Włączanie i konfigurowanie przy użyciu programu PowerShell

Zalecamy włączenie usługi Defender for Storage na poziomie subskrypcji. Dzięki temu wszystkie konta magazynu obecnie w ramach subskrypcji są chronione. Konta magazynu utworzone po włączeniu usługi Defender for Storage na poziomie subskrypcji są chronione w ciągu 24 godzin od utworzenia.

Napiwek

Zawsze można skonfigurować określone konta magazynu z niestandardowymi konfiguracjami, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji (przesłaniaj ustawienia na poziomie subskrypcji).

Przed rozpoczęciem pracy z programem PowerShell wykonaj następujące kroki:

1. Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.

2. Connect-AzAccount Użyj polecenia cmdlet , aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się na platformie Azure przy użyciu programu Azure PowerShell.

3. Użyj tych poleceń, aby zarejestrować subskrypcję w dostawcy zasobów Microsoft Defender dla Chmury:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Zastąp <subscriptionId> ciąg identyfikatorem subskrypcji.

Włączanie w ramach subskrypcji

Włącz usługę Microsoft Defender for Storage na poziomie subskrypcji z cenami dla transakcji przy użyciu Set-AzSecurityPricing polecenia cmdlet:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Jeśli dla polecenia cmdlet nie podano żadnych właściwości rozszerzenia, zarówno skanowanie złośliwego oprogramowania, jak i odnajdywanie poufnych danych są domyślnie włączone. Domyślny miesięczny próg na konto magazynu na potrzeby skanowania złośliwego oprogramowania wynosi 5000 GB.

Aby zmodyfikować miesięczny próg skanowania złośliwego oprogramowania podczas przekazywania na kontach magazynu, dostosuj CapGBPerMonthPerStorageAccount właściwość do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit jest ustawiony na 5000 GB.

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych, możesz odpowiednio zmienić isEnabled wartość False na OnUploadMalwareScanning właściwości lub SensitiveDataDiscovery rozszerzenia. Aby wyłączyć cały plan usługi Defender, ustaw -PricingTier wartość właściwości na Free i usuń -SubPlan właściwości i rozszerzenia.

Napiwek

Możesz użyć polecenia cmdlet GetAzSecurityPricing, aby wyświetlić wszystkie plany Defender dla Chmury, które są włączone dla subskrypcji.

Aby uzyskać szczegółowe informacje na temat polecenia cmdlet Set-AzSecurityPricing, zapoznaj się z dokumentacją programu Azure PowerShell.

Włączanie na koncie magazynu

Włącz i skonfiguruj usługę Microsoft Defender for Storage na poziomie konta magazynu przy użyciu Update-AzSecurityDefenderForStorage polecenia cmdlet . W tym przykładzie zastąp wartości <SubscriptionId>, <ResourceGroupName>i <StorageAccountName> własnym identyfikatorem subskrypcji platformy Azure, grupą zasobów i nazwami kont magazynu:

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Uwaga

Po włączeniu usługi Defender for Storage na poziomie -OverrideSubscriptionLevelSetting subskrypcji parametr jest niezbędny do zastąpienia ustawień na poziomie subskrypcji. Jeśli parametr zastąpienia nie jest używany, rozszerzenia zostaną ustawione zgodnie z ustawieniami poziomu subskrypcji, niezależnie od wartości parametrów podanych w poleceniu cmdlet.

Aby zmodyfikować miesięczny próg skanowania konta magazynu przez złośliwe oprogramowanie, dostosuj -OnUploadCapGBPerMonth parametr do preferowanej wartości. Ten parametr określa limit maksymalnej ilości danych do skanowania pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit jest ustawiony na 5000 GB.

Wyniki skanowania złośliwego oprogramowania można wysłać do usługi Event Grid, podając identyfikator zasobu tematu usługi Event Grid w parametrze -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>".

Jeśli chcesz wyłączyć funkcję skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych dla konta magazynu, ustaw -OnUploadIsEnabled:$false je lub -SensitiveDataDiscoveryIsEnabled:$false odpowiednio.

Aby wyłączyć cały plan usługi Defender dla konta magazynu, ustaw wartości IsEnabled:$false, -OnUploadIsEnabled:$falsei -SensitiveDataDiscoveryIsEnabled:$false.

Napiwek

Możesz użyć polecenia cmdlet Get-AzSecurityDefenderForStorage , aby wyświetlić ustawienia usługi Defender for Storage dla konta magazynu.

Aby uzyskać szczegółowe informacje na temat polecenia cmdlet Update-AzSecurityDefenderForStorage, zapoznaj się z dokumentacją programu Azure PowerShell.

Dowiedz się więcej o korzystaniu z programu PowerShell z Microsoft Defender dla Chmury.

Napiwek

Skanowanie w poszukiwaniu złośliwego oprogramowania można skonfigurować do wysyłania wyników skanowania do następujących elementów:
Temat niestandardowy usługi Event Grid — w przypadku odpowiedzi automatycznej niemal w czasie rzeczywistym na podstawie każdego wyniku skanowania. Dowiedz się więcej na temat konfigurowania skanowania złośliwego oprogramowania w celu wysyłania zdarzeń skanowania do tematu niestandardowego usługi Event Grid.
Obszar roboczy usługi Log Analytics — do przechowywania każdego wyniku skanowania w scentralizowanym repozytorium dzienników pod kątem zgodności i inspekcji. Dowiedz się więcej na temat konfigurowania skanowania złośliwego oprogramowania w celu wysyłania wyników skanowania do obszaru roboczego usługi Log Analytics.

Dowiedz się więcej na temat konfigurowania odpowiedzi na potrzeby wyników skanowania złośliwego oprogramowania.

Następne kroki

• Dowiedz się, jak włączyć i skonfigurować plan usługi Defender for Storage na dużą skalę za pomocą wbudowanych zasad platformy Azure.