Необходимые разрешения для включения Defender для хранилища и его функций

  • Статья

В этой статье перечислены разрешения, необходимые для включения Defender для хранилища и его функций.

Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: отправку вредоносных файлов, кражу конфиденциальных данных и повреждение данных.

  • Мониторинг активности. Обнаруживает подозрительные действия в учетных записях хранения, анализируя действия плоскости данных и уровня управления и используя Microsoft Threat Intelligence, моделирование поведения и машинное обучение.

  • Сканирование вредоносных программ: Сканирует все отправленные BLOB-объекты почти в реальном времени с помощью антивирусной программы Microsoft Defender для защиты учетных записей хранения от вредоносного содержимого.

  • Обнаружение угроз для конфиденциальных данных. Определяет приоритеты оповещений системы безопасности на основе конфиденциальности данных, обнаруженных подсистемой обнаружения конфиденциальных данных, выявляет события раскрытия и подозрительные действия, повышая защиту от бреша данных.

В зависимости от сценария для включения Defender для службы хранилища и его функций требуются различные уровни разрешений. Вы можете включить и настроить Defender для хранилища на уровне подписки или на уровне учетной записи хранения. Вы также можете использовать встроенные политики Azure для включения Defender для хранилища и принудительного применения его включения в требуемом область.

В следующей таблице перечислены разрешения, необходимые для каждого сценария. Разрешения представляют собой встроенные роли Azure или наборы действий, которые можно назначить пользовательским ролям.

Функция Уровень подписки Уровень учетной записи хранения
Мониторинг активности Безопасность Администратор или цены/чтение, цены/запись Администратор безопасности или Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Проверка вредоносных программ Владелец подписки или набор действий 1 Владелец учетной записи хранения или набор действий 2
Обнаружение угроз для конфиденциальных данных Владелец подписки или набор действий 1 Владелец учетной записи хранения или набор действий 2

Примечание

Мониторинг действий всегда включен при включении Defender для хранилища.

Наборы действий — это коллекции операций поставщика ресурсов Azure, которые можно использовать для создания пользовательских ролей. Наборы действий для включения Defender для хранилища и его функций:

Набор действий 1. Включение и настройка уровня подписки

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write.
  • Microsoft.Authorization/roleAssignments/delete

Набор действий 2. Включение и настройка уровня учетной записи хранения

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write.
  • Microsoft.Authorization/roleAssignments/delete