Prerequisiti per Microsoft Defender per Archiviazione
Questo articolo elenca i prerequisiti e le autorizzazioni necessari per abilitare Defender per Archiviazione e le relative funzionalità.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
Sono supportati i tipi di archiviazione seguenti:
- Archiviazione BLOB (Standard/Archiviazione Premium V2, incluso il monitoraggio delle attività di Data Lake Gen2), l'analisi malware, l'individuazione dei dati sensibili.
- File di Azure (su API REST e SMB): monitoraggio delle attività.
Autorizzazioni necessarie per abilitare Defender per Archiviazione
A seconda dello scenario, sono necessari diversi livelli di autorizzazioni per abilitare Defender per Archiviazione e le relative funzionalità. È possibile abilitare e configurare Defender per Archiviazione a livello di sottoscrizione o a livello di account di archiviazione. È anche possibile usare criteri di Azure predefiniti per abilitare Defender per Archiviazione e applicarne l'abilitazione in un ambito desiderato.
La tabella seguente riepiloga le autorizzazioni necessarie per ogni scenario. Le autorizzazioni sono ruoli predefiniti di Azure o set di azioni che è possibile assegnare ai ruoli personalizzati.
| Funzionalità | a livello della sottoscrizione | Livello account di archiviazione |
|---|---|---|
| Monitoraggio attività | Amministratore della sicurezza o Prezzi/lettura, Prezzi/scrittura | Amministratore della sicurezza o Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write |
| Analisi malware | Proprietario della sottoscrizione o set di azioni 1 | Proprietario o set di azioni dell'account di archiviazione 2 |
| Rilevamento delle minacce per i dati sensibili | Proprietario della sottoscrizione o set di azioni 1 | Proprietario o set di azioni dell'account di archiviazione 2 |
Nota
Il monitoraggio delle attività è sempre abilitato quando si abilita Defender per Archiviazione.
I set di azioni sono raccolte di operazioni del provider di risorse di Azure che è possibile usare per creare ruoli personalizzati. I set di azioni per abilitare Defender per Archiviazione e le relative funzionalità sono:
Set di azioni 1: abilitazione e configurazione a livello di sottoscrizione
- Microsoft.Security/pricings/write
- Microsoft.Security/pricings/read
- Microsoft.Security/pricings/SecurityOperators/read
- Microsoft.Security/pricings/SecurityOperators/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Set di azioni 2: abilitazione e configurazione a livello di account di archiviazione
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/read
- Microsoft.Security/datascanners/read (deve essere concesso a livello di sottoscrizione)
- Microsoft.Security/datascanners/write (deve essere concesso a livello di sottoscrizione)
- Microsoft.Security/defenderforstoragesettings/read
- Microsoft.Security/defenderforstoragesettings/write
- Microsoft.EventGrid/eventSubscriptions/read
- Microsoft.EventGrid/eventSubscriptions/write
- Microsoft.EventGrid/eventSubscriptions/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete