Conditions préalables pour Microsoft Defender pour le stockage
Cet article répertorie les conditions préalables et les autorisations requises pour activer Defender pour le stockage et ses fonctionnalités.
Prérequis
Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.
Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.
Les types de stockage suivants sont pris en charge :
- Surveillance de l’activité stockage Blob (Standard/Stockage Premium V2, y compris Data Lake Gen2), analyse des programmes malveillants, découverte de données sensibles.
- Fichiers Azure (via API REST et SMB) : surveillance des activités.
Autorisations requises pour activer Defender pour le stockage
Selon le scénario, vous avez besoin de différents niveaux d’autorisations pour activer Defender pour le stockage et ses fonctionnalités. Vous pouvez activer et configurer Defender pour le stockage au niveau de l’abonnement ou au niveau du compte de stockage. Vous pouvez également utiliser des stratégies Azure intégrées pour activer Defender pour le stockage et appliquer son activation sur une étendue souhaitée.
Le tableau suivant récapitule les autorisations dont vous avez besoin pour chaque scénario. Les autorisations sont des rôles Azure intégrés ou des jeux d’actions que vous pouvez affecter à des rôles personnalisés.
Fonctionnalité | Niveau de l’abonnement | Niveau de compte de stockage |
---|---|---|
Surveillance de l’activité | Administrateur de la sécurité ou Tarifications/lecture, Tarifications/écriture | Administration de sécurité ou Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
Analyse des programmes malveillants | Propriétaire de l’abonnement ou jeu d’actions 1 | Propriétaire du compte de stockage ou jeu d’actions 2 |
Détection des menaces sur les données sensibles | Propriétaire de l’abonnement ou jeu d’actions 1 | Propriétaire du compte de stockage ou jeu d’actions 2 |
Remarque
La surveillance de l’activité est toujours activée lorsque vous activez Defender pour le stockage.
Les jeux d’actions sont des collections d’opérations de fournisseur de ressources Azure que vous pouvez utiliser pour créer des rôles personnalisés. Les jeux d’actions pour activer Defender pour le stockage et ses fonctionnalités sont les suivants :
Jeu d’actions 1 : Activation et configuration au niveau de l’abonnement
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Jeu d’actions 2 : Activation et configuration au niveau du compte de stockage
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (doit être accordé au niveau de l’abonnement)
- Microsoft.Security/datascanners/write (doit être accordé au niveau de l’abonnement)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete