Condividi tramite

Autorizzazioni necessarie per abilitare Defender per Archiviazione e le relative funzionalità

  • Articolo

Questo articolo elenca le autorizzazioni necessarie per abilitare Defender per Archiviazione e le relative funzionalità.

Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati.

  • Monitoraggio delle attività: rileva le attività sospette negli account di archiviazione analizzando le attività del piano dati e del piano di controllo e usando Microsoft Threat Intelligence, la modellazione comportamentale e l'apprendimento automatico.

  • Analisi malware: analizza tutti i BLOB caricati quasi in tempo reale usando Antivirus Microsoft Defender per proteggere gli account di archiviazione da contenuti dannosi.

  • Rilevamento delle minacce ai dati sensibili: assegna priorità agli avvisi di sicurezza in base alla riservatezza dei dati rilevata dal motore di individuazione dati sensibili, rileva gli eventi di esposizione e le attività sospette, migliorando la protezione dalle violazioni dei dati.

A seconda dello scenario, sono necessari diversi livelli di autorizzazioni per abilitare Defender per Archiviazione e le relative funzionalità. È possibile abilitare e configurare Defender per Archiviazione a livello di sottoscrizione o a livello di account di archiviazione. È anche possibile usare criteri di Azure predefiniti per abilitare Defender per Archiviazione e applicarne l'abilitazione in un ambito desiderato.

La tabella seguente riepiloga le autorizzazioni necessarie per ogni scenario. Le autorizzazioni sono ruoli predefiniti di Azure o set di azioni che è possibile assegnare ai ruoli personalizzati.

Funzionalità a livello della sottoscrizione Livello account di archiviazione
Monitoraggio attività Amministratore della sicurezza o Prezzi/lettura, Prezzi/scrittura Amministratore della sicurezza o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Analisi malware Proprietario della sottoscrizione o set di azioni 1 Proprietario o set di azioni dell'account di archiviazione 2
Rilevamento delle minacce per i dati sensibili Proprietario della sottoscrizione o set di azioni 1 Proprietario o set di azioni dell'account di archiviazione 2

Nota

Il monitoraggio delle attività è sempre abilitato quando si abilita Defender per Archiviazione.

I set di azioni sono raccolte di operazioni del provider di risorse di Azure che è possibile usare per creare ruoli personalizzati. I set di azioni per abilitare Defender per Archiviazione e le relative funzionalità sono:

Set di azioni 1: abilitazione e configurazione a livello di sottoscrizione

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Set di azioni 2: abilitazione e configurazione a livello di account di archiviazione

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (deve essere concesso a livello di sottoscrizione)
  • Microsoft.Security/datascanners/write (deve essere concesso a livello di sottoscrizione)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete