Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca i prerequisiti e le autorizzazioni necessari per enable Microsoft Defender for Storage e le relative funzionalità.
Prerequisiti
È necessaria una sottoscrizione Microsoft Azure. Se non si ha una sottoscrizione Azure, è possibile iscriversi per una sottoscrizione gratuita.
È necessario enable Microsoft Defender per il cloud nella sottoscrizione Azure.
Sono supportati i tipi di archiviazione seguenti:
Funzionalità Azure BLOB Standard Azure BLOB Premium v2 BLOB di pagine Azure Azure Data Lake Storage Gen 2 BLOB Azure (Standard + Premium) + NFS 3.0 Azure File Standard (SMB) Azure File Premium con provisioning v1/v2 (SMB) Monitoraggio attività Sostenuto Sostenuto Sostenuto Sostenuto Non supportato Sostenuto Sostenuto Individuazione dati sensibili Sostenuto Sostenuto Sostenuto Sostenuto Non supportato Sostenuto Non supportato Analisi malware on-upload Supportato solo per i BLOB Supportato solo per i BLOB Non supportato Supportato solo per i BLOB Supportato solo per i BLOB Non supportato Non supportato Analisi malware su richiesta Sostenuto Sostenuto Non supportato Sostenuto Sostenuto Sostenuto Non supportato Gli account di archiviazione che appartengono a un gruppo di risorse con uno dei nomi seguenti non sono supportati:
App_Browsers,App_CodeApp_DataApp_GlobalResourcesApp_LocalResources,App_Themes, .App_WebReferencesBin
Nota
I bucket AWS S3 non sono supportati direttamente da Defender per l'archiviazione. È possibile usare Microsoft Sentinel con il connettore AWS S3 per usare i risultati di AWS GaurdDuty e visualizzarli all'interno della tabella Alerts del portale di Defender. Per altre informazioni, vedere Connettori dati sentinel.
Permissions
A seconda dello scenario, sono necessari diversi livelli di autorizzazioni per abilitare Defender per l'archiviazione e le relative funzionalità. È possibile abilitare e configurare Defender per l'archiviazione a livello di sottoscrizione o a livello di account di archiviazione. È anche possibile usare i criteri di Azure predefiniti per abilitare Defender per Archiviazione e applicarne l'abilitazione a un ambito desiderato.
La tabella seguente riepiloga le autorizzazioni necessarie per ogni scenario. Le autorizzazioni sono predefinite Azure ruoli o set di azioni che è possibile assegnare ai ruoli personalizzati.
| Funzionalità | a livello della sottoscrizione | Livello account di archiviazione |
|---|---|---|
| Monitoraggio attività | Amministratore della sicurezza o Prezzi/lettura, Prezzi/scrittura | Amministratore della sicurezza o Microsoft. Sicurezza/defenderforstoragesettings/read, Microsoft. Sicurezza/defenderforstoragesettings/write |
| Analisi malware | Proprietario della sottoscrizione o set di azioni 1 | Set di azioni 2 |
| Rilevamento delle minacce per i dati sensibili | Proprietario della sottoscrizione o set di azioni 1 | Set di azioni 2 |
Nota
Il monitoraggio delle attività è sempre abilitato quando si abilita Defender per l'archiviazione.
I set di azioni sono raccolte di Azure operazioni del provider di risorse che è possibile usare per creare ruoli personalizzati. Di seguito sono riportati i set di azioni per abilitare Defender per Archiviazione e le relative funzionalità.
Set di azioni 1: Abilitazione e configurazione a livello di sottoscrizione
- Microsoft. Sicurezza/prezzi/scrittura
- Microsoft. Sicurezza/prezzi/lettura
- Microsoft. Sicurezza/prezzi/SecurityOperators/read
- Microsoft. Sicurezza/prezzi/SecurityOperators/write
- Microsoft. Autorizzazione/roleAssignments/read
- Microsoft. Autorizzazione/roleAssignments/write
- Microsoft. Autorizzazione/roleAssignments/delete
Set di azioni 2: Abilitazione e configurazione a livello di account di archiviazione
- Microsoft. Archiviazione/storageAccounts/write
- Microsoft. Archiviazione/storageAccounts/lettura
- Microsoft. Sicurezza/datascanner/lettura (deve essere concessa a livello di sottoscrizione)
- Microsoft. Sicurezza/datascanner/scrittura (deve essere concessa a livello di sottoscrizione)
- Microsoft. Sicurezza/defenderforstoragesettings/read
- Microsoft. Sicurezza/defenderforstoragesettings/write
- Microsoft. EventGrid/eventSubscriptions/read
- Microsoft. EventGrid/eventSubscriptions/write
- Microsoft. EventGrid/eventSubscriptions/delete
- Microsoft. Autorizzazione/roleAssignments/read
- Microsoft. Autorizzazione/roleAssignments/write
- Microsoft. Autorizzazione/roleAssignments/delete