Pré-requisitos para Microsoft Defender para Armazenamento

Este artigo lista os pré-requisitos e permissões necessários para habilitar o Microsoft Defender para Armazenamento e seus recursos.

Pré-requisitos

• É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.

• Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.

• Há suporte para os tipos de armazenamento a seguir:

  Funcionalidade	Azure Blob Standard	Blob do Azure Premium v2	Blob de Páginas do Azure	Azure Data Lake Storage Gen2	Blob do Azure (Standard + Premium) + NFS 3.0	SMB (Padrão de Arquivo do Azure)	Arquivo do Azure Premium Provisionado v1/v2 (SMB)
  Monitoramento de Atividades	Suportado	Suportado	Suportado	Suportado	Sem suporte	Suportado	Suportado
  Descoberta de Dados Confidenciais	Suportado	Suportado	Suportado	Suportado	Sem suporte	Suportado	Sem suporte
  Verificação de malware ao carregar	Com suporte apenas para blobs	Com suporte apenas para blobs	Sem suporte	Com suporte apenas para blobs	Com suporte apenas para blobs	Sem suporte	Sem suporte
  Verificação de malware sob demanda	Suportado	Suportado	Sem suporte	Suportado	Suportado	Suportado	Sem suporte

• Não há suporte para contas de armazenamento que pertencem a um grupo de recursos com qualquer um dos seguintes nomes: , , , , , , , App_Browsers, App_Code. App_DataApp_GlobalResourcesApp_LocalResourcesApp_ThemesApp_WebReferencesBin

Permissions

Dependendo do cenário, você precisará de diferentes níveis de permissões para habilitar o Defender para Armazenamento e seus recursos. Você pode habilitar e configurar o Defender para Armazenamento no nível da assinatura ou no nível da conta de armazenamento. Também é possível utilizar as políticas internas do Azure para habilitar o Defender para Armazenamento e impor sua habilitação em um escopo desejado.

A tabela a seguir resume as permissões necessárias para cada cenário. As permissões são funções internas do Azure ou conjuntos de ações que você pode atribuir a funções personalizadas.

Os conjuntos de ações são coleções de operações do provedor de recursos do Azure que você pode utilizar para criar funções personalizadas. Os conjuntos de ações para habilitar o Defender para Armazenamento e seus recursos são os seguintes.

Conjunto de ações 1: Habilitação e configuração no nível da assinatura

• Microsoft.Security/pricings/write
• Microsoft.Security/pricings/read
• Microsoft.Security/pricings/SecurityOperators/read
• Microsoft.Security/pricings/SecurityOperators/write
• Microsoft.Authorization/roleAssignments/read
• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Conjunto de ações 2: Habilitação e configuração no nível da conta de armazenamento

• Microsoft.Storage/storageAccounts/write
• Microsoft.Storage/storageAccounts/read
• Microsoft.Security/datascanners/read (deve ser concedido no nível da assinatura)
• Microsoft.Security/datascanners/write (deve ser concedido no nível da assinatura)
• Microsoft.Security/defenderforstoragesettings/read
• Microsoft.Security/defenderforstoragesettings/write
• Microsoft.EventGrid/eventSubscriptions/read
• Microsoft.EventGrid/eventSubscriptions/write
• Microsoft.EventGrid/eventSubscriptions/delete
• Microsoft.Authorization/roleAssignments/read
• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Conteúdo relacionado

• Perguntas comuns sobre o Defender para Armazenamento