Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista os pré-requisitos e permissões necessários para enable Microsoft Defender for Storage e seus recursos.
Pré-requisitos
Você precisa de uma assinatura Microsoft Azure. Se você não tiver uma assinatura Azure, poderá sign up para uma assinatura gratuita.
Você deve enable Microsoft Defender para Nuvem em sua assinatura Azure.
Há suporte para os tipos de armazenamento a seguir:
Funcionalidade Azure Blob Standard Azure Blob Premium v2 Blob de Página Azure Azure Data Lake Storage Gen 2 Azure Blob (Standard + Premium) + Sistema de Arquivos de Rede (NFS) 3.0 Azure File Standard (SMB) Azure Arquivo Premium Provisionado v1/v2 (SMB) Monitoramento de Atividades Suportado Suportado Suportado Suportado Sem suporte Suportado Suportado Descoberta de Dados Confidenciais Suportado Suportado Suportado Suportado Sem suporte Suportado Sem suporte Verificação de malware ao carregar Com suporte apenas para blobs Com suporte apenas para blobs Sem suporte Com suporte apenas para blobs Com suporte apenas para blobs Sem suporte Sem suporte Verificação de malware sob demanda Suportado Suportado Sem suporte Suportado Suportado Suportado Sem suporte Não há suporte para contas de armazenamento que pertencem a um grupo de recursos com qualquer um dos seguintes nomes:
App_Browsers, ,App_Code, ,App_Data,App_GlobalResources,App_LocalResources,App_Themes,App_WebReferences, .Bin
Observação
Defender para Armazenamento não dá suporte diretamente a buckets S3 do Amazon Web Services (AWS). Você pode usar Microsoft Sentinel com o conector do AWS S3 para consumir as descobertas do AWS GuardDuty e exibi-las na tabela Defender portal Alerts. Para obter mais informações, consulte conectores de dados do Microsoft Sentinel.
Permissions
Dependendo do cenário, você precisa de diferentes níveis de permissões para habilitar Defender para Armazenamento e seus recursos. Você pode habilitar e configurar Defender para Armazenamento no nível da assinatura ou no nível da conta de armazenamento. Você também pode usar políticas de Azure internas para habilitar Defender para Armazenamento e impor sua habilitação em um escopo desejado.
A tabela a seguir resume as permissões necessárias para cada cenário. As permissões são funções Azure internas ou conjuntos de ações que você pode atribuir a funções personalizadas.
| Funcionalidade | Nível de assinatura | Nível da conta de armazenamento |
|---|---|---|
| Monitorando de atividades | Administrador de Segurança ou Preços/leitura, Preços/gravação | Administrador de segurança ou Microsoft. Segurança/defenderforstoragesettings/read, Microsoft. Security/defenderforstoragesettings/write |
| Verificação de Malware | Proprietário da Assinatura ou conjunto de ações 1 | Conjunto de ações 2 |
| Detecção de ameaças de dados confidenciais | Proprietário da Assinatura ou conjunto de ações 1 | Conjunto de ações 2 |
Observação
O monitoramento de atividades sempre é habilitado quando você habilita Defender para Armazenamento.
Os conjuntos de ações são coleções de Azure operações de provedor de recursos que você pode usar para criar funções personalizadas. Os conjuntos de ações para habilitar Defender para Armazenamento e seus recursos são os seguintes.
Conjunto de ações 1: Habilitação e configuração no nível da assinatura
- Microsoft. Segurança/preços/gravação
- Microsoft. Segurança/preços/leitura
- Microsoft. Segurança/preços/SecurityOperators/read
- Microsoft. Segurança/preços/SecurityOperators/write
- Microsoft. Authorization/roleAssignments/read
- Microsoft. Autorização/roleAssignments/write
- Microsoft. Autorização/roleAssignments/delete
Conjunto de ações 2: Habilitação e configuração no nível da conta de armazenamento
- Microsoft. Armazenamento/storageAccounts/write
- Microsoft. Armazenamento/storageAccounts/read
- Microsoft. Segurança/datascanners/leitura (deve ser concedido no nível da assinatura)
- Microsoft. Segurança/datascanners/gravação (deve ser concedido no nível da assinatura)
- Microsoft. Security/defenderforstoragesettings/read
- Microsoft. Security/defenderforstoragesettings/write
- Microsoft. EventGrid/eventSubscriptions/read
- Microsoft. EventGrid/eventSubscriptions/write
- Microsoft. EventGrid/eventSubscriptions/delete
- Microsoft. Authorization/roleAssignments/read
- Microsoft. Autorização/roleAssignments/write
- Microsoft. Autorização/roleAssignments/delete
Conteúdo relacionado
- perguntas Common sobre Defender para Armazenamento