Partilhar via

Permissões necessárias para habilitar o Defender for Storage e seus recursos

  • Artigo

Este artigo lista as permissões necessárias para habilitar o Defender for Storage e seus recursos.

O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados.

  • Monitoramento de atividades: deteta atividades suspeitas em contas de armazenamento analisando atividades do plano de dados e do plano de controle e usando o Microsoft Threat Intelligence, modelagem comportamental e aprendizado de máquina.

  • Verificação de malware: verifica todos os blobs carregados quase em tempo real usando o Microsoft Defender Antivirus para proteger as contas de armazenamento contra conteúdo mal-intencionado.

  • Deteção de ameaças a dados confidenciais: prioriza alertas de segurança com base na sensibilidade de dados descoberta pelo Mecanismo de Descoberta de Dados Confidenciais, deteta eventos de exposição e atividades suspeitas, aprimorando a proteção contra violações de dados.

Dependendo do cenário, você precisa de diferentes níveis de permissões para habilitar o Defender for Storage e seus recursos. Você pode habilitar e configurar o Defender for Storage no nível da assinatura ou na conta de armazenamento. Você também pode usar políticas internas do Azure para habilitar o Defender for Storage e impor sua habilitação em um escopo desejado.

A tabela a seguir resume as permissões necessárias para cada cenário. As permissões são funções internas do Azure ou conjuntos de ações que você pode atribuir a funções personalizadas.

Funcionalidade Nível da subscrição Nível da conta de armazenamento
Monitorização da atividade Administrador de Segurança ou Preços/leitura, Preços/gravação Security Admin ou Microsoft.Security/defenderforstoragesettings/read, Microsoft.Security/defenderforstoragesettings/write
Verificação de malware Proprietário da subscrição ou conjunto de ações 1 Proprietário da conta de armazenamento ou conjunto de ações 2
Deteção de ameaças a dados confidenciais Proprietário da subscrição ou conjunto de ações 1 Proprietário da conta de armazenamento ou conjunto de ações 2

Nota

O monitoramento de atividades é sempre ativado quando você ativa o Defender for Storage.

Os conjuntos de ações são coleções de operações do provedor de recursos do Azure que você pode usar para criar funções personalizadas. Os conjuntos de ações para habilitar o Defender for Storage e seus recursos são:

Conjunto de ações 1: Ativação e configuração do nível de assinatura

  • Microsoft.Security/preços/gravação
  • Microsoft.Security/preços/leitura
  • Microsoft.Security/pricings/SecurityOperators/read
  • Microsoft.Security/pricings/SecurityOperators/write
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Conjunto de ações 2: Ativação e configuração no nível da conta de armazenamento

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Security/datascanners/read (deve ser concedido ao nível da subscrição)
  • Microsoft.Security/datascanners/write (deve ser concedido ao nível da subscrição)
  • Microsoft.Security/defenderforstoragesettings/ler
  • Microsoft.Security/defenderforstoragesettings/gravação
  • Microsoft.EventGrid/eventSubscriptions/read
  • Microsoft.EventGrid/eventSubscriptions/write
  • Microsoft.EventGrid/eventSubscriptions/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete