Voraussetzungen für Microsoft Defender für Speicher
In diesem Artikel werden die Voraussetzungen und Berechtigungen aufgeführt, die zum Aktivieren von Defender für Speicher und deren Features erforderlich sind.
Voraussetzungen
Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Die folgenden Speichertypen werden unterstützt:
- Blob Storage (Standard/Storage Premium V2, einschließlich Data Lake Gen2) Aktivitätsüberwachung, Schadsoftwareüberprüfung, vertrauliche Datenermittlung.
- Azure Files (über REST-API und SMB): Aktivitätsüberwachung
Zum Aktivieren von Defender for Storage erforderliche Berechtigungen
Je nach Szenario benötigen Sie unterschiedliche Berechtigungsstufen, um Defender für Speicher und die zugehörigen Features zu aktivieren. Sie können Defender für Speicher auf Abonnementebene oder auf Speicherkontoebene aktivieren und konfigurieren. Sie können auch integrierte Azure-Richtlinien verwenden, um Defender for Storage zu aktivieren und die Aktivierung auf einem gewünschten Bereich zu erzwingen.
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die Sie für jedes Szenario benötigen. Die Berechtigungen sind entweder integrierte Azure-Rollen oder Aktionssätze, die Sie benutzerdefinierten Rollen zuweisen können.
| Funktionalität | Abonnementebene | Speicherkontoebene |
|---|---|---|
| Aktivitätsüberwachung | Sicherheitsadministrator oder Preise/Lese-, Preis-/Schreibzugriff | Sicherheitsadministrator oder Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Malware-Überprüfung | Abonnementbesitzer oder Aktionssatz 1 | Speicherkontobesitzer oder Aktionssatz 2 |
| Bedrohungserkennung für vertrauliche Daten | Abonnementbesitzer oder Aktionssatz 1 | Speicherkontobesitzer oder Aktionssatz 2 |
Hinweis
Die Aktivitätsüberwachung ist immer aktiviert, wenn Sie Defender für Speicher aktivieren.
Die Aktionssätze sind Sammlungen von Azure-Ressourcenanbietervorgängen, die Sie zum Erstellen benutzerdefinierter Rollen verwenden können. Die Aktionssätze zum Aktivieren von Defender für Speicher und deren Features sind:
Aktionssatz 1: Aktivierung und Konfiguration auf Abonnementebene
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Aktionssatz 2: Aktivierung und Konfiguration der Speicherkontoebene
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (muss auf Abonnementebene gewährt werden)
- Microsoft.Security/datascanners/write (muss auf Abonnementebene erteilt werden)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete