Włączanie i konfigurowanie przy użyciu infrastruktury jako szablonów kodu

Zalecamy włączenie usługi Defender for Storage na poziomie subskrypcji. Dzięki temu wszystkie konta magazynu obecnie w ramach subskrypcji będą chronione. Konta magazynu utworzone po włączeniu usługi Defender for Storage na poziomie subskrypcji będą chronione do 24 godzin po utworzeniu.

Napiwek

Zawsze można skonfigurować określone konta magazynu z niestandardowymi konfiguracjami, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji (przesłaniaj ustawienia na poziomie subskrypcji).

Włączanie w ramach subskrypcji

Szablon narzędzia Terraform

Aby włączyć i skonfigurować usługę Microsoft Defender for Storage na poziomie subskrypcji przy użyciu programu Terraform, możesz użyć następującego fragmentu kodu:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Modyfikowanie miesięcznego limitu skanowania złośliwego oprogramowania:

Aby zmodyfikować miesięczny limit skanowania złośliwego oprogramowania na konto magazynu, dostosuj CapGBPerMonthPerStorageAccount parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania co miesiąc na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość "-1". Domyślny limit jest ustawiony na 5000 GB.

Wyłączanie funkcji:

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych, możesz usunąć odpowiedni blok rozszerzenia z kodu programu Terraform.

Wyłączenie całego planu usługi Defender for Storage:

Aby wyłączyć cały plan usługi Defender for Storage, ustaw tier wartość właściwości na "Bezpłatna" i usuń subPlan właściwości i extension .

Dowiedz się więcej o zasobie azurerm_security_center_subscription_pricing , korzystając z dokumentacji azurerm_security_center_subscription_pricing. Ponadto szczegółowe informacje na temat dostawcy narzędzia Terraform dla platformy Azure można znaleźć w dokumentacji dostawcy modułu AzureRM programu Terraform.

Szablon Bicep

Aby włączyć i skonfigurować usługę Microsoft Defender for Storage na poziomie subskrypcji przy użyciu aplikacji Bicep, upewnij się, że zakres docelowy jest ustawiony na subskrypcję, a następnie dodaj następujący kod do szablonu Bicep:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Modyfikowanie miesięcznego limitu skanowania złośliwego oprogramowania:

Aby zmodyfikować miesięczny limit skanowania złośliwego oprogramowania na konto magazynu, dostosuj CapGBPerMonthPerStorageAccount parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania co miesiąc na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit jest ustawiony na 5000 GB.

Wyłączanie funkcji:

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania podczas przekazywania lub funkcji wykrywania zagrożeń poufnych danych, możesz zmienić wartość na isEnabled Fałsz w obszarze odnajdywania poufnych danych.

Wyłączenie całego planu usługi Defender for Storage:

Aby wyłączyć cały plan usługi Defender for Storage, ustaw pricingTier wartość właściwości Na wartość Bezpłatna subPlan i usuń właściwości i extensions .

Dowiedz się więcej o szablonie Bicep w dokumentacji dotyczącej zabezpieczeń/cen firmy Microsoft.

Szablon usługi Azure Resource Manager

Aby włączyć i skonfigurować usługę Microsoft Defender for Storage na poziomie subskrypcji przy użyciu szablonu usługi ARM (Azure Resource Manager), dodaj ten fragment kodu JSON do sekcji zasobów szablonu usługi ARM:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Modyfikowanie miesięcznego limitu skanowania złośliwego oprogramowania:

Aby zmodyfikować miesięczny próg skanowania złośliwego oprogramowania na kontach magazynu, po prostu dostosuj CapGBPerMonthPerStorageAccount parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit jest ustawiony na 5000 GB.

Wyłączanie funkcji:

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych, możesz zmienić wartość na isEnabled Fałsz w obszarze odnajdywania poufnych danych.

Wyłączenie całego planu usługi Defender for Storage:

Aby wyłączyć cały plan usługi Defender, ustaw pricingTier wartość właściwości Na wartość Bezpłatna subPlan i usuń właściwości i extension .

Dowiedz się więcej o szablonie usługi ARM w dokumentacji Microsoft.Security/Pricings.

Włączanie na koncie magazynu

Szablon narzędzia Terraform — konto magazynu

Aby włączyć i skonfigurować usługę Microsoft Defender for Storage na poziomie konta magazynu przy użyciu narzędzia Terraform, zaimportuj dostawcę AzAPI i użyj następującego fragmentu kodu:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

Uwaga

Używana azapi_resource_action w tym miejscu jest akcja specyficzna dla konfiguracji usługi Microsoft Defender for Storage. Różni się on od typowych deklaracji zasobów w narzędziu Terraform i służy do wykonywania określonych akcji na zasobie, takich jak włączanie lub wyłączanie funkcji.

Modyfikowanie miesięcznego limitu skanowania złośliwego oprogramowania:

Aby zmodyfikować miesięczny próg skanowania złośliwego oprogramowania na kontach magazynu, po prostu dostosuj capGBPerMonth parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość "-1". Domyślny limit jest ustawiony na 5000 GB.

Wyłączanie funkcji:

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych, możesz zmienić wartość na isEnabled Fałsz w malwareScanning sekcjach właściwości lub sensitiveDataDiscovery .

Wyłączenie całego planu usługi Defender for Storage:

Aby wyłączyć cały plan usługi Defender for Storage dla konta magazynu, możesz użyć następującego fragmentu kodu:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

Możesz zmienić wartość overrideSubscriptionLevelSettings na True , aby wyłączyć plan usługi Defender for Storage dla konta magazynu w ramach subskrypcji z włączoną usługą Defender for Storage na poziomie subskrypcji. Jeśli chcesz zachować włączone niektóre funkcje, możesz odpowiednio zmodyfikować właściwości. Dowiedz się więcej o dokumentacji interfejsu API Microsoft.Security/defenderForStorageSettings w celu dalszego dostosowywania i kontrolowania ustawień zabezpieczeń konta magazynu. Ponadto szczegółowe informacje na temat dostawcy narzędzia Terraform dla platformy Azure można znaleźć w dokumentacji dostawcy modułu AzureRM programu Terraform.

Szablon Bicep — konto magazynu

Aby włączyć i skonfigurować usługę Microsoft Defender for Storage na poziomie konta magazynu przy użyciu aplikacji Bicep, dodaj następujący kod do szablonu Bicep:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

Modyfikowanie miesięcznego limitu skanowania złośliwego oprogramowania:

Aby zmodyfikować miesięczny próg skanowania złośliwego oprogramowania na kontach magazynu, po prostu dostosuj capGBPerMonth parameter wartość do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit jest ustawiony na 5000 GB.

Wyłączanie funkcji:

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania podczas przekazywania lub funkcji wykrywania zagrożeń poufnych danych, możesz zmienić wartość na isEnabled Fałsz w malwareScanning sekcjach właściwości lub sensitiveDataDiscovery .

Wyłączenie całego planu usługi Defender for Storage:

Aby wyłączyć cały plan usługi Defender dla konta magazynu, ustaw isEnabled wartość właściwości false i usuń malwareScanning sekcje z sensitiveDataDiscovery właściwości .

Dowiedz się więcej o dokumentacji interfejsu API Microsoft.Security/DefenderForStorageSettings.

Napiwek

Skanowanie w poszukiwaniu złośliwego oprogramowania można skonfigurować do wysyłania wyników skanowania do następujących elementów:
Temat niestandardowy usługi Event Grid — w przypadku odpowiedzi automatycznej niemal w czasie rzeczywistym na podstawie każdego wyniku skanowania. Dowiedz się więcej na temat konfigurowania skanowania złośliwego oprogramowania w celu wysyłania zdarzeń skanowania do tematu niestandardowego usługi Event Grid.
Obszar roboczy usługi Log Analytics — do przechowywania każdego wyniku skanowania w scentralizowanym repozytorium dzienników pod kątem zgodności i inspekcji. Dowiedz się więcej na temat konfigurowania skanowania złośliwego oprogramowania w celu wysyłania wyników skanowania do obszaru roboczego usługi Log Analytics.

Dowiedz się więcej na temat konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.

Szablon usługi ARM — konto magazynu

Aby włączyć i skonfigurować usługę Microsoft Defender for Storage na poziomie konta magazynu przy użyciu szablonu usługi ARM, dodaj ten fragment kodu JSON do sekcji zasobów szablonu usługi ARM:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Modyfikowanie miesięcznego limitu skanowania złośliwego oprogramowania:

Aby zmodyfikować miesięczny próg skanowania złośliwego oprogramowania na kontach magazynu, po prostu dostosuj capGBPerMonth parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość "-1". Domyślny limit jest ustawiony na 5000 GB.

Wyłączanie funkcji:

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych, możesz zmienić wartość na isEnabled Fałsz w malwareScanning sekcjach właściwości lub sensitiveDataDiscovery .

Wyłączenie całego planu usługi Defender for Storage:

Aby wyłączyć cały plan usługi Defender dla konta magazynu, ustaw isEnabled wartość właściwości false i usuń malwareScanning sekcje z sensitiveDataDiscovery właściwości .

Następne kroki

Dowiedz się więcej o dokumentacji interfejsu API Microsoft.Security/DefenderForStorageSettings .