Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wymagania wstępne i uprawnienia wymagane do włączenia usługi Microsoft Defender for Storage i jej funkcji.
Wymagania wstępne
Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.
Obsługiwane są następujące typy magazynów:
Możliwość Azure Blob Standard Azure Blob Premium v2 Stronicowy obiekt blob platformy Azure Azure Data Lake Storage Gen 2 Azure Blob (Standardowa + Premium) + NFS 3.0 Azure File Standard (SMB) Azure File Premium Provisioned v1/v2 (SMB) Monitorowanie aktywności Wsparte Wsparte Wsparte Wsparte Niewspierane Wsparte Wsparte Odnajdywanie poufnych danych Wsparte Wsparte Wsparte Wsparte Niewspierane Wsparte Niewspierane Przekazywanie skanowania złośliwego oprogramowania Obsługiwane tylko w przypadku obiektów blob Obsługiwane tylko w przypadku obiektów blob Niewspierane Obsługiwane tylko w przypadku obiektów blob Obsługiwane tylko w przypadku obiektów blob Niewspierane Niewspierane Skanowanie złośliwego oprogramowania na żądanie Wsparte Wsparte Niewspierane Wsparte Wsparte Wsparte Niewspierane Konta magazynu należące do grupy zasobów o dowolnej z następujących nazw nie są obsługiwane:
App_Browsers,App_Code,App_DataApp_GlobalResourcesApp_LocalResourcesApp_Themes, , .App_WebReferencesBin
Permissions
W zależności od scenariusza potrzebne są różne poziomy uprawnień, aby włączyć usługę Defender for Storage i jej funkcje. Usługę Defender for Storage można włączyć i skonfigurować na poziomie subskrypcji lub na poziomie konta magazynu. Możesz również użyć wbudowanych zasad platformy Azure, aby włączyć usługę Defender for Storage i wymusić jej włączenie w żądanym zakresie.
W poniższej tabeli przedstawiono podsumowanie uprawnień potrzebnych dla każdego scenariusza. Uprawnienia są wbudowanymi rolami platformy Azure lub zestawami akcji, które można przypisać do ról niestandardowych.
| Możliwość | Poziom subskrypcji | Poziom konta magazynu |
|---|---|---|
| Monitorowanie aktywności | Administrator zabezpieczeń lub cennik/odczyt, cennik/zapis | Administrator zabezpieczeń lub Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Skanowanie złośliwego oprogramowania | Właściciel subskrypcji lub zestaw akcji 1 | Zestaw akcji 2 |
| Wykrywanie zagrożeń poufnych danych | Właściciel subskrypcji lub zestaw akcji 1 | Zestaw akcji 2 |
Uwaga
Monitorowanie aktywności jest zawsze włączone po włączeniu usługi Defender for Storage.
Zestawy akcji to kolekcje operacji dostawcy zasobów platformy Azure, których można użyć do tworzenia ról niestandardowych. Zestawy akcji umożliwiające włączenie usługi Defender for Storage i jej funkcji są następujące.
Zestaw akcji 1: Włączanie i konfiguracja na poziomie subskrypcji
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Autoryzacja/przypisaniaRól/odczyt
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/usuń
Zestaw akcji 2: Włączanie i konfiguracja na poziomie konta magazynu
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (należy przyznać na poziomie subskrypcji)
- Microsoft.Security/datascanners/write (należy przyznać na poziomie subskrypcji)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Autoryzacja/przypisaniaRól/odczyt
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/usuń