Behörigheter som krävs för att aktivera Defender för Storage och dess funktioner
Den här artikeln innehåller de behörigheter som krävs för att aktivera Defender for Storage och dess funktioner.
Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data.
Aktivitetsövervakning: Identifierar misstänkta aktiviteter i lagringskonton genom att analysera dataplans- och kontrollplansaktiviteter och använda Microsoft Threat Intelligence, beteendemodellering och maskininlärning.
Skanning av skadlig kod: Söker igenom alla uppladdade blobar nästan i realtid med hjälp av Microsoft Defender Antivirus för att skydda lagringskonton från skadligt innehåll.
Hotidentifiering av känsliga data: Prioriterar säkerhetsaviseringar baserat på datakänslighet som identifieras av den känsliga dataidentifieringsmotorn, identifierar exponeringshändelser och misstänkta aktiviteter, vilket förbättrar skyddet mot dataintrång.
Beroende på scenariot behöver du olika behörighetsnivåer för att aktivera Defender för Storage och dess funktioner. Du kan aktivera och konfigurera Defender för Lagring på prenumerationsnivå eller på lagringskontonivå. Du kan också använda inbyggda Azure-principer för att aktivera Defender för Storage och framtvinga dess aktivering i ett önskat omfång.
I följande tabell sammanfattas de behörigheter du behöver för varje scenario. Behörigheterna är antingen inbyggda Azure-roller eller åtgärdsuppsättningar som du kan tilldela till anpassade roller.
| Funktion | Prenumerationsnivå | Lagringskontonivå |
|---|---|---|
| Aktivitetsövervakning | Säkerhet Admin eller priser/läsning, priser/skrivning | Säkerhet Admin eller Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Skanning av skadlig kod | Prenumerationsägare eller åtgärdsuppsättning 1 | Ägare eller åtgärdsuppsättning för lagringskonto 2 |
| Hotidentifiering av känsliga data | Prenumerationsägare eller åtgärdsuppsättning 1 | Ägare eller åtgärdsuppsättning för lagringskonto 2 |
Anteckning
Aktivitetsövervakning aktiveras alltid när du aktiverar Defender för Lagring.
Åtgärdsuppsättningarna är samlingar av Azure-resursprovideråtgärder som du kan använda för att skapa anpassade roller. Åtgärdsuppsättningarna för att aktivera Defender för Storage och dess funktioner är:
Åtgärdsuppsättning 1: Aktivering och konfiguration på prenumerationsnivå
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Åtgärdsuppsättning 2: Aktivering och konfiguration på lagringsnivå
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för