Geavanceerde configuraties voor malwarescans
Malwarescans kunnen worden geconfigureerd om scanresultaten naar het volgende te verzenden:
- Aangepast Event Grid-onderwerp : voor bijna realtime automatische reactie op basis van elk scanresultaat.
- Log Analytics-werkruimte : voor het opslaan van elk scanresultaat in een gecentraliseerde logboekopslagplaats voor naleving en controle.
Meer informatie over het instellen van reacties op malwarescanresultaten .
Tip
We raden u aan om de Ninja-trainingsinstructies, een praktijklab, uit te proberen malwarescans uit te proberen in Defender for Storage, met behulp van gedetailleerde stapsgewijze instructies voor het testen van malwarescans end-to-end met het instellen van reacties op het scannen van resultaten. Dit maakt deel uit van het 'labs'-project waarmee klanten aan de slag kunnen met Microsoft Defender voor Cloud en praktische ervaring bieden met de mogelijkheden ervan.
Logboekregistratie instellen voor malwarescans
Voor elk opslagaccount dat is ingeschakeld met malwarescans, kunt u een Log Analytics-werkruimtebestemming definiƫren om elk scanresultaat op te slaan in een gecentraliseerde logboekopslagplaats die eenvoudig te doorzoeken is.
Voordat u scanresultaten naar Log Analytics verzendt, maakt u een Log Analytics-werkruimte of gebruikt u een bestaande werkruimte.
Als u de Log Analytics-bestemming wilt configureren, gaat u naar het relevante opslagaccount, opent u het tabblad Microsoft Defender voor Cloud en selecteert u de instellingen die u wilt configureren.
Deze configuratie kan ook worden uitgevoerd met behulp van REST API:
Aanvraag-URL:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Aanvraagtekst:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Notitie
De Azure-portal bevat Log Analytics-werkruimten uit hetzelfde abonnement als het opslagaccount. De REST API kan worden gebruikt om een Log Analytics-werkruimte te configureren vanuit een ander abonnement van dezelfde tenant, zoals hierboven beschreven.
Scanresultaten worden vastgelegd in een tabel met de naam StorageMalwareScanningResults
. Deze tabel wordt gemaakt wanneer het eerste scanresultaat wordt vastgelegd.
Event Grid instellen voor malwarescans
Voor elk opslagaccount dat is ingeschakeld met malwarescans, kunt u configureren dat elk scanresultaat wordt verzonden met behulp van een Event Grid-gebeurtenis voor automatiseringsdoeleinden.
Als u Event Grid wilt configureren voor het verzenden van scanresultaten, moet u eerst vooraf een aangepast onderwerp maken. Raadpleeg de Event Grid-documentatie over het maken van aangepaste onderwerpen voor hulp. Zorg ervoor dat het aangepaste event grid-doelonderwerp wordt gemaakt in dezelfde regio als het opslagaccount waaruit u scanresultaten wilt verzenden.
Als u de bestemming van het aangepaste Event Grid-onderwerp wilt configureren, gaat u naar het relevante opslagaccount, opent u het tabblad Microsoft Defender voor Cloud en selecteert u de instellingen die u wilt configureren.
Notitie
Wanneer u een aangepast Event Grid-onderwerp instelt, moet u de instellingen op abonnementsniveau Van Defender voor Opslag overschrijven instellen op Aan om ervoor te zorgen dat de instellingen op abonnementsniveau worden overschreven.
Notitie
De Azure-portal bevat Event Grid-onderwerpen uit hetzelfde abonnement als het opslagaccount. De REST API kan worden gebruikt om een Event Grid-onderwerp te configureren vanuit een ander abonnement van dezelfde tenant, zoals hieronder wordt beschreven. Deze configuratie kan ook worden uitgevoerd met behulp van REST API:
Aanvraag-URL:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Aanvraagtekst:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Instellingen op abonnementsniveau van Defender for Storage overschrijven
De instellingen op abonnementsniveau nemen Defender for Storage-instellingen over voor elk opslagaccount in het abonnement. Gebruik Instellingen op abonnementsniveau van Defender for Storage overschrijven om instellingen voor afzonderlijke opslagaccounts te configureren die afwijken van de instellingen die op abonnementsniveau zijn geconfigureerd.
Het overschrijven van de instellingen van de abonnementen wordt meestal gebruikt voor de volgende scenario's:
- Schakel malwarescans of de functies voor detectie van bedreigingen voor gegevensgevoeligheid in of uit.
- Configureer aangepaste instellingen voor malwarescans.
- Schakel Microsoft Defender for Storage uit voor specifieke opslagaccounts.
Notitie
U wordt aangeraden Defender for Storage in te schakelen voor het hele abonnement om alle bestaande en toekomstige opslagaccounts hierin te beveiligen. Er zijn echter enkele gevallen waarin u specifieke opslagaccounts wilt uitsluiten van Defender-beveiliging. Als u hebt besloten om uit te sluiten, volgt u de onderstaande stappen om de instelling voor onderdrukking te gebruiken en schakelt u vervolgens het relevante opslagaccount uit. Als u Defender for Storage (klassiek) gebruikt, kunt u ook opslagaccounts uitsluiten.
Azure Portal
Als u de instellingen van afzonderlijke opslagaccounts wilt configureren die afwijken van de instellingen die op abonnementsniveau zijn geconfigureerd met behulp van Azure Portal:
Meld u aan bij het Azure-portaal.
Navigeer naar uw opslagaccount waarvan u aangepaste instellingen wilt configureren.
Selecteer Microsoft Defender voor Cloud in het menu opslagaccount in de sectie Beveiliging en netwerken.
Selecteer Instellingen in Microsoft Defender voor Opslag.
Stel de status van instellingen op abonnementsniveau van Defender for Storage (onder Geavanceerde instellingen) in op Aan. Dit zorgt ervoor dat de instellingen alleen voor dit opslagaccount worden opgeslagen en niet worden overschreven door de abonnementsinstellingen.
Configureer de instellingen die u wilt wijzigen:
Als u malwarescans of detectie van gevoelige gegevensrisico's wilt inschakelen, stelt u de status in op Aan.
De instellingen van malwarescans wijzigen:
Schakel het scannen van malware bij uploaden in op Aan als deze nog niet is ingeschakeld.
Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt aanpassen, kunt u de parameter Set limit of GB gescand per maand wijzigen in de gewenste waarde. Deze parameter bepaalt de maximale hoeveelheid gegevens die elke maand kan worden gescand op malware, met name voor elk opslagaccount. Als u onbeperkt scannen wilt toestaan, kunt u deze parameter uitschakelen. De limiet is standaard ingesteld op 5.000 GB.
Als u Defender for Storage wilt uitschakelen voor dit opslagaccount, stelt u de status van Microsoft Defender for Storage in op Uit.
Selecteer Opslaan.
REST-API
Als u de instellingen van afzonderlijke opslagaccounts wilt configureren die afwijken van de instellingen die op abonnementsniveau zijn geconfigureerd met behulp van REST API:
Maak een PUT-aanvraag met dit eindpunt. Vervang dienovereenkomstig de subscriptionId, resourceGroupName en accountName in de eindpunt-URL door uw eigen Azure-abonnements-id, resourcegroep en opslagaccountnamen.
Aanvraag-URL:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Aanvraagtekst:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Als u malwarescans of detectie van gevoelige gegevensrisico's wilt inschakelen, stelt u de waarde isEnabled in op true onder de relevante functies.
Als u de instellingen van malwarescans wilt wijzigen, bewerkt u de relevante velden onder onUpload en controleert u of de waarde van isEnabled waar is. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe aan de parameter capGBPerMonth.
Als u Defender voor Storage wilt uitschakelen voor deze opslagaccounts, gebruikt u de volgende hoofdtekst voor de aanvraag:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Zorg ervoor dat u de parameter overrideSubscriptionLevelSettings
en de waarde ervan op true toevoegt. Dit zorgt ervoor dat de instellingen alleen voor dit opslagaccount worden opgeslagen en niet worden overschreven door de abonnementsinstellingen.
Volgende stap
Meer informatie over scaninstellingen voor malware.