Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista os pré-requisitos e permissões necessários para habilitar Microsoft Defender para Armazenamento e as suas funcionalidades.
Pré-requisitos
Precisa de uma subscrição do Microsoft Azure. Se não tiver uma subscrição Azure, pode subscrever uma subscrição gratuita.
Deve ativar Microsoft Defender para a Cloud na sua subscrição Azure.
Os seguintes tipos de armazenamento são suportados:
Funcionalidade Azure Blob Standard Azure Blob Premium v2 Azure Page Blob Azure Data Lake Storage Gen 2 Azure Blob (Standard + Premium) + Sistema de Ficheiros de Rede (NFS) 3.0 Azure File Standard (SMB) Azure File Premium Provisioned v1/v2 (SMB) Monitorização de Atividades Suportado Suportado Suportado Suportado Não suportado Suportado Suportado Descoberta de Dados Sensíveis Suportado Suportado Suportado Suportado Não suportado Suportado Não suportado Varredura de Malware no upload Suportado apenas para blobs Suportado apenas para blobs Não suportado Suportado apenas para blobs Suportado apenas para blobs Não suportado Não suportado Análise de Malware On-Demand Suportado Suportado Não suportado Suportado Suportado Suportado Não suportado Contas de armazenamento que pertencem a um grupo de recursos com qualquer um dos seguintes nomes não são suportadas:
App_Browsers,App_Code,App_Data,App_GlobalResources,App_LocalResources,App_Themes,BinApp_WebReferences.
Nota
O Defender for Storage não suporta diretamente os buckets S3 da Amazon Web Services (AWS). Pode usar Microsoft Sentinel com o conector AWS S3 para consumir as conclusões AWS GuardDuty e exibi-las na tabela do portal Defender Alerts. Para obter mais informações, consulte Conectores de dados do Microsoft Sentinel.
Permissions
Dependendo do cenário, precisas de diferentes níveis de permissões para ativar o Defender for Storage e as suas funcionalidades. Pode ativar e configurar o Defender for Storage ao nível da subscrição ou ao nível da conta de armazenamento. Também pode usar políticas integradas do Azure para ativar o Defender for Storage e impor a sua habilitação no âmbito desejado.
A tabela a seguir resume as permissões necessárias para cada cenário. As permissões são ou papéis incorporados no Azure ou conjuntos de ações que podes atribuir a papéis personalizados.
| Funcionalidade | Nível da subscrição | Nível da conta de armazenamento |
|---|---|---|
| Monitorização da atividade | Administrador de Segurança ou Preços/leitura, Preços/gravação | Administrador de Segurança ou Microsoft. Segurança/defenderforstoragesettings/leitura, Microsoft. Security/defenderforstoragesettings/write |
| Verificação de malware | Proprietário da subscrição ou conjunto de ações 1 | Conjunto de ações 2 |
| Deteção de ameaças com dados confidenciais | Proprietário da subscrição ou conjunto de ações 1 | Conjunto de ações 2 |
Nota
A monitorização de atividade está sempre ativada quando ativas o Defender para Armazenamento.
Os conjuntos de ações são coleções de operações do fornecedor de recursos do Azure que pode usar para criar papéis personalizados. Os conjuntos de ações para ativar o Defender for Storage e as suas funcionalidades são os seguintes.
Conjunto de ações 1: Ativação e configuração ao nível da subscrição
- Microsoft. Segurança/preços/escrita
- Microsoft. Segurança/preços/leitura
- Microsoft. Segurança/preços/Operadores de Segurança/leitura
- Microsoft. Segurança/preços/SecurityOperators/escrita
- Microsoft. Autorização/papelAtribuições/leitura
- Microsoft. Autorização/papelAtribuições/escrita
- Microsoft. Autorização/funçõesAtribuições/eliminar
Conjunto de ações 2: Ativação e configuração no nível da conta de armazenamento
- Microsoft. Storage/storageAccounts/write
- Microsoft. Armazenamento/contasArmazenamento/leitura
- Microsoft. Segurança/scanners de dados/leitura (devem ser concedidos ao nível da subscrição)
- Microsoft. Segurança/scanners de dados/escrita (deve ser concedido ao nível da subscrição)
- Microsoft. Security/defenderforstoragesettings/read
- Microsoft. Security/defenderforstoragesettings/write
- Microsoft. EventGrid/eventSubscriptions/read
- Microsoft. EventGrid/eventSubscriptions/write
- Microsoft. EventGrid/eventSubscriptions/delete
- Microsoft. Autorização/papelAtribuições/leitura
- Microsoft. Autorização/papelAtribuições/escrita
- Microsoft. Autorização/funçõesAtribuições/eliminar