Voraussetzungen für Microsoft Defender für Speicher

In diesem Artikel werden die Voraussetzungen und Berechtigungen aufgeführt, die zum Aktivieren von Microsoft Defender für Speicher und deren Features erforderlich sind.

Voraussetzungen

• Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

• Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

• Die folgenden Speichertypen werden unterstützt:

  Funktionalität	Azure Blob Standard	Azure Blob Premium v2	Azure Page Blob	Azure Data Lake Storage Gen2	Azure Blob (Standard + Premium) + NFS 3.0	Azure File Standard (SMB)	Azure File Premium Provisioned v1/v2 (SMB)
  Aktivitätsüberwachung	Unterstützt	Unterstützt	Unterstützt	Unterstützt	Nicht unterstützt	Unterstützt	Unterstützt
  Ermittlung vertraulicher Daten	Unterstützt	Unterstützt	Unterstützt	Unterstützt	Nicht unterstützt	Unterstützt	Nicht unterstützt
  Scannen von Schadsoftware beim Hochladen	Nur für Blobs unterstützt	Nur für Blobs unterstützt	Nicht unterstützt	Nur für Blobs unterstützt	Nur für Blobs unterstützt	Nicht unterstützt	Nicht unterstützt
  On-demand Malware Scanning	Unterstützt	Unterstützt	Nicht unterstützt	Unterstützt	Unterstützt	Unterstützt	Nicht unterstützt

• Speicherkonten, die zu einer Ressourcengruppe mit einem der folgenden Namen gehören, werden nicht unterstützt: App_Browsers, , App_CodeApp_Data, App_GlobalResourcesApp_LocalResourcesApp_ThemesApp_WebReferences. Bin

Erlaubnisse

Je nach Szenario benötigen Sie unterschiedliche Berechtigungsstufen, um Defender für Speicher und die zugehörigen Features zu aktivieren. Sie können Defender für Speicher auf Abonnementebene oder auf Speicherkontoebene aktivieren und konfigurieren. Sie können auch integrierte Azure-Richtlinien verwenden, um Defender for Storage zu aktivieren und die Aktivierung auf einem gewünschten Bereich zu erzwingen.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die Sie für jedes Szenario benötigen. Die Berechtigungen sind entweder integrierte Azure-Rollen oder Aktionssätze, die Sie benutzerdefinierten Rollen zuweisen können.

Die Aktionssätze sind Sammlungen von Azure-Ressourcenanbietervorgängen, die Sie zum Erstellen benutzerdefinierter Rollen verwenden können. Die Aktionssätze zum Aktivieren von Defender für Speicher und deren Features sind wie folgt.

Aktionssatz 1: Aktivieren und Konfiguration auf Abonnementebene

• Microsoft.Security/pricings/write
• Microsoft.Security/pricings/read
• Microsoft.Security/pricings/SecurityOperators/read
• Microsoft.Security/pricings/SecurityOperators/write
• Microsoft.Authorization/roleAssignments/read
• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Aktionssatz 2: Aktivieren und Konfiguration auf Speicherkontoebene

• Microsoft.Storage/storageAccounts/write
• Microsoft.Storage/storageAccounts/read
• Microsoft.Security/datascanners/read (muss auf Abonnementebene gewährt werden)
• Microsoft.Security/datascanners/write (muss auf Abonnementebene erteilt werden)
• Microsoft.Security/defenderforstoragesettings/read
• Microsoft.Security/defenderforstoragesettings/write
• Microsoft.EventGrid/eventSubscriptions/read
• Microsoft.EventGrid/eventSubscriptions/write
• Microsoft.EventGrid/eventSubscriptions/delete
• Microsoft.Authorization/roleAssignments/read
• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Zugehöriger Inhalt

• Allgemeine Fragen zu Defender for Storage