Nödvändiga behörigheter för att aktivera Defender för Storage och dess funktioner
Den här artikeln innehåller de behörigheter som krävs för att aktivera Defender for Storage och dess funktioner.
Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data.
Aktivitetsövervakning: Identifierar misstänkta aktiviteter i lagringskonton genom att analysera dataplans- och kontrollplansaktiviteter och använda Microsoft Threat Intelligence, beteendemodellering och maskininlärning.
Genomsökning av skadlig kod: Söker igenom alla uppladdade blobar nästan i realtid med hjälp av Microsoft Defender antivirusni program för att skydda lagringskonton från skadligt innehåll.
Identifiering av känsligt datahot: Prioriterar säkerhetsaviseringar baserat på datakänslighet som identifieras av den känsliga dataidentifieringsmotorn, identifierar exponeringshändelser och misstänkta aktiviteter, vilket förbättrar skyddet mot dataintrång.
Beroende på scenariot behöver du olika behörighetsnivåer för att aktivera Defender för Storage och dess funktioner. Du kan aktivera och konfigurera Defender för Lagring på prenumerationsnivå eller på lagringskontonivå. Du kan också använda inbyggda Azure-principer för att aktivera Defender för Lagring och framtvinga dess aktivering på ett önskat omfång.
I följande tabell sammanfattas de behörigheter du behöver för varje scenario. Behörigheterna är antingen inbyggda Azure-roller eller åtgärdsuppsättningar som du kan tilldela till anpassade roller.
| Kapacitet | Prenumerationsnivå | Lagringskontonivå |
|---|---|---|
| Aktivitetsövervakning | Säkerhetsadministratör eller prissättning/läsning, priser/skrivning | Säkerhetsadministratör eller Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Genomsökning av skadlig kod | Prenumerationsägare eller åtgärdsuppsättning 1 | Ägare eller åtgärdsuppsättning för lagringskonto 2 |
| Hotidentifiering av känsliga data | Prenumerationsägare eller åtgärdsuppsättning 1 | Ägare eller åtgärdsuppsättning för lagringskonto 2 |
Kommentar
Aktivitetsövervakning aktiveras alltid när du aktiverar Defender för lagring.
Åtgärdsuppsättningarna är samlingar av Azure-resursprovideråtgärder som du kan använda för att skapa anpassade roller. Åtgärdsuppsättningarna för att aktivera Defender för Storage och dess funktioner är:
Åtgärdsuppsättning 1: Aktivering och konfiguration på prenumerationsnivå
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Åtgärdsuppsättning 2: Aktivering och konfiguration på lagringskontonivå
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (måste beviljas på prenumerationsnivå)
- Microsoft.Security/datascanners/write (måste beviljas på prenumerationsnivå)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete