스토리지에 대한 Microsoft Defender 필수 구성 요소

이 문서에서는 스토리지 기능에 대해 enable Microsoft Defender 데 필요한 필수 구성 요소 및 사용 권한을 나열합니다.

필수 조건

  • Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 대해 등록할 수 있습니다.

  • Azure 구독에서 enable 클라우드용 Microsoft Defender 합니다.

  • 지원되는 스토리지 유형은 다음과 같습니다.

    기능 Azure Blob Standard Azure Blob Premium v2 Azure 페이지 Blob Azure Data Lake Storage Gen 2 Azure Blob(표준 + 프리미엄) + NFS(네트워크 파일 시스템) 3.0 Azure 파일 표준(SMB) Azure File Premium 프로비전된 v1/v2(SMB)
    작업 모니터링 지원됨 지원됨 지원됨 지원됨 지원되지 않음 지원됨 지원됨
    중요한 데이터 검색 지원됨 지원됨 지원됨 지원됨 지원되지 않음 지원됨 지원되지 않음
    온-업로드 맬웨어 검사 Blob에 대해서만 지원됨 Blob에 대해서만 지원됨 지원되지 않음 Blob에 대해서만 지원됨 Blob에 대해서만 지원됨 지원되지 않음 지원되지 않음
    주문형 맬웨어 검사 지원됨 지원됨 지원되지 않음 지원됨 지원됨 지원되지 않음 지원되지 않음

  • 리소스 그룹에 속하는 스토리지 계정은 지원되지 않습니다App_BrowsersApp_CodeApp_DataApp_GlobalResourcesApp_LocalResourcesApp_ThemesApp_WebReferencesBin.

참고 항목

스토리지용 Defender AWS(Amazon Web Services) S3 버킷을 직접 지원하지 않습니다. AWS S3 커넥터에서 Microsoft Sentinel 사용하여 AWS GuardDuty 결과를 사용하고 Defender Portal Alerts 테이블에 표시할 수 있습니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터를 참조하세요.

Permissions

시나리오에 따라 스토리지 및 해당 기능에 대한 Defender 사용하도록 설정하려면 다양한 수준의 사용 권한이 필요합니다. 구독 수준 또는 스토리지 계정 수준에서 스토리지에 대한 Defender 사용하도록 설정하고 구성할 수 있습니다. 기본 제공 Azure 정책을 사용하여 스토리지에 Defender 사용하도록 설정하고 원하는 범위에서 해당 사용을 적용할 수도 있습니다.

다음 표에서는 각 시나리오에 필요한 사용 권한을 요약합니다. 권한은 사용자 지정 역할에 할당할 수 있는 기본 제공 Azure 역할 또는 작업 집합입니다.

기능 구독 수준 스토리지 계정 수준
활동 모니터링 보안 관리자 또는 가격 책정/읽기, 가격 책정/쓰기 보안 관리자 또는 Microsoft. 보안/defenderforstoragesettings/읽기, Microsoft. Security/defenderforstoragesettings/write
맬웨어 검사 구독 소유자 또는 작업 집합 1 작업 집합 2
중요한 데이터 위협 검색 구독 소유자 또는 작업 집합 1 작업 집합 2

참고 항목

활동 모니터링은 스토리지에 Defender 사용하도록 설정할 때 항상 사용하도록 설정됩니다.

작업 집합은 사용자 지정 역할을 만드는 데 사용할 수 있는 Azure 리소스 공급자 작업의 컬렉션입니다. 스토리지 및 해당 기능에 대해 Defender 사용하도록 설정하기 위한 작업 집합은 다음과 같습니다.

작업 집합 1: 구독 수준의 사용 및 구성

  • Microsoft. 보안/가격 책정/쓰기
  • Microsoft. 보안/가격 책정/읽기
  • Microsoft. 보안/가격 책정/SecurityOperators/read
  • Microsoft. 보안/가격 책정/SecurityOperators/write
  • Microsoft. Authorization/roleAssignments/read
  • Microsoft. Authorization/roleAssignments/write
  • Microsoft. Authorization/roleAssignments/delete

작업 집합 2: 스토리지 계정 수준에서 사용 및 구성

  • Microsoft. Storage/storageAccounts/write
  • Microsoft. Storage/storageAccounts/read
  • Microsoft. 보안/데이터 스캐너/읽기(구독 수준에서 부여해야 합니다).
  • Microsoft. 보안/데이터 스캐너/쓰기(구독 수준에서 부여해야 합니다).
  • Microsoft. Security/defenderforstoragesettings/read
  • Microsoft. Security/defenderforstoragesettings/write
  • Microsoft. EventGrid/eventSubscriptions/read
  • Microsoft. EventGrid/eventSubscriptions/write
  • Microsoft. EventGrid/eventSubscriptions/delete
  • Microsoft. Authorization/roleAssignments/read
  • Microsoft. Authorization/roleAssignments/write
  • Microsoft. Authorization/roleAssignments/delete

관련 콘텐츠

  • Last updated on