啟用適用於記憶體的Defender及其功能的必要許可權
本文列出啟用適用於記憶體的Defender及其功能所需的許可權。
適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。
活動監視: 藉由分析數據平面和控制平面活動,以及使用Microsoft威脅情報、行為模型化和機器學習,來偵測記憶體帳戶中的可疑活動。
惡意代碼掃描:使用 Microsoft Defender 防毒軟體 以近乎即時的方式掃描所有上傳的 Blob,以保護記憶體帳戶免於惡意內容。
敏感數據威脅偵測: 根據敏感數據探索引擎所探索的數據敏感度設定安全性警示的優先順序、偵測暴露事件和可疑活動,增強數據外泄的保護。
視案例而定,您需要不同層級的許可權,才能啟用適用於記憶體的Defender及其功能。 您可以在訂用帳戶層級或記憶體帳戶層級啟用及設定適用於記憶體的 Defender。 您也可以使用內建的 Azure 原則來啟用適用於記憶體的 Defender,並在所需的範圍上強制執行其啟用。
下表摘要說明每個案例所需的許可權。 許可權是內建的 Azure 角色或動作集,您可以指派給自定義角色。
| 功能 | 訂用帳戶層級 | 記憶體帳戶層級 |
|---|---|---|
| 活動監控 | 安全性管理員或定價/讀取、定價/寫入 | 安全性系統管理員或Microsoft.Security/defenderforstoragesettings/read,Microsoft.Security/defenderforstoragesettings/write |
| 惡意代碼掃描 | 訂用帳戶擁有者或動作集 1 | 記憶體帳戶擁有者或動作集 2 |
| 敏感性資料威脅偵測 | 訂用帳戶擁有者或動作集 1 | 記憶體帳戶擁有者或動作集 2 |
注意
啟用適用於記憶體的Defender時,一律會啟用活動監視。
動作集是可用來建立自定義角色的 Azure 資源提供者作業集合。 啟用適用於記憶體的 Defender 及其功能的動作集如下:
動作集 1:訂用帳戶層級啟用和設定
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
動作集 2:記憶體帳戶層級啟用和設定
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (必須在訂用帳戶層級授與)
- Microsoft.Security/datascanners/write (必須在訂用帳戶層級授與)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete