Inschakelen en configureren met PowerShell

U wordt aangeraden Defender for Storage in te schakelen op abonnementsniveau. Dit zorgt ervoor dat alle opslagaccounts die zich momenteel in het abonnement bevinden, worden beveiligd. Opslagaccounts die zijn gemaakt nadat Defender for Storage op abonnementsniveau is ingeschakeld, worden binnen 24 uur na het maken beveiligd.

Tip

U kunt altijd specifieke opslagaccounts configureren met aangepaste configuraties die verschillen van de instellingen die op abonnementsniveau zijn geconfigureerd (instellingen op abonnementsniveau overschrijven).

Voer de volgende stappen uit voordat u met PowerShell gaat werken:

1. Als u deze nog niet hebt, installeert u de Azure Az PowerShell-module.

2. Gebruik de Connect-AzAccount cmdlet om u aan te melden bij uw Azure-account. Meer informatie over aanmelden bij Azure met Azure PowerShell.

3. Gebruik deze opdrachten om uw abonnement te registreren bij de Microsoft Defender voor Cloud-resourceprovider:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Vervang door <subscriptionId> uw abonnements-id.

Inschakelen voor een abonnement

Schakel Microsoft Defender for Storage in op abonnementsniveau met prijzen per transactie met behulp van Set-AzSecurityPricing cmdlet:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Als er geen extensie-eigenschappen worden opgegeven voor de cmdlet, worden zowel malwarescans als detectie van gevoelige gegevens standaard ingeschakeld. De standaard maandelijkse drempelwaarde per opslagaccount voor malwarescans is 5000 GB.

Als u de maandelijkse drempelwaarde voor het scannen van malware bij het uploaden in uw opslagaccounts wilt wijzigen, past u de CapGBPerMonthPerStorageAccount eigenschap aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in False respectievelijk de eigenschappen van de OnUploadMalwareScanning extensie of SensitiveDataDiscovery de extensie. Als u het hele Defender-abonnement wilt uitschakelen, stelt u de -PricingTier eigenschapswaarde Free in op de -SubPlan eigenschappen en de extensie-eigenschappen.

Tip

U kunt de Cmdlet GetAzSecurityPricing gebruiken om alle Defender voor Cloud abonnementen te zien die zijn ingeschakeld voor het abonnement.

Raadpleeg de Naslaginformatie over Azure PowerShell voor meer informatie over de cmdlet Set-AzSecurityPricing .

Inschakelen voor een opslagaccount

Schakel Microsoft Defender for Storage op opslagaccountniveau in en configureer deze met behulp van de Update-AzSecurityDefenderForStorage cmdlet. Vervang in dit voorbeeld de namen van <ResourceGroupName><StorageAccountName> uw <SubscriptionId>eigen Azure-abonnements-id, resourcegroep en opslagaccount:

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Notitie

Als Defender for Storage is ingeschakeld op abonnementsniveau, is de -OverrideSubscriptionLevelSetting parameter nodig om de instellingen op abonnementsniveau te overschrijven. Als de onderdrukkingsparameter niet wordt gebruikt, worden de extensies ingesteld op basis van de instellingen op abonnementsniveau, ongeacht de parameterwaarden die zijn opgegeven in de cmdlet.

Als u de maandelijkse drempelwaarde wilt wijzigen voor malware die het opslagaccount scant, past u de -OnUploadCapGBPerMonth parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand moeten worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

De malwarescanresultaten kunnen naar Event Grid worden verzonden door de resource-id van het Event Grid-onderwerp in de parameter -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>"op te geven.

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen voor het opslagaccount wilt uitschakelen, stelt u deze in -OnUploadIsEnabled:$false of -SensitiveDataDiscoveryIsEnabled:$false respectievelijk.

Als u het hele Defender-abonnement voor het opslagaccount wilt uitschakelen, stelt u in, -OnUploadIsEnabled:$falseen IsEnabled:$false-SensitiveDataDiscoveryIsEnabled:$false.

Tip

U kunt de cmdlet Get-AzSecurityDefenderForStorage gebruiken om de Instellingen van Defender voor Opslag voor een opslagaccount te bekijken.

Raadpleeg de Azure PowerShell-verwijzing voor meer informatie over de cmdlet Update-AzSecurityDefenderForStorage .

Meer informatie over het gebruik van PowerShell met Microsoft Defender voor Cloud.

Tip

Malwarescans kunnen worden geconfigureerd om scanresultaten naar het volgende te verzenden:
Aangepast Event Grid-onderwerp : voor bijna realtime automatische reactie op basis van elk scanresultaat. Meer informatie over het configureren van malwarescans voor het verzenden van scanevenementen naar een aangepast Event Grid-onderwerp.
Log Analytics-werkruimte : voor het opslaan van elk scanresultaat in een gecentraliseerde logboekopslagplaats voor naleving en controle. Meer informatie over het configureren van malwarescans om scanresultaten naar een Log Analytics-werkruimte te verzenden.

Meer informatie over het instellen van antwoorden voor malwarescanresultaten .

Volgende stappen

• Meer informatie over het inschakelen en configureren van het Defender for Storage-plan op schaal met een ingebouwd Azure-beleid.