Autorisations requises pour activer Defender pour le stockage et ses fonctionnalités

  • Article

Cet article répertorie les autorisations requises pour activer Defender pour le stockage et ses fonctionnalités.

Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données.

  • Surveillance des activités : détecte les activités suspectes dans les comptes de stockage en analysant les activités du plan de données et du plan de contrôle et en utilisant Microsoft Threat Intelligence, la modélisation comportementale et le Machine Learning.

  • Analyse des programmes malveillants : analyse tous les objets blob chargés en quasi-temps réel à l’aide de Antivirus Microsoft Defender pour protéger les comptes de stockage contre le contenu malveillant.

  • Détection des menaces de données sensibles : hiérarchise les alertes de sécurité basées sur la sensibilité des données découvertes par le moteur de découverte de données sensibles, détecte les événements d’exposition et les activités suspectes, améliorant ainsi la protection contre les violations de données.

Selon le scénario, vous avez besoin de différents niveaux d’autorisations pour activer Defender pour le stockage et ses fonctionnalités. Vous pouvez activer et configurer Defender pour le stockage au niveau de l’abonnement ou au niveau du compte de stockage. Vous pouvez également utiliser des stratégies Azure intégrées pour activer Defender pour le stockage et appliquer son activation sur une étendue souhaitée.

Le tableau suivant récapitule les autorisations dont vous avez besoin pour chaque scénario. Les autorisations sont des rôles Azure intégrés ou des jeux d’actions que vous pouvez affecter à des rôles personnalisés.

Fonctionnalité Niveau de l’abonnement Niveau de compte de stockage
Surveillance de l’activité Administrateur de la sécurité ou Tarifications/lecture, Tarifications/écriture Administration de sécurité ou Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Analyse des programmes malveillants Propriétaire de l’abonnement ou jeu d’actions 1 Propriétaire du compte de stockage ou jeu d’actions 2
Détection des menaces sur les données sensibles Propriétaire de l’abonnement ou jeu d’actions 1 Propriétaire du compte de stockage ou jeu d’actions 2

Remarque

La surveillance de l’activité est toujours activée lorsque vous activez Defender pour le stockage.

Les jeux d’actions sont des collections d’opérations de fournisseur de ressources Azure que vous pouvez utiliser pour créer des rôles personnalisés. Les jeux d’actions pour activer Defender pour le stockage et ses fonctionnalités sont les suivants :

Jeu d’actions 1 : Activation et configuration au niveau de l’abonnement

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Jeu d’actions 2 : Activation et configuration au niveau du compte de stockage

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (doit être accordé au niveau de l’abonnement)
  • Microsoft.Security/datascanners/write (doit être accordé au niveau de l’abonnement)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete