你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用 Defender for Storage 及其功能所需的权限
本文列出了启用 Defender for Storage 及其功能所需的权限。
Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。
活动监视:通过分析数据平面和控制平面活动,以及使用 Microsoft 威胁智能、行为建模和机器学习来检测存储帐户中的可疑活动。
恶意软件扫描:使用 Microsoft Defender 防病毒近实时扫描所有上传的 Blob,以保护存储帐户免受恶意内容的攻击。
敏感数据威胁检测:根据敏感数据发现引擎发现的数据敏感度确定安全警报的优先级,检测暴露事件和可疑活动,从而增强对数据泄露的保护。
根据方案,你需要不同级别的权限来启用 Defender for Storage 及其功能。 可以在订阅级别或存储帐户级别启用和配置 Defender for Storage。 还可以使用内置的 Azure 策略来启用 Defender for Storage,并在所需的范围内强制启用它。
下表汇总了针对每个方案所需的权限。 这些权限是内置的 Azure 角色,或可分配给自定义角色的操作集。
| 功能 | 订阅级别 | 存储帐户级别 |
|---|---|---|
| 活动监视 | 安全管理员或定价/读取、定价/写入 | 安全管理员或 Microsoft.Security/defenderforstoragesettings/read,Microsoft.Security/defenderforstoragesettings/write |
| 恶意软件扫描 | 订阅所有者或操作集 1 | 存储帐户所有者或操作集 2 |
| 敏感数据威胁检测 | 订阅所有者或操作集 1 | 存储帐户所有者或操作集 2 |
注意
启用 Defender for Storage 后,将始终启用活动监视。
操作集是可用于创建自定义角色的 Azure 资源提供程序操作的集合。 用于启用 Defender for Storage 及其功能的操作集包括:
操作集 1:订阅级别的启用和配置
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
操作集 2:存储帐户级别的启用和配置
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read(必须在订阅级别授予)
- Microsoft.Security/datascanners/write(必须在订阅级别授予)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete