Microsoft Defender for Storage のデプロイ
Microsoft Defender for Storage は、Microsoft 脅威インテリジェンス、Microsoft Defender マルウェア対策テクノロジ、機密データ検出を利用して、ストレージ アカウントの脅威を検出し軽減するための高度なインテリジェンス レイヤーを提供する Azure ネイティブ ソリューションです。 Azure Blob Storage、Azure Files、Azure Data Lake Storage サービスでの保護により、包括的なアラート スイート、準リアルタイムのマルウェア スキャン (アドオン)、機密データの脅威検出 (追加コストなし) が提供され、コンテキスト情報を使用して潜在的なセキュリティ脅威に対する迅速な検出、トリアージ、対応が可能になります。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。
組織では、サブスクリプションとストレージ アカウントに対して Microsoft Defender for Storage を有効にすることで、細かい制御と柔軟性で保護をカスタマイズし、一貫したセキュリティ ポリシーを適用できます。
ヒント
Defender for Storage (クラシック) が既に有効になっていて、新しいセキュリティ機能と価格を利用したい場合は、新しい価格プランに移行する必要があります。
可用性
| 特徴 | 詳細 |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 機能の利用可能状況: | - アクティビティの監視 (セキュリティ アラート) - 一般提供 (GA) - マルウェア スキャン - 一般提供 (GA) - 機密データの脅威検出 (機密データの検出) - プレビュー 詳細については、価格に関するページをご覧ください。 |
| 必要なロールとアクセス許可: | サブスクリプションおよびストレージ アカウント レベルでのマルウェア スキャンと機密データの脅威検出には、所有者ロール (サブスクリプションの所有者/ストレージ アカウント所有者) または対応するデータ アクションを持つ特定のロールが必要です。 アクティビティの監視を有効にするには、"セキュリティ管理者" アクセス許可が必要です。 必要なアクセス許可の詳細について確認してください。 |
| クラウド: | ![[はい] のアイコン。](../../wwl-azure/microsoft-defender-cloud-threat-protection/media/yes-icon-783bde2a.png){kind=icon} Azure 商用クラウド*![[いいえ] のアイコン。](../../wwl-azure/microsoft-defender-cloud-threat-protection/media/no-icon-9b1fdaa3.png){kind=icon} Azure Government (クラシック プランでのアクティビティ監視のサポートのみ) Azure China 21Vianet 接続されている AWS アカウント |
Azure ドメイン ネーム システム (DNS) ゾーンは、マルウェア スキャンと機密データの脅威検出ではサポートされていません。
マルウェア スキャンの前提条件
マルウェア スキャンを有効にして構成するには、所有者ロール (サブスクリプション所有者やストレージ アカウント所有者など)、または必要なデータ アクションを持つ特定のロールが必要です。
Microsoft Defender for Storage を設定して構成する
Microsoft Defender for Storage を有効にして構成し、最大限の保護とコストの最適化を確保するために、次の構成オプションを使用できます。
- サブスクリプション レベルとストレージ アカウント レベルで Microsoft Defender for Storage を有効または無効にする。
- マルウェア スキャンまたは機密データの脅威検出の構成可能な機能を有効または無効にします。
- コストを制御するために、1 か月あたりのストレージ アカウントごとのマルウェア スキャンに月次上限を設定 ("キャッピング") します (既定値は 5,000 GB)。
- マルウェア スキャン結果への応答を設定する方法を構成する。
- マルウェア スキャン結果のログを保存するための追加の方法を構成する。
重要
マルウェア スキャン機能には、セキュリティ チームでさまざまなワークフローと要件をサポートするために役立つ詳細な構成があります。
- サブスクリプションレベルの設定をオーバーライドして、サブスクリプション レベルで構成された設定とは異なるカスタム構成で特定のストレージ アカウントを構成します
Defender for Storage を有効にして構成するには、いくつかの方法があります: Azure 組み込みポリシー (推奨される方法)、コードとしてのインフラストラクチャ テンプレートを使用するプログラム (Terraform、Bicep、Azure Resource Manager (ARM) テンプレートなど)、Azure portal の使用、REST API で直接。
ポリシーを使用して Defender for Storage を有効にすることをお勧めします。これにより、大規模な有効化が容易になり、定義されたスコープ内 (管理グループ全体など) の既存および将来のストレージ アカウントすべてに一貫したセキュリティ ポリシーが適用されるようになるためです。 これにより、組織の定義済み構成に従って Defender for Storage でストレージ アカウントが保護された状態に保たれます。
Note
従来のクラシック プランへの移行を防ぐには、以前の Defender for Storage ポリシーを無効にしてください。 Configure Azure Defender for Storage to be enabled、Azure Defender for Storage should be enabled、または Configure Microsoft Defender for Storage to be enabled (per-storage account plan) という名前のポリシーを探して無効にするか、クラシック プランの無効化を妨げるポリシーを拒否します。