Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat de vereisten en machtigingen die zijn vereist voor het enable Microsoft Defender voor Storage en de bijbehorende functies.
Vereisten
U hebt een Microsoft Azure-abonnement nodig. Als u geen Azure abonnement hebt, kunt u zich aanmelden voor een gratis abonnement.
U moet eenable Microsoft Defender voor Cloud voor uw Azure-abonnement.
De volgende opslagtypen worden ondersteund:
Mogelijkheid Azure Blob Standard Azure Blob Premium v2 pagina-blob Azure Azure Data Lake Storage Gen 2 Azure Blob (Standard + Premium) + Network File System (NFS) 3.0 Azure File Standard (SMB) Azure File Premium Provisioned v1/v2 (SMB) Activiteitscontrole Ondersteund Ondersteund Ondersteund Ondersteund Niet ondersteund Ondersteund Ondersteund Detectie van gevoelige gegevens Ondersteund Ondersteund Ondersteund Ondersteund Niet ondersteund Ondersteund Niet ondersteund Scannen op malware bij uploaden Alleen ondersteund voor blobs Alleen ondersteund voor blobs Niet ondersteund Alleen ondersteund voor blobs Alleen ondersteund voor blobs Niet ondersteund Niet ondersteund Scannen op malware op aanvraag Ondersteund Ondersteund Niet ondersteund Ondersteund Ondersteund Ondersteund Niet ondersteund Opslagaccounts die deel uitmaken van een resourcegroep met een van de volgende namen worden niet ondersteund:
App_Browsers, ,App_CodeApp_Data, ,App_GlobalResources,App_LocalResources,App_Themes, .BinApp_WebReferences
Notitie
Defender voor Storage biedt geen rechtstreekse ondersteuning voor AWS S3-buckets (Amazon Web Services). U kunt Microsoft Sentinel gebruiken met de AWS S3-connector om AWS GuardDuty-bevindingen te gebruiken en weer te geven in de Defender portal Alerts tabel. Zie Microsoft Sentinel-gegevensconnectors voor meer informatie.
Permissions
Afhankelijk van het scenario hebt u verschillende machtigingsniveaus nodig om Defender voor Opslag en de bijbehorende functies in te schakelen. U kunt Defender voor Opslag inschakelen en configureren op abonnementsniveau of op opslagaccountniveau. U kunt ook ingebouwde Azure-beleid gebruiken om Defender in te schakelen voor Opslag en het inschakelen ervan af te dwingen voor een gewenst bereik.
De volgende tabel bevat een overzicht van de machtigingen die u nodig hebt voor elk scenario. De machtigingen zijn ingebouwde Azure rollen of actiesets die u kunt toewijzen aan aangepaste rollen.
| Mogelijkheid | Abonnementsniveau | Opslagaccountniveau |
|---|---|---|
| Controle van activiteiten | Beveiligingsbeheerder of prijzen/lezen, prijzen/schrijven | Beveiligingsbeheerder of Microsoft. Beveiliging/defenderforstoragesettings/read, Microsoft. Beveiliging/defenderforstoragesettings/write |
| Malware scannen | Abonnementseigenaar of actieset 1 | Actieset 2 |
| Detectie van bedreigingen voor gevoelige gegevens | Abonnementseigenaar of actieset 1 | Actieset 2 |
Notitie
Activiteitenbewaking wordt altijd ingeschakeld wanneer u Defender inschakelt voor Opslag.
De actiesets zijn verzamelingen van Azure resourceproviderbewerkingen die u kunt gebruiken om aangepaste rollen te maken. De actiesets voor het inschakelen van Defender voor Opslag en de bijbehorende functies zijn als volgt.
Actieset 1: Inschakelen en configureren op abonnementsniveau
- Microsoft. Beveiliging/prijzen/schrijven
- Microsoft. Beveiliging/prijzen/lezen
- Microsoft. Beveiliging/prijzen/SecurityOperators/read
- Microsoft. Beveiliging/prijzen/SecurityOperators/write
- Microsoft. Autorisatie/roleAssignments/read
- Microsoft. Autorisatie/roleAssignments/write
- Microsoft. Autorisatie/roleAssignments/delete
Actieset 2: Inschakelen en configureren op het niveau van het opslagaccount
- Microsoft. Storage/storageAccounts/write
- Microsoft. Storage/storageAccounts/read
- Microsoft. Beveiliging/datascanners/lezen (moet worden verleend op abonnementsniveau)
- Microsoft. Beveiliging/datascanners/schrijven (moet worden verleend op abonnementsniveau)
- Microsoft. Beveiliging/defenderforstoragesettings/read
- Microsoft. Beveiliging/defenderforstoragesettings/write
- Microsoft. EventGrid/eventSubscriptions/read
- Microsoft. EventGrid/eventSubscriptions/write
- Microsoft. EventGrid/eventSubscriptions/delete
- Microsoft. Autorisatie/roleAssignments/read
- Microsoft. Autorisatie/roleAssignments/write
- Microsoft. Autorisatie/roleAssignments/delete