Udostępnij za pośrednictwem


Zaawansowane konfiguracje skanowania złośliwego oprogramowania w usłudze Microsoft Defender for Storage

Skanowanie złośliwego oprogramowania można skonfigurować do wysyłania wyników skanowania do następujących elementów:

  • Temat niestandardowy usługi Event Grid — w przypadku odpowiedzi automatycznej niemal w czasie rzeczywistym na podstawie każdego wyniku skanowania.
  • Obszar roboczy usługi Log Analytics — do przechowywania każdego wyniku skanowania w scentralizowanym repozytorium dzienników pod kątem zgodności i inspekcji.

Dowiedz się więcej na temat konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.

Napiwek

Zalecamy wypróbowanie instrukcji szkoleniowych ninja, praktycznych laboratorium, aby wypróbować skanowanie złośliwego oprogramowania w usłudze Defender for Storage, korzystając ze szczegółowych instrukcji krok po kroku dotyczących testowania kompleksowego skanowania złośliwego oprogramowania przy konfigurowaniu odpowiedzi na wyniki skanowania. Jest to część projektu "laboratoriów", który pomaga klientom w zwiększaniu się z Microsoft Defender dla Chmury i zapewnia praktyczne doświadczenie w zakresie jego możliwości.

Konfigurowanie rejestrowania na potrzeby skanowania złośliwego oprogramowania

Dla każdego konta magazynu z włączonym skanowaniem złośliwego oprogramowania można zdefiniować miejsce docelowe obszaru roboczego usługi Log Analytics, aby przechowywać każdy wynik skanowania w scentralizowanym repozytorium dzienników, które jest łatwe do wykonywania zapytań.

Przed wysłaniem wyników skanowania do usługi Log Analytics utwórz obszar roboczy usługi Log Analytics lub użyj istniejącego.

Aby skonfigurować miejsce docelowe usługi Log Analytics, przejdź do odpowiedniego konta magazynu, otwórz kartę Microsoft Defender dla Chmury i wybierz ustawienia do skonfigurowania.

Zrzut ekranu przedstawiający miejsce konfigurowania miejsca docelowego usługi Log Analytics na potrzeby dziennika skanowania.

Tę konfigurację można również wykonać przy użyciu interfejsu API REST:

Adres URL żądania:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Treść żądania:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Uwaga

W witrynie Azure Portal są wyświetlane obszary robocze usługi Log Analytics z tej samej subskrypcji co konto magazynu. Interfejs API REST może służyć do konfigurowania obszaru roboczego usługi Log Analytics z innej subskrypcji tej samej dzierżawy, jak opisano wcześniej. Wyniki skanowania zostaną zarejestrowane w tabeli o nazwie StorageMalwareScanningResults. Ta tabela jest tworzona podczas rejestrowania pierwszego wyniku skanowania.

Konfigurowanie usługi Event Grid na potrzeby skanowania złośliwego oprogramowania

Dla każdego konta magazynu włączonego przy skanowaniu złośliwego oprogramowania można skonfigurować wysyłanie wszystkich wyników skanowania przy użyciu zdarzenia usługi Event Grid na potrzeby automatyzacji.

  1. Aby skonfigurować usługę Event Grid do wysyłania wyników skanowania, najpierw należy utworzyć temat niestandardowy z wyprzedzeniem. Aby uzyskać wskazówki, zapoznaj się z dokumentacją usługi Event Grid dotyczącą tworzenia tematów niestandardowych. Upewnij się, że docelowy temat niestandardowy usługi Event Grid jest tworzony w tym samym regionie co konto magazynu, z którego chcesz wysyłać wyniki skanowania.

  2. Aby skonfigurować miejsce docelowe tematu niestandardowego usługi Event Grid, przejdź do odpowiedniego konta magazynu, otwórz kartę Microsoft Defender dla Chmury i wybierz ustawienia do skonfigurowania.

Uwaga

Po ustawieniu tematu niestandardowego usługi Event Grid należy ustawić ustawienie Zastąp ustawienia na poziomie subskrypcji usługi Defender for Storage na wartość Włączone , aby upewnić się, że zastępuje ustawienia na poziomie subskrypcji.

Zrzut ekranu pokazujący, gdzie włączyć miejsce docelowe usługi Event Grid na potrzeby dzienników skanowania.

Uwaga

W witrynie Azure Portal wymieniono tematy usługi Event Grid z tej samej subskrypcji co konto magazynu. Interfejs API REST może służyć do konfigurowania tematu usługi Event Grid z innej subskrypcji tej samej dzierżawy, jak opisano w poniższej sekcji. Tę konfigurację można również wykonać przy użyciu interfejsu API REST:

Adres URL żądania:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Treść żądania:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Zastąp ustawienia na poziomie subskrypcji usługi Defender for Storage

Ustawienia na poziomie subskrypcji dziedziczą ustawienia usługi Defender for Storage na każdym koncie magazynu w subskrypcji. Użyj ustawień na poziomie subskrypcji usługi Override Defender for Storage, aby skonfigurować ustawienia dla poszczególnych kont magazynu innych niż te skonfigurowane na poziomie subskrypcji.

Zastępowanie ustawień subskrypcji jest zwykle używane w następujących scenariuszach:

  • Włącz/wyłącz skanowanie złośliwego oprogramowania lub funkcje wykrywania zagrożeń poufności danych.
  • Skonfiguruj ustawienia niestandardowe na potrzeby skanowania złośliwego oprogramowania.
  • Wyłącz usługę Microsoft Defender for Storage na określonych kontach magazynu.

Uwaga

Zalecamy włączenie usługi Defender for Storage w całej subskrypcji w celu ochrony wszystkich istniejących i przyszłych kont magazynu. Istnieją jednak pewne przypadki, w których należy wykluczyć określone konta magazynu z ochrony usługi Defender. Jeśli zdecydujesz się wykluczyć, wykonaj kroki opisane w poniższej sekcji, aby użyć ustawienia zastąpienia, a następnie wyłącz odpowiednie konto magazynu. Jeśli używasz usługi Defender for Storage (klasycznej), możesz również wykluczyć konta magazynu.

Azure Portal

Aby skonfigurować ustawienia poszczególnych kont magazynu różni się od tych skonfigurowanych na poziomie subskrypcji przy użyciu witryny Azure Portal:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do konta magazynu, w którym chcesz skonfigurować ustawienia niestandardowe.

  3. W menu konta magazynu w sekcji Zabezpieczenia i sieć wybierz pozycję Microsoft Defender dla Chmury.

  4. Wybierz pozycję Ustawienia w usłudze Microsoft Defender for Storage.

  5. Ustaw stan ustawienia na poziomie subskrypcji usługi Defender for Storage (w obszarze Ustawienia zaawansowane) na Wartość Włączone. Dzięki temu ustawienia są zapisywane tylko dla tego konta magazynu i nie są zastępowane przez ustawienia subskrypcji.

  6. Skonfiguruj ustawienia, które chcesz zmienić:

    1. Aby włączyć skanowanie złośliwego oprogramowania lub wykrywanie zagrożeń poufnych danych, ustaw stan włączone.

    2. Aby zmodyfikować ustawienia skanowania złośliwego oprogramowania:

      1. Włącz skanowanie złośliwego oprogramowania podczas przekazywania na wartość Włączone, jeśli nie zostało jeszcze włączone.

      2. Aby dostosować miesięczny próg skanowania złośliwego oprogramowania na kontach magazynu, można zmodyfikować parametr o nazwie Ustaw limit GB skanowanych miesięcznie na żądaną wartość. Ten parametr określa maksymalną ilość danych, które mogą być skanowane pod kątem złośliwego oprogramowania każdego miesiąca, w szczególności dla każdego konta magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, możesz usunąć zaznaczenie tego parametru. Domyślnie limit jest ustawiony na 5000 GB.

  7. Aby wyłączyć usługę Defender for Storage na tym koncie magazynu, ustaw stan usługi Microsoft Defender for Storage na wyłączone.

    Zrzut ekranu pokazujący, gdzie wyłączyć usługę Defender for Storage w witrynie Azure Portal.

    Wybierz pozycję Zapisz.

Interfejs API REST

Aby skonfigurować ustawienia poszczególnych kont magazynu różni się od tych skonfigurowanych na poziomie subskrypcji przy użyciu interfejsu API REST:

Utwórz żądanie PUT z tym punktem końcowym. Zastąp wartości subscriptionId, resourceGroupName i accountName w adresie URL punktu końcowego własnym identyfikatorem subskrypcji platformy Azure, grupą zasobów i odpowiednio nazwami kont magazynu.

Adres URL żądania:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Treść żądania:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}
  1. Aby włączyć skanowanie złośliwego oprogramowania lub wykrywanie zagrożeń poufnych danych, ustaw wartość parametru isEnabled na wartość true w odpowiednich funkcjach.

  2. Aby zmodyfikować ustawienia skanowania złośliwego oprogramowania, zmodyfikuj odpowiednie pola w obszarze onUpload, upewnij się, że wartość isEnabled jest prawdziwa. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1 do parametru capGBPerMonth.

  3. Aby wyłączyć usługę Defender dla usługi Storage na tych kontach magazynu, użyj następującej treści żądania:

    {
        "properties": {
            "isEnabled": false,
            "overrideSubscriptionLevelSettings": true
        }
    }
    

Upewnij się, że parametr został dodany overrideSubscriptionLevelSettings , a jego wartość jest ustawiona na wartość true. Dzięki temu ustawienia są zapisywane tylko dla tego konta magazynu i nie są zastępowane przez ustawienia subskrypcji.

Następny krok

Dowiedz się więcej o ustawieniach skanowania złośliwego oprogramowania.