ストレージのMicrosoft Defenderの前提条件

この記事では、storage の有効なMicrosoft Defenderとその機能に必要な前提条件とアクセス許可の一覧を示します。

前提条件

  • Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップ

  • Azure サブスクリプション>有効なMicrosoft Defender for Cloudを<する必要があります。

  • 次のストレージの種類がサポートされています。

    機能 Azure Blob Standard Azure Blob Premium v2 Azure ページ BLOB Azure Data Lake Storage Gen 2 Azure BLOB (Standard + Premium) + ネットワーク ファイル システム (NFS) 3.0 Azure ファイル標準 (SMB) Azure File Premium Provisioned v1/v2 (SMB)
    [アクティビティ監視] サポートされています サポートされています サポートされています サポートされています サポートされていません サポートされています サポートされています
    機密データの検出 サポートされています サポートされています サポートされています サポートされています サポートされていません サポートされています サポートされていません
    アップロード時のマルウェア スキャン BLOB でのみサポートされます BLOB でのみサポートされます サポートされていません BLOB でのみサポートされます BLOB でのみサポートされます サポートされていません サポートされていません
    オンデマンドマルウェアスキャン サポートされています サポートされています サポートされていません サポートされています サポートされています サポートされています サポートされていません

  • App_BrowsersApp_CodeApp_DataApp_GlobalResourcesApp_LocalResourcesApp_ThemesApp_WebReferencesBinのいずれかの名前を持つリソース グループに属するストレージ アカウントはサポートされていません。

ストレージのDefenderは、アマゾン ウェブ サービス (AWS) S3 バケットを直接サポートしていません。 AWS S3 コネクタでMicrosoft Sentinelを使用して AWS GuardDuty の結果を使用し、Defender ポータル Alerts テーブルに表示できます。 詳細については、「 Microsoft Sentinel データ コネクタ」を参照してください。

Permissions

シナリオに応じて、ストレージとその機能のDefenderを有効にするには、さまざまなレベルのアクセス許可が必要です。 ストレージのDefenderは、サブスクリプション レベルまたはストレージ アカウント レベルで有効にして構成できます。 また、組み込みのAzure ポリシーを使用してストレージのDefenderを有効にし、目的のスコープにその有効化を適用することもできます。

次の表は、各シナリオに必要なアクセス許可をまとめたものです。 アクセス許可は、カスタム ロールに割り当てることができる組み込みのAzure ロールまたはアクション セットです。

機能 サブスクリプション レベル ストレージ アカウント レベル
アクティビティの監視 セキュリティ管理者、または Pricings/read、Pricings/write セキュリティ管理者またはMicrosoft。Security/defenderforstoragesettings/read,Microsoft。Security/defenderforstoragesettings/write
マルウェア スキャン サブスクリプション所有者またはアクション セット 1 アクション セット 2
機密データの脅威の検出 サブスクリプション所有者またはアクション セット 1 アクション セット 2

Storage のDefenderを有効にすると、アクティビティの監視は常に有効になります。

アクション セットは、カスタム ロールの作成Azure使用できるリソース プロバイダー操作のコレクションです。 Storage とその機能のDefenderを有効にするアクション セットは次のとおりです。

アクション セット 1: サブスクリプション レベルでの有効化と構成

  • Microsoft。セキュリティ/価格/書き込み
  • Microsoft。セキュリティ/価格/読み取り
  • Microsoft。Security/pricings/SecurityOperators/read
  • Microsoft。Security/pricings/SecurityOperators/write
  • Microsoft。Authorization/roleAssignments/read
  • Microsoft。Authorization/roleAssignments/write
  • Microsoft。Authorization/roleAssignments/delete

アクション セット 2: ストレージ アカウント レベルでの有効化と構成

  • Microsoft。Storage/storageAccounts/write
  • Microsoft。Storage/storageAccounts/read
  • Microsoft。Security/datascanners/read (サブスクリプション レベルで付与する必要があります)
  • Microsoft。Security/datascanners/write (サブスクリプション レベルで付与する必要があります)
  • Microsoft。Security/defenderforstoragesettings/read
  • Microsoft。Security/defenderforstoragesettings/write
  • Microsoft。EventGrid/eventSubscriptions/read
  • Microsoft。EventGrid/eventSubscriptions/write
  • Microsoft。EventGrid/eventSubscriptions/delete
  • Microsoft。Authorization/roleAssignments/read
  • Microsoft。Authorization/roleAssignments/write
  • Microsoft。Authorization/roleAssignments/delete

関連するコンテンツ

  • Last updated on