Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran los requisitos previos y los permisos necesarios para enable Microsoft Defender para Storage y sus características.
Requisitos previos
Necesita una suscripción de Microsoft Azure. Si no tiene una suscripción de Azure, puede suscripción gratuita.
Debe enable Microsoft Defender para la nube en la suscripción de Azure.
Se admiten los siguientes tipos de almacenamiento:
Capacidad Azure Blob Standard Azure Blob Premium v2 blob en páginas de Azure Azure Data Lake Storage Gen 2 Azure Blob (Estándar + Premium) + Sistema de archivos de red (NFS) 3.0 Estándar de archivos Azure (SMB) Azure File Premium Provisioned v1/v2 (SMB) Supervisión de actividades Compatible Compatible Compatible Compatible No está soportado Compatible Compatible Detección de datos confidenciales Compatible Compatible Compatible Compatible No está soportado Compatible No está soportado Examen de malware de carga previa Solo se admite para blobs Solo se admite para blobs No está soportado Solo se admite para blobs Solo se admite para blobs No está soportado No está soportado Examen de malware a petición Compatible Compatible No está soportado Compatible Compatible Compatible No está soportado No se admiten las cuentas de almacenamiento que pertenecen a un grupo de recursos con cualquiera de los nombres siguientes:
App_Browsers,App_Code,App_Data,App_GlobalResources,App_LocalResources,App_Themes, ,App_WebReferences.Bin
Nota:
Defender para Storage no admite directamente depósitos de Amazon Web Services (AWS) S3. Puede usar Microsoft Sentinel con el conector de AWS S3 para consumir hallazgos de AWS GuardDuty y mostrarlos en la tabla Defender Alerts. Para más información, consulte Conectores de datos de Microsoft Sentinel.
Permissions
En función del escenario, necesita distintos niveles de permisos para habilitar Defender para Storage y sus características. Puede habilitar y configurar Defender para Storage en el nivel de suscripción o en el nivel de cuenta de almacenamiento. También puede usar directivas de Azure integradas para habilitar Defender para Storage y aplicar su habilitación en un ámbito deseado.
En la tabla siguiente se resumen los permisos que necesita para cada escenario. Los permisos son roles de Azure integrados o conjuntos de acciones que puede asignar a roles personalizados.
| Capacidad | Nivel de suscripción | Nivel de cuenta de almacenamiento |
|---|---|---|
| Supervisión de la actividad | Administrador de seguridad o Precios/lectura, Precios/escritura | Administrador de seguridad o Microsoft. Security/defenderforstoragesettings/read, Microsoft. Security/defenderforstoragesettings/write |
| Examen de malware | Propietario de la suscripción o conjunto de acciones 1 | Conjunto de acciones 2 |
| Detección de amenazas de datos confidenciales | Propietario de la suscripción o conjunto de acciones 1 | Conjunto de acciones 2 |
Nota:
La supervisión de la actividad siempre está habilitada al habilitar Defender para Storage.
Los conjuntos de acciones son colecciones de Azure operaciones del proveedor de recursos que puede usar para crear roles personalizados. Los conjuntos de acciones para habilitar Defender para Storage y sus características son los siguientes.
Conjunto de acciones 1: Habilitación y configuración en el nivel de suscripción
- Microsoft. Seguridad, precios y escritura
- Microsoft. Seguridad,precios/lectura
- Microsoft. Security/pricings/SecurityOperators/read
- Microsoft. Security/pricings/SecurityOperators/write
- Microsoft. Authorization/roleAssignments/read
- Microsoft. Authorization/roleAssignments/write
- Microsoft. Authorization/roleAssignments/delete
Conjunto de acciones 2: Habilitación y configuración en el nivel de cuenta de almacenamiento
- Microsoft. Storage/storageAccounts/write
- Microsoft. Storage/storageAccounts/read
- Microsoft. Security/datascanners/read (se debe conceder en el nivel de suscripción)
- Microsoft. Seguridad,datascanners/escritura (se debe conceder en el nivel de suscripción)
- Microsoft. Security/defenderforstoragesettings/read
- Microsoft. Security/defenderforstoragesettings/write
- Microsoft. EventGrid/eventSubscriptions/read
- Microsoft. EventGrid/eventSubscriptions/write
- Microsoft. EventGrid/eventSubscriptions/delete
- Microsoft. Authorization/roleAssignments/read
- Microsoft. Authorization/roleAssignments/write
- Microsoft. Authorization/roleAssignments/delete