Udostępnij za pośrednictwem

Wymagane uprawnienia do włączania usługi Defender for Storage i jej funkcji

  • Artykuł

W tym artykule wymieniono uprawnienia wymagane do włączenia usługi Defender for Storage i jej funkcji.

Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych.

  • Monitorowanie działań: wykrywa podejrzane działania na kontach magazynu, analizując działania płaszczyzny danych i płaszczyzny sterowania oraz korzystając z funkcji Microsoft Threat Intelligence, modelowania behawioralnego i uczenia maszynowego.

  • Skanowanie w poszukiwaniu złośliwego oprogramowania: skanuje wszystkie przekazane obiekty blob niemal w czasie rzeczywistym przy użyciu Program antywirusowy Microsoft Defender w celu ochrony kont magazynu przed złośliwą zawartością.

  • Wykrywanie zagrożeń poufnych danych: określa priorytety alertów zabezpieczeń na podstawie poufności danych wykrytych przez aparat odnajdywania danych poufnych, wykrywa zdarzenia narażenia i podejrzane działania, zwiększając ochronę przed naruszeniami danych.

W zależności od scenariusza potrzebne są różne poziomy uprawnień, aby włączyć usługę Defender for Storage i jej funkcje. Usługę Defender for Storage można włączyć i skonfigurować na poziomie subskrypcji lub na poziomie konta magazynu. Możesz również użyć wbudowanych zasad platformy Azure, aby włączyć usługę Defender for Storage i wymusić jej włączenie w żądanym zakresie.

Poniższa tabela zawiera podsumowanie uprawnień potrzebnych dla każdego scenariusza. Uprawnienia są wbudowanymi rolami platformy Azure lub zestawami akcji, które można przypisać do ról niestandardowych.

Możliwość Poziom subskrypcji Poziom konta magazynu
Monitorowanie aktywności Administrator zabezpieczeń lub cennik/odczyt, cennik/zapis Administrator zabezpieczeń lub Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Skanowanie złośliwego oprogramowania Właściciel subskrypcji lub zestaw akcji 1 Właściciel konta magazynu lub zestaw akcji 2
Wykrywanie zagrożeń poufnych danych Właściciel subskrypcji lub zestaw akcji 1 Właściciel konta magazynu lub zestaw akcji 2

Uwaga

Monitorowanie aktywności jest zawsze włączone po włączeniu usługi Defender for Storage.

Zestawy akcji to kolekcje operacji dostawcy zasobów platformy Azure, których można użyć do tworzenia ról niestandardowych. Zestawy akcji umożliwiające włączenie usługi Defender for Storage i jej funkcji to:

Zestaw akcji 1: Włączanie i konfiguracja na poziomie subskrypcji

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Zestaw akcji 2: Włączanie i konfiguracja na poziomie konta magazynu

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (należy przyznać na poziomie subskrypcji)
  • Microsoft.Security/datascanners/write (należy przyznać na poziomie subskrypcji)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete