Configurazioni avanzate per l'analisi di malware in Microsoft Defender per Archiviazione
L'analisi malware può essere configurata per inviare i risultati dell'analisi ai seguenti elementi:
- Argomento personalizzato di Griglia di eventi: per una risposta automatica quasi in tempo reale in base a ogni risultato di analisi.
- Area di lavoro Log Analytics: per l'archiviazione di tutti i risultati dell'analisi in un repository di log centralizzato per la conformità e il controllo.
Altre informazioni su come configurare la risposta per i risultati dell'analisi del malware.
Suggerimento
È consigliabile provare le istruzioni del training Ninja, laboratorio pratico per provare l’analisi di malware in Defender per Archiviazione, utilizzando una guida dettagliata su come configurare e testare l'analisi del malware end-to-end, inclusa la configurazione delle risposte ai risultati dell'analisi. Questa esercitazione rientra nel progetto "labs" che aiuta i clienti a crescere con Microsoft Defender per il cloud e offre un'esperienza pratica delle sue funzionalità.
Configurare la registrazione per l'analisi malware
Per ogni account di archiviazione abilitato con analisi malware, è possibile definire una destinazione dell'area di lavoro Log Analytics per archiviare ogni risultato di analisi in un repository di log centralizzato facile da consultare.
Prima di inviare i risultati dell'analisi a Log Analytics, creare un'area di lavoro Log Analytics o utilizzarne una esistente.
Per configurare la destinazione Log Analytics, passare all'account di archiviazione pertinente, aprire la scheda Microsoft Defender per il cloud e selezionare le impostazioni da configurare.
Questa configurazione può essere eseguita anche usando l'API REST:
URL della richiesta:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Corpo della richiesta:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Nota
Il portale di Azure elenca le aree di lavoro Log Analytics dalla stessa sottoscrizione dell'account di archiviazione. L'API REST può essere usata per configurare un'area di lavoro Log Analytics da una sottoscrizione diversa dello stesso tenant, come descritto in precedenza.
I risultati dell'analisi verranno registrati in una tabella denominata StorageMalwareScanningResults. Questa tabella viene creata quando viene registrato il primo risultato dell'analisi.
Configurare Griglia di eventi per l'analisi di malware
Per ogni account di archiviazione abilitato con l'analisi malware, è possibile effettuare la configurazione per inviare ciascun risultato di analisi utilizzando un evento di Griglia di eventi a fini di automazione.
Per configurare Griglia di eventi per l'invio dei risultati dell'analisi, è prima necessario creare un argomento personalizzato in anticipo. Per indicazioni, vedere la documentazione di Griglia di eventi sulla creazione di argomenti personalizzati. Assicurarsi che l'argomento personalizzato di Griglia di eventi di destinazione venga creato nella stessa area dell'account di archiviazione da cui si desidera inviare i risultati dell’analisi.
Per configurare la destinazione degli argomenti personalizzati di Griglia di eventi, passare all'account di archiviazione pertinente, aprire la scheda Microsoft Defender per il cloud e selezionare le impostazioni da configurare.
Nota
Quando si imposta un argomento personalizzato di Griglia di eventi, è necessario impostare Sostituisci le impostazioni a livello di sottoscrizione di Defender per Archiviazione su Attiva per assicurarsi che sostituisca le impostazioni a livello di sottoscrizione.
Nota
Il portale di Azure elenca gli argomenti di Griglia di eventi dalla stessa sottoscrizione dell'account di archiviazione. L'API REST può essere usata per configurare un argomento di Griglia di eventi da una sottoscrizione diversa dello stesso tenant, come descritto nella sezione seguente. Questa configurazione può essere eseguita anche usando l'API REST:
URL della richiesta:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Corpo della richiesta:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Impostazioni di Override Defender per Archiviazione a livello di sottoscrizione
Le impostazioni a livello di sottoscrizione ereditano le impostazioni di Defender per Archiviazione in ciascun account di archiviazione all’interno della sottoscrizione. Usare le impostazioni di Override Defender per Archiviazione a livello di sottoscrizione per configurare le impostazioni per singoli account di archiviazione diversi da quelli configurati a livello di sottoscrizione.
L'override delle impostazioni delle sottoscrizioni viene in genere usata per gli scenari seguenti:
- Abilitare/disabilitare l'analisi malware o le funzionalità di rilevamento delle minacce di riservatezza dei dati.
- Configurare le impostazioni personalizzate per l'analisi malware.
- Disabilitare Microsoft Defender per Archiviazione per account di archiviazione specifici.
Nota
È consigliabile abilitare Defender per l'archiviazione nell'intera sottoscrizione per proteggere tutti gli account di archiviazione esistenti e futuri. Tuttavia, esistono alcuni casi in cui gli utenti vogliono escludere account di archiviazione specifici dalla protezione di Defender. Se si è deciso di escludere, seguire la procedura descritta nella sezione seguente per usare l'impostazione di override e quindi disabilitare l'account di archiviazione pertinente. Se si usa Defender per Archiviazione (versione classica), è inoltre possibile escludere gli account di archiviazione.
Azure portal
Per configurare impostazioni dei singoli account di archiviazione differenti da quelli configurati a livello di sottoscrizione usando il portale di Azure:
Accedere al portale di Azure.
Andare all'account di archiviazione che si vuole configurare le impostazioni personalizzate.
Nella sezione Sicurezza e rete del menu account di archiviazione selezionare Microsoft Defender per il cloud.
Selezionare Impostazioni in Microsoft Defender per Archiviazione.
Impostare lo stato di Override delle impostazioni a livello di sottoscrizione di Defender per Archiviazione (in Impostazioni avanzate) su Attiva. Ciò garantisce che le impostazioni vengano salvate solo per questo account di archiviazione e non vengano sovraccariche dalle impostazioni della sottoscrizione.
Configurare le impostazioni che si desidera modificare:
Per abilitare l'analisi malware o il rilevamento delle minacce ai dati sensibili, impostare lo stato su Attiva.
Per modificare le impostazioni dell'analisi malware:
Se non è già abilitata, passare all'analisi malware on-upload su Sì .
Per modificare la soglia mensile per l'analisi di malware negli account di archiviazione, è possibile modificare il parametro denominato Imposta limiti di GB scansionati al mese impostandolo sul valore desiderato. Questo parametro determina la quantità massima di dati che è possibile analizzare per individuare malware ogni mese, in particolare per ogni account di archiviazione. Se si desidera consentire l'analisi illimitata, è possibile deselezionare questo parametro. Per impostazione predefinita, questo limite è configurato a 5000 GB.
Per disabilitare Defender per Archiviazione in questo account di archiviazione, impostare lo stato di Microsoft Defender per Archiviazione su Disattiva.
Seleziona Salva.
REST API
Per configurare impostazioni dei singoli account di archiviazione differenti da quelli configurati a livello di sottoscrizione utilizzando l’API REST:
Creare una richiesta PUT con questo endpoint. Sostituire subscriptionId, resourceGroupName e accountName nell'URL dell'endpoint con il proprio ID sottoscrizione di Azure, il gruppo di risorse e i nomi degli account di archiviazione di conseguenza.
URL della richiesta:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Corpo della richiesta:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Per abilitare l'analisi malware o il rilevamento delle minacce ai dati sensibili, impostare il valore di isEnabled su true nelle funzionalità pertinenti.
Per modificare le impostazioni dell'analisi malware, modificare i campi pertinenti in onUpload, assicurandosi che il valore di isEnabled sia true. Se si desidera consentire l'analisi illimitata, assegnare il valore -1 al parametro capGBPerMonth.
Per disabilitare Defender per archiviazione in questo account di archiviazione, usare il corpo della richiesta seguente:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Assicurarsi di aggiungere il parametro overrideSubscriptionLevelSettings e che il relativo valore sia impostato su true. Ciò garantisce che le impostazioni vengano salvate solo per questo account di archiviazione e non vengano sovraccariche dalle impostazioni della sottoscrizione.
Passaggio successivo
Altre informazioni sulle impostazioni dell’analisi malware.