Autorizzazioni necessarie per abilitare Defender per Archiviazione e le relative funzionalità
Questo articolo elenca le autorizzazioni necessarie per abilitare Defender per Archiviazione e le relative funzionalità.
Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati.
Monitoraggio delle attività: rileva le attività sospette negli account di archiviazione analizzando le attività del piano dati e del piano di controllo e usando Microsoft Threat Intelligence, la modellazione comportamentale e l'apprendimento automatico.
Analisi malware: analizza tutti i BLOB caricati quasi in tempo reale usando Antivirus Microsoft Defender per proteggere gli account di archiviazione da contenuti dannosi.
Rilevamento delle minacce ai dati sensibili: assegna priorità agli avvisi di sicurezza in base alla riservatezza dei dati rilevata dal motore di individuazione dati sensibili, rileva gli eventi di esposizione e le attività sospette, migliorando la protezione dalle violazioni dei dati.
A seconda dello scenario, sono necessari diversi livelli di autorizzazioni per abilitare Defender per Archiviazione e le relative funzionalità. È possibile abilitare e configurare Defender per Archiviazione a livello di sottoscrizione o a livello di account di archiviazione. È anche possibile usare criteri di Azure predefiniti per abilitare Defender per Archiviazione e applicarne l'abilitazione in un ambito desiderato.
La tabella seguente riepiloga le autorizzazioni necessarie per ogni scenario. Le autorizzazioni sono ruoli predefiniti di Azure o set di azioni che è possibile assegnare ai ruoli personalizzati.
Funzionalità | a livello della sottoscrizione | Livello account di archiviazione |
---|---|---|
Monitoraggio attività | Amministratore della sicurezza o Prezzi/lettura, Prezzi/scrittura | Amministratore della sicurezza o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
Analisi malware | Proprietario della sottoscrizione o set di azioni 1 | Proprietario o set di azioni dell'account di archiviazione 2 |
Rilevamento delle minacce per i dati sensibili | Proprietario della sottoscrizione o set di azioni 1 | Proprietario o set di azioni dell'account di archiviazione 2 |
Nota
Il monitoraggio delle attività è sempre abilitato quando si abilita Defender per Archiviazione.
I set di azioni sono raccolte di operazioni del provider di risorse di Azure che è possibile usare per creare ruoli personalizzati. I set di azioni per abilitare Defender per Archiviazione e le relative funzionalità sono:
Set di azioni 1: abilitazione e configurazione a livello di sottoscrizione
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Set di azioni 2: abilitazione e configurazione a livello di account di archiviazione
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (deve essere concesso a livello di sottoscrizione)
- Microsoft.Security/datascanners/write (deve essere concesso a livello di sottoscrizione)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete