Aktivieren und Konfigurieren mit PowerShell

Es wird empfohlen, Defender für Storage auf Abonnementebene zu aktivieren. Dadurch wird sichergestellt, dass alle sich derzeit im Abonnement befindenden Speicherkonten geschützt sind. Speicherkonten, die erstellt werden, nachdem Defender for Storage auf Abonnementebene aktiviert wurde, sind 24 Stunden nach der Erstellung geschützt.

Tipp

Sie können immer bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden (Außerkraftsetzen der Einstellungen auf Abonnementebene).

Bevor Sie mit dem Arbeiten mit PowerShell beginnen, führen Sie die folgenden Schritte aus:

1. Installieren Sie das Azure Az PowerShell-Modul, sofern es noch nicht installiert ist.

2. Verwenden Sie das Cmdlet Connect-AzAccount, um sich bei Ihrem Azure-Konto anzumelden. Erfahren Sie mehr über die Anmeldung bei Azure mit Azure PowerShell.

3. Verwenden Sie die folgenden Befehle, um Ihr Abonnement beim Microsoft Defender for Cloud-Ressourcenanbieter zu registrieren:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Ersetzen Sie <subscriptionId> durch Ihre Abonnement-ID.

Aktivieren für ein Abonnement

Aktivieren Sie Microsoft Defender for Storage auf Abonnementebene mit den Preisen pro Transaktion. Verwenden Sie hierzu das Set-AzSecurityPricing-Cmdlet:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Wenn für das Cmdlet keine Erweiterungseigenschaften bereitgestellt werden, sind Schadsoftwareüberprüfungen und die Ermittlung vertraulicher Daten standardmäßig aktiviert. Der monatliche Standardschwellenwert pro Speicherkonto für die Schadsoftwareüberprüfung beträgt 5.000 GB.

Wenn Sie in Ihren Speicherkonten den monatlichen Schwellenwert für die Schadsoftwareüberprüfung beim Hochladen ändern wollen, legen Sie die Eigenschaft CapGBPerMonthPerStorageAccount auf Ihren bevorzugten Wert fest. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die pro Monat und Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Wenn Sie die Funktionen für die Schadsoftwareüberprüfung beim Hochladen oder für die Bedrohungserkennung für vertrauliche Daten deaktivieren möchten, können Sie den isEnabled-Wert in den Eigenschaften OnUploadMalwareScanning oder SensitiveDataDiscovery durch False ersetzen. Um den gesamten Defender-Plan zu deaktivieren, legen Sie den Eigenschaftswert -PricingTier auf Free fest, und entfernen Sie den -SubPlan und die Erweiterungseigenschaften.

Tipp

Sie können das GetAzSecurityPricing-Cmdlet verwenden, um alle Defender for Cloud-Pläne anzuzeigen, die für das Abonnement aktiviert sind.

Ausführliche Informationen zum Set-AzSecurityPricing-Cmdlet finden Sie in der Azure PowerShell-Referenz.

Aktivieren für ein Speicherkonto

Aktivieren und konfigurieren Sie Microsoft Defender for Storage auf Speicherkontoebene mithilfe des Update-AzSecurityDefenderForStorage-Cmdlets. Ersetzen Sie in diesem Beispiel den <SubscriptionId>, <ResourceGroupName> und <StorageAccountName> durch Ihre eigene Azure-Abonnement-ID, Ihre eigene Ressourcengruppe und Ihre eigenen Speicherkontonamen:

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Hinweis

Wenn Defender for Storage auf Abonnementebene aktiviert ist, ist der Parameter -OverrideSubscriptionLevelSetting erforderlich, um die Einstellungen auf Abonnementebene zu überschreiben. Wenn der Parameter zum Überschreiben nicht verwendet wird, werden die Erweiterungen entsprechend den Einstellungen auf Abonnementebene festgelegt, und dies unabhängig von den Parameterwerten, die im Cmdlet angegeben werden.

Wenn Sie den monatlichen Schwellenwert für die Schadsoftwareüberprüfung im Speicherkonto ändern möchten, legen Sie den Parameter -OnUploadCapGBPerMonth auf den gewünschten Wert fest. Dieser Parameter legt eine Obergrenze für die maximale Anzahl von Daten fest, die pro Monat und Speicherkonto auf Schadsoftware überprüft werden sollen. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Die Ergebnisse der Schadsoftwareüberprüfung können an das Event Grid gesendet werden, indem im Parameter -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>" die Ressourcen-ID des Event Grid-Themas angegeben wird.

Wenn Sie die Funktionen für die Schadsoftwareüberprüfung beim Hochladen oder die Bedrohungserkennung für vertrauliche Daten im Speicherkonto deaktivieren möchten, legen Sie -OnUploadIsEnabled:$false oder -SensitiveDataDiscoveryIsEnabled:$false entsprechend fest.

Zum Deaktivieren des gesamten Defender-Plans im Speicherkonto legen Sie IsEnabled:$false, -OnUploadIsEnabled:$false und -SensitiveDataDiscoveryIsEnabled:$false fest.

Tipp

Sie können das Cmdlet Get-AzSecurityDefenderForStorage verwenden, um die Defender for Storage-Einstellungen für ein Speicherkonto anzuzeigen.

Ausführliche Informationen zum Update-AzSecurityDefenderForStorage-Cmdlet finden Sie in der Azure PowerShell-Referenz.

Erfahren Sie mehr über die Verwendung von PowerShell mit Microsoft Defender for Cloud.

Tipp

Die Schadsoftwareüberprüfung kann so konfiguriert werden, dass Überprüfungsergebnisse an folgende Stellen gesendet werden:
Benutzerdefiniertes Event Grid-Thema – für eine automatische Reaktion nahezu in Echtzeit basierend auf jedem Überprüfungsergebnis. Erfahren Sie mehr über das Konfigurieren der Schadsoftwareüberprüfung zum Senden von Überprüfungsereignissen an ein benutzerdefiniertes Event Grid-Thema.
Log Analytics-Arbeitsbereich – zum Speichern der einzelnen Überprüfungsergebnisse in einem zentralen Protokollrepository zu Compliance- und Überwachungszwecken. Erfahren Sie mehr über das Konfigurieren der Schadsoftwareüberprüfung zum Senden von Überprüfungsergebnissen an einen Log Analytics-Arbeitsbereich.

Erfahren Sie mehr über das Konfigurieren von Antworten auf die Ergebnisse der Schadsoftwareüberprüfung.

Nächste Schritte

• Erfahren Sie, wie Sie den Plan für Defender für Storage mit einer integrierten Azure-Richtlinie im großen Stil aktivieren und konfigurieren.