Sicurezza Amministrazione o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Analisi malware | Proprietario della sottoscrizione o set di azioni 1 | Proprietario dell'account di archiviazione o set di azioni 2 |
| Rilevamento delle minacce sensibili ai dati | Proprietario della sottoscrizione o set di azioni 1 | Proprietario dell'account di archiviazione o set di azioni 2 |
Nota
Il monitoraggio delle attività è sempre abilitato quando si abilita Defender per l'archiviazione.
I set di azioni sono raccolte di operazioni del provider di risorse di Azure che è possibile usare per creare ruoli personalizzati. I set di azioni per abilitare Defender for Storage e le relative funzionalità sono:
Set di azioni 1: abilitazione e configurazione a livello di sottoscrizione
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Set di azioni 2: abilitazione e configurazione a livello di account di archiviazione
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per