Необходимые разрешения для включения Defender для хранилища и ее функций

  • Статья

В этой статье перечислены разрешения, необходимые для включения Defender для хранилища и ее функций.

Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных.

  • Мониторинг действий. Обнаружение подозрительных действий в учетных записях хранения путем анализа действий плоскости данных и плоскости управления и использования Microsoft Threat Intelligence, моделирования поведения и машинного обучения.

  • Сканирование вредоносных программ: сканирует все отправленные большие двоичные объекты практически в реальном времени с помощью антивирусная программа в Microsoft Defender для защиты учетных записей хранения от вредоносного содержимого.

  • Обнаружение угроз конфиденциальных данных: определяет приоритеты оповещений системы безопасности на основе конфиденциальности данных, обнаруженных обработчиком обнаружения конфиденциальных данных, обнаруживает события воздействия и подозрительные действия, повышая защиту от нарушений данных.

В зависимости от сценария требуются различные уровни разрешений для включения Defender для хранилища и ее функций. Вы можете включить и настроить Defender для хранилища на уровне подписки или на уровне учетной записи хранения. Вы также можете использовать встроенные политики Azure, чтобы включить Defender для хранилища и применить его включение в нужной области.

В следующей таблице перечислены необходимые разрешения для каждого сценария. Разрешения — это встроенные роли Azure или наборы действий, которые можно назначить пользовательским ролям.

Возможность Уровень подписки Уровень учетной записи хранения
Мониторинг активности Администратор безопасности или цены/ чтение, цены и запись Администратор безопасности или Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Сканирование вредоносных программ Владелец подписки или набор действий 1 Владелец учетной записи хранения или набор действий 2
Обнаружение угроз конфиденциальных данных Владелец подписки или набор действий 1 Владелец учетной записи хранения или набор действий 2

Примечание.

Мониторинг действий всегда включен при включении Defender для хранилища.

Наборы действий — это коллекции операций поставщика ресурсов Azure, которые можно использовать для создания пользовательских ролей. Наборы действий для включения Defender для хранилища и его функций:

Набор действий 1. Включение и настройка уровня подписки

  • Microsoft.Security/pricings/write
  • Microsoft.Security/pricings/read
  • Microsoft.Security/pricings/SecurityOperator/read
  • Microsoft.Security/pricings/SecurityOperator/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write.
  • Microsoft.Authorization/roleAssignments/delete

Набор действий 2. Включение и настройка уровня учетной записи хранения

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (необходимо предоставить на уровне подписки)
  • Microsoft.Security/datascanners/write (необходимо предоставить на уровне подписки)
  • Microsoft.Security/defenderforstoragesettings/read
  • Microsoft.Security/defenderforstoragesettings/write
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write.
  • Microsoft.Authorization/roleAssignments/delete