Wdrażanie usługi Microsoft Defender for Storage
Usługa Microsoft Defender for Storage to rozwiązanie natywne dla platformy Azure, które oferuje zaawansowaną warstwę analizy zagrożeń na potrzeby wykrywania zagrożeń i ograniczania ryzyka na kontach magazynu, obsługiwane przez technologie analizy zagrożeń firmy Microsoft, technologie ochrony przed złośliwym kodem w usłudze Microsoft Defender i odnajdywanie poufnych danych. Dzięki ochronie usług Azure Blob Storage, Azure Files i Azure Data Lake Storage zapewnia kompleksowy pakiet alertów, skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym (dodatek) i wykrywanie zagrożeń poufnych danych (bez dodatkowych kosztów), co umożliwia szybkie wykrywanie, klasyfikację i reagowanie na potencjalne zagrożenia bezpieczeństwa z kontekstowymi informacjami. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych.
Dzięki usłudze Microsoft Defender for Storage organizacje mogą dostosowywać swoją ochronę i wymuszać spójne zasady zabezpieczeń, włączając je w subskrypcje i konta magazynu z szczegółową kontrolą i elastycznością.
Napiwek
Jeśli obecnie używasz klasycznej usługi Microsoft Defender for Storage, rozważ migrację do nowego planu, który oferuje kilka korzyści związanych z planem klasycznym.
Dostępność
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność |
| Dostępność funkcji: | — Monitorowanie aktywności (alerty zabezpieczeń) — ogólna dostępność - Skanowanie złośliwego oprogramowania — ogólna dostępność — Wykrywanie zagrożeń poufnych danych (odnajdywanie danych poufnych) — wersja zapoznawcza Odwiedź stronę cennika, aby dowiedzieć się więcej. |
| Wymagane role i uprawnienia: | W przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych na poziomach subskrypcji i konta magazynu potrzebne są role właściciela (właściciel subskrypcji/właściciel konta magazynu) lub określone role z odpowiednimi akcjami danych. Aby włączyć monitorowanie aktywności, musisz mieć uprawnienia "Administrator zabezpieczeń". Dowiedz się więcej o wymaganych uprawnieniach. |
| Chmury: |  Chmury komercyjne platformy Azure* Azure Government (tylko obsługa monitorowania działań w planie klasycznym) Azure (Chiny) — 21Vianet Połączone konta platformy AWS |
*Strefa DNS platformy Azure nie jest obsługiwana w przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.
Wymagania wstępne dotyczące skanowania złośliwego oprogramowania
Aby włączyć i skonfigurować skanowanie złośliwego oprogramowania, musisz mieć role właściciela (takie jak właściciel subskrypcji lub właściciel konta magazynu) lub określone role z niezbędnymi akcjami dotyczącymi danych. Dowiedz się więcej o wymaganych uprawnieniach.
Konfigurowanie i konfigurowanie usługi Microsoft Defender for Storage
Aby włączyć i skonfigurować usługę Microsoft Defender dla magazynu oraz zapewnić maksymalną ochronę i optymalizację kosztów, dostępne są następujące opcje konfiguracji:
- Włączanie/wyłączanie usługi Microsoft Defender for Storage na poziomach subskrypcji i konta magazynu.
- Włączanie/wyłączanie skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych.
- Ustaw miesięczny limit ("ograniczenie") na skanowanie złośliwego oprogramowania na konto magazynu miesięcznie, aby kontrolować koszty (wartość domyślna to 5000 GB).
- Skonfiguruj metody konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.
- Skonfiguruj metody zapisywania rejestrowania wyników skanowania złośliwego oprogramowania.
Napiwek
Funkcja skanowania złośliwego oprogramowania ma zaawansowane konfiguracje ułatwiające zespołom ds. zabezpieczeń obsługę różnych przepływów pracy i wymagań.
- Zastąp ustawienia na poziomie subskrypcji, aby skonfigurować określone konta magazynu z konfiguracjami niestandardowymi, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji.
Istnieje kilka sposobów włączania i konfigurowania usługi Defender for Storage: używanie wbudowanych zasad platformy Azure (zalecana metoda) programowo przy użyciu infrastruktury jako szablonów kodu, w tym programu Terraform, Bicep i ARM, przy użyciu witryny Azure Portal, przy użyciu programu PowerShell lub bezpośrednio z interfejsem API REST.
Włączenie usługi Defender for Storage za pośrednictwem zasad jest zalecane, ponieważ ułatwia włączanie na dużą skalę i zapewnia stosowanie spójnych zasad zabezpieczeń dla wszystkich istniejących i przyszłych kont magazynu w zdefiniowanym zakresie (takich jak całe grupy zarządzania). Dzięki temu konta magazynu są chronione za pomocą usługi Defender for Storage zgodnie ze zdefiniowaną konfiguracją organizacji.
Uwaga
Aby zapobiec migracji z powrotem do starszego planu klasycznego, pamiętaj, aby wyłączyć stare zasady usługi Defender for Storage. Wyszukaj i wyłącz zasady o nazwie Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabledlub Configure Microsoft Defender for Storage to be enabled (per-storage account plan) odmawiaj zasad, które uniemożliwiają wyłączenie planu klasycznego.
Następne kroki
- Dowiedz się, jak włączyć i skonfigurować plan usługi Defender for Storage na dużą skalę za pomocą wbudowanych zasad platformy Azure.