Aracılığıyla paylaş

Depolama için Defender'ı ve özelliklerini etkinleştirmek için gerekli izinler

  • Makale

Bu makalede, Depolama için Defender'ı ve özelliklerini etkinleştirmek için gereken izinler listelenmiştir.

Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılayan Azure'a özel bir güvenlik zekası katmanıdır. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması.

  • Etkinlik izleme: Veri düzlemi ve kontrol düzlemi etkinliklerini analiz ederek ve Microsoft Threat Intelligence, davranış modellemesi ve makine öğrenmesi kullanarak depolama hesaplarındaki şüpheli etkinlikleri algılar.

  • Kötü Amaçlı Yazılım Taraması: Depolama hesaplarını kötü amaçlı içeriklerden korumak için Microsoft Defender Virüsten Koruma kullanarak karşıya yüklenen tüm blobları neredeyse gerçek zamanlı olarak tarar.

  • Hassas veri tehdidi algılama: Güvenlik uyarılarının önceliğini Hassas Veri Bulma Altyapısı tarafından bulunan veri duyarlılığına göre ayarlar, açığa çıkarma olaylarını ve şüpheli etkinlikleri algılar ve veri ihlallerine karşı korumayı geliştirir.

Senaryoya bağlı olarak, Depolama için Defender'ı ve özelliklerini etkinleştirmek için farklı izin düzeylerine ihtiyacınız vardır. Depolama için Defender'ı abonelik düzeyinde veya depolama hesabı düzeyinde etkinleştirebilir ve yapılandırabilirsiniz. Depolama için Defender'ı etkinleştirmek ve etkinleştirmesini istediğiniz kapsamda zorunlu kılmak için yerleşik Azure ilkelerini de kullanabilirsiniz.

Aşağıdaki tabloda her senaryo için gereken izinler özetlemektedir. İzinler, özel rollere atayabileceğiniz yerleşik Azure rolleri veya eylem kümeleridir.

Özellik Abonelik düzeyinde Depolama hesabı düzeyi
Etkinlik izleme Güvenlik Yöneticisi veya Fiyatlandırmalar/okuma, Fiyatlandırmalar/yazma Güvenlik Yöneticisi veya Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Kötü amaçlı yazılım taraması Abonelik Sahibi veya eylem kümesi 1 Depolama Hesabı Sahibi veya eylem kümesi 2
Hassas veri tehdidi algılama Abonelik Sahibi veya eylem kümesi 1 Depolama Hesabı Sahibi veya eylem kümesi 2

Not

Depolama için Defender'i etkinleştirdiğinizde etkinlik izleme her zaman etkinleştirilir.

Eylem kümeleri, özel roller oluşturmak için kullanabileceğiniz Azure kaynak sağlayıcısı işlemlerinin koleksiyonlarıdır. Depolama için Defender'ı ve özelliklerini etkinleştirmeye yönelik eylem kümeleri şunlardır:

Eylem kümesi 1: Abonelik düzeyi etkinleştirme ve yapılandırma

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Eylem kümesi 2: Depolama hesabı düzeyi etkinleştirme ve yapılandırma

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (abonelik düzeyinde verilmelidir)
  • Microsoft.Security/datascanners/write (abonelik düzeyinde verilmelidir)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete