다음을 통해 공유

스토리지용 Microsoft Defender의 필수 구성 요소

이 문서에서는 스토리지용 Microsoft Defender 및 해당 기능을 사용하도록 설정하는 데 필요한 필수 구성 요소 및 권한을 나열합니다.

필수 조건

  • Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.

  • Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.

  • 지원되는 스토리지 유형은 다음과 같습니다.

    기능 Azure Blob Standard Azure Blob Premium v2 Azure 페이지 Blob Azure Data Lake Storage Gen 2 Azure Blob(표준 + 프리미엄) + NFS 3.0 Azure File Standard(SMB) Azure File Premium 프로비저닝된 v1/v2(SMB)
    작업 모니터링 지원됨 지원됨 지원됨 지원됨 지원되지 않음 지원됨 지원됨
    중요한 데이터 검색 지원됨 지원됨 지원됨 지원됨 지원되지 않음 지원됨 지원되지 않음
    온-업로드 맬웨어 검사 Blob에 대해서만 지원됨 Blob에 대해서만 지원됨 지원되지 않음 Blob에 대해서만 지원됨 Blob에 대해서만 지원됨 지원되지 않음 지원되지 않음
    주문형 맬웨어 검사 지원됨 지원됨 지원되지 않음 지원됨 지원됨 지원됨 지원되지 않음

  • 리소스 그룹에 속하는 스토리지 계정은 지원되지 않습니다App_BrowsersApp_CodeApp_DataApp_GlobalResourcesApp_LocalResourcesApp_ThemesApp_WebReferencesBin.

Permissions

시나리오에 따라 Storage용 Defender 및 해당 기능을 사용하도록 설정하려면 다양한 수준의 권한이 필요합니다. 구독 수준 또는 스토리지 계정 수준에서 Defender for Storage를 사용하도록 설정하고 구성할 수 있습니다. 기본 제공 Azure 정책을 사용하여 Defender for Storage를 사용하도록 설정하고 원하는 범위에서 해당 사용 권한을 적용할 수도 있습니다.

다음 표에서는 각 시나리오에 필요한 사용 권한을 요약합니다. 권한은 사용자 지정 역할에 할당할 수 있는 기본 제공 Azure 역할 또는 작업 집합입니다.

기능 구독 수준 스토리지 계정 수준
활동 모니터링 보안 관리자 또는 가격 책정/읽기, 가격 책정/쓰기 보안 관리자 또는 Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
맬웨어 검사 구독 소유자 또는 작업 집합 1 작업 집합 2
중요한 데이터 위협 검색 구독 소유자 또는 작업 집합 1 작업 집합 2

참고 항목

Defender for Storage를 사용하도록 설정하면 활동 모니터링이 항상 활성화됩니다.

작업 집합은 사용자 지정 역할을 만드는 데 사용할 수 있는 Azure 리소스 공급자 작업의 컬렉션입니다. 스토리지용 Defender 및 해당 기능을 사용하도록 설정하는 작업 집합은 다음과 같습니다.

작업 집합 1: 구독 수준의 사용 및 구성

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read (역할 할당 읽기)
  • Microsoft.Authorization/roleAssignments/write (역할 할당 쓰기)
  • Microsoft.Authorization/roleAssignments/delete

작업 집합 2: 스토리지 계정 수준에서 사용 및 구성

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read(구독 수준에서 부여해야 합니다).
  • Microsoft.Security/datascanners/write(구독 수준에서 부여해야 합니다).
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read (마이크로소프트 이벤트 그리드의 이벤트 구독 읽기)
  • Microsoft.EventGrid/eventSubscriptions/write (이벤트 구독을 작성하는 명령)
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read (역할 할당 읽기)
  • Microsoft.Authorization/roleAssignments/write (역할 할당 쓰기)
  • Microsoft.Authorization/roleAssignments/delete

관련 콘텐츠

  • Last updated on