다음을 통해 공유

스토리지용 Defender 및 해당 기능을 사용하도록 설정하기 위한 필수 권한

  • 아티클

이 문서에서는 스토리지용 Defender 및 해당 기능을 사용하도록 설정하는 데 필요한 권한을 나열합니다.

Microsoft Defender for Storage는 스토리지 정에 대한 잠재적 위협을 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다.

  • 활동 모니터링: 데이터 평면 및 컨트롤 플레인 활동을 분석하고 Microsoft 위협 인텔리전스, 동작 모델링 및 기계 학습을 사용하여 스토리지 계정에서 의심스러운 활동을 검색합니다.

  • 맬웨어 검사: Microsoft Defender 바이러스 백신을 사용하여 업로드된 모든 Blob을 거의 실시간으로 검사하여 악의적인 콘텐츠로부터 스토리지 계정을 보호합니다.

  • 중요한 데이터 위협 검색: 중요한 데이터 검색 엔진에서 검색한 데이터 민감도에 따라 보안 경고의 우선 순위를 지정하고, 노출 이벤트 및 의심스러운 활동을 감지하여 데이터 위반에 대한 보호를 강화합니다.

시나리오에 따라 스토리지용 Defender 및 해당 기능을 사용하도록 설정하려면 다양한 수준의 권한이 필요합니다. 구독 수준 또는 스토리지 계정 수준에서 Storage용 Defender를 사용하도록 설정하고 구성할 수 있습니다. 기본 제공 Azure 정책을 사용하여 스토리지용 Defender를 사용하도록 설정하고 원하는 scope 사용하도록 설정할 수도 있습니다.

다음 표에서는 각 시나리오에 필요한 사용 권한을 요약합니다. 권한은 사용자 지정 역할에 할당할 수 있는 기본 제공 Azure 역할 또는 작업 집합입니다.

기능 구독 수준 스토리지 계정 수준
활동 모니터링 보안 관리 또는 가격 책정/읽기, 가격 책정/쓰기 보안 관리 또는 Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
맬웨어 검사 구독 소유자 또는 작업 집합 1 스토리지 계정 소유자 또는 작업 집합 2
중요한 데이터 위협 탐지 테스트 구독 소유자 또는 작업 집합 1 스토리지 계정 소유자 또는 작업 집합 2

참고

스토리지용 Defender를 사용하도록 설정하면 활동 모니터링이 항상 활성화됩니다.

작업 집합은 사용자 지정 역할을 만드는 데 사용할 수 있는 Azure 리소스 공급자 작업의 컬렉션입니다. 스토리지용 Defender 및 해당 기능을 사용하도록 설정하기 위한 작업 집합은 다음과 같습니다.

작업 집합 1: 구독 수준 사용 및 구성

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

작업 집합 2: 스토리지 계정 수준 사용 및 구성

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete