Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Voraussetzungen und Berechtigungen aufgeführt, die zum enablen Microsoft Defender für "Storage" und deren Features erforderlich sind.
Voraussetzungen
Sie benötigen ein Microsoft Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie Sign up für ein kostenloses Abonnement registrieren.
Sie müssen enable Microsoft Defender for Cloud in Ihrem Azure-Abonnement verwenden.
Die folgenden Speichertypen werden unterstützt:
Funktionalität Azure Blob Standard Azure Blob Premium v2 Azure Seitenblob Azure Data Lake Storage Gen 2 Azure Blob (Standard + Premium) + Network File System (NFS) 3.0 Azure File Standard (SMB) Azure File Premium Provisioned v1/v2 (SMB) Aktivitätsüberwachung Unterstützt Unterstützt Unterstützt Unterstützt Nicht unterstützt Unterstützt Unterstützt Ermittlung vertraulicher Daten Unterstützt Unterstützt Unterstützt Unterstützt Nicht unterstützt Unterstützt Nicht unterstützt Scannen von Schadsoftware beim Hochladen Nur für Blobs unterstützt Nur für Blobs unterstützt Nicht unterstützt Nur für Blobs unterstützt Nur für Blobs unterstützt Nicht unterstützt Nicht unterstützt On-demand Malware Scanning Unterstützt Unterstützt Nicht unterstützt Unterstützt Unterstützt Unterstützt Nicht unterstützt Speicherkonten, die zu einer Ressourcengruppe mit einem der folgenden Namen gehören, werden nicht unterstützt:
App_Browsers, , ,App_Code,App_Data,App_LocalResourcesApp_GlobalResourcesApp_ThemesApp_WebReferences.Bin
Hinweis
Defender für Storage unterstützt amazon Web Services (AWS) S3 Buckets nicht direkt. Sie können Microsoft Sentinel mit dem AWS S3-Connector verwenden, um AWS GuardDuty-Ergebnisse zu nutzen und im Defender Portal Alerts Tabelle anzuzeigen. Weitere Informationen finden Sie unter Microsoft Sentinel-Daten-Connectors.
Erlaubnisse
Je nach Szenario benötigen Sie unterschiedliche Berechtigungsebenen, um Defender für Speicher und die zugehörigen Features zu aktivieren. Sie können Defender für den Speicher auf Abonnementebene oder auf Speicherkontoebene aktivieren und konfigurieren. Sie können auch integrierte Azure-Richtlinien verwenden, um Defender für den Speicher zu aktivieren und die Aktivierung auf einem gewünschten Bereich zu erzwingen.
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die Sie für jedes Szenario benötigen. Die Berechtigungen sind entweder integrierte Azure Rollen oder Aktionssätze, die Sie benutzerdefinierten Rollen zuweisen können.
| Funktionalität | Abonnementebene | Speicherkontoebene |
|---|---|---|
| Aktivitätsüberwachung | Sicherheitsadministrator oder Preise/Lese-, Preis-/Schreibzugriff | Sicherheitsadministrator oder Microsoft. Security/defenderforstoragesettings/read, Microsoft. Security/defenderforstoragesettings/write |
| Malware-Überprüfung | Abonnementbesitzer oder Aktionssatz 1 | Aktionssatz 2 |
| Erkennung vertraulicher Daten | Abonnementbesitzer oder Aktionssatz 1 | Aktionssatz 2 |
Hinweis
Die Aktivitätsüberwachung ist immer aktiviert, wenn Sie Defender für den Speicher aktivieren.
Die Aktionssätze sind Sammlungen von Azure Ressourcenanbietervorgängen, mit denen Sie benutzerdefinierte Rollen erstellen können. Die Aktionssätze zum Aktivieren von Defender für Speicher und deren Features sind wie folgt.
Aktionssatz 1: Aktivieren und Konfiguration auf Abonnementebene
- Microsoft. Sicherheits-/Preisgestaltung/Schreibzugriff
- Microsoft. Sicherheits-/Preisgestaltung/Lesezugriff
- Microsoft. Sicherheit/Preise/SecurityOperators/Lesezugriff
- Microsoft. Sicherheit/Preise/SecurityOperators/Write
- Microsoft. Autorisierung/roleAssignments/Lesezugriff
- Microsoft. Autorisierung/roleAssignments/Write
- Microsoft. Autorisierung/roleAssignments/Delete
Aktionssatz 2: Aktivieren und Konfiguration auf Speicherkontoebene
- Microsoft. Storage/storageAccounts/Write
- Microsoft. Storage/storageAccounts/Read
- Microsoft. Sicherheit/Datascanner/Lesevorgang (muss auf Abonnementebene gewährt werden)
- Microsoft. Sicherheit/Datascanner/Schreibzugriff (muss auf Abonnementebene gewährt werden)
- Microsoft. Security/defenderforstoragesettings/read
- Microsoft. Security/defenderforstoragesettings/write
- Microsoft. EventGrid/eventSubscriptions/read
- Microsoft. EventGrid/eventSubscriptions/write
- Microsoft. EventGrid/eventSubscriptions/delete
- Microsoft. Autorisierung/roleAssignments/Lesezugriff
- Microsoft. Autorisierung/roleAssignments/Write
- Microsoft. Autorisierung/roleAssignments/Delete