Wdrażanie usługi Microsoft Defender for Storage
Usługa Microsoft Defender for Storage to rozwiązanie natywne dla platformy Azure, które oferuje zaawansowaną warstwę analizy zagrożeń na potrzeby wykrywania zagrożeń i ograniczania ryzyka na kontach magazynu, obsługiwane przez technologie analizy zagrożeń firmy Microsoft, technologie ochrony przed złośliwym kodem w usłudze Microsoft Defender i odnajdywanie poufnych danych. Dzięki ochronie usług Azure Blob Storage, Azure Files i Azure Data Lake Storage zapewnia kompleksowy pakiet alertów, skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym (dodatek) i wykrywanie zagrożeń poufnych danych (bez dodatkowych kosztów), co umożliwia szybkie wykrywanie, klasyfikację i reagowanie na potencjalne zagrożenia bezpieczeństwa z kontekstowymi informacjami. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych.
Dzięki usłudze Microsoft Defender for Storage organizacje mogą dostosowywać swoją ochronę i wymuszać spójne zasady zabezpieczeń, włączając je w subskrypcje i konta magazynu z szczegółową kontrolą i elastycznością.
Napiwek
Jeśli masz już włączoną usługę Defender for Storage (klasyczną) i chcesz uzyskać dostęp do nowych funkcji zabezpieczeń i cen, musisz przeprowadzić migrację do nowego planu cenowego.
Dostępność
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność |
| Dostępność funkcji: | — Monitorowanie aktywności (alerty zabezpieczeń) — ogólna dostępność - Skanowanie złośliwego oprogramowania — ogólna dostępność — Wykrywanie zagrożeń poufnych danych (odnajdywanie danych poufnych) — wersja zapoznawcza Odwiedź stronę cennika, aby dowiedzieć się więcej. |
| Wymagane role i uprawnienia: | W przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych na poziomach subskrypcji i konta magazynu potrzebne są role właściciela (właściciel subskrypcji/właściciel konta magazynu) lub określone role z odpowiednimi akcjami danych. Aby włączyć monitorowanie aktywności, musisz mieć uprawnienia "Administrator zabezpieczeń". Dowiedz się więcej o wymaganych uprawnieniach. |
| Chmury: |
Chmury komercyjne platformy Azure*
Azure Government (tylko obsługa monitorowania działań w planie klasycznym)
Azure (Chiny) — 21Vianet
Połączone konta platformy AWS |
Strefa systemu nazw domen platformy Azure (DNS) nie jest obsługiwana w przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.
Wymagania wstępne dotyczące skanowania złośliwego oprogramowania
Aby włączyć i skonfigurować skanowanie złośliwego oprogramowania, musisz mieć role właściciela (takie jak właściciel subskrypcji lub właściciel konta magazynu) lub określone role z niezbędnymi akcjami dotyczącymi danych.
Konfigurowanie i konfigurowanie usługi Microsoft Defender for Storage
Aby włączyć i skonfigurować usługę Microsoft Defender dla magazynu oraz zapewnić maksymalną ochronę i optymalizację kosztów, dostępne są następujące opcje konfiguracji:
- Włączanie/wyłączanie usługi Microsoft Defender for Storage na poziomach subskrypcji i konta magazynu.
- Włączanie/wyłączanie skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych.
- Ustaw miesięczny limit ("ograniczenie") na skanowanie złośliwego oprogramowania na konto magazynu miesięcznie, aby kontrolować koszty (wartość domyślna to 5000 GB).
- Skonfiguruj metody konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.
- Skonfiguruj metody zapisywania rejestrowania wyników skanowania złośliwego oprogramowania.
Ważne
Funkcja skanowania złośliwego oprogramowania ma zaawansowane konfiguracje ułatwiające zespołom ds. zabezpieczeń obsługę różnych przepływów pracy i wymagań.
- Zastąp ustawienia na poziomie subskrypcji, aby skonfigurować określone konta magazynu z konfiguracjami niestandardowymi, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji
Istnieje kilka sposobów włączania i konfigurowania usługi Defender for Storage: korzystanie z wbudowanych zasad platformy Azure (zalecana metoda) programowo przy użyciu infrastruktury jako szablonów kodu, w tym programu Terraform, Bicep i azure Resource Manager (ARM), przy użyciu witryny Azure Portal lub bezpośrednio z interfejsem API REST.
Włączenie usługi Defender for Storage za pośrednictwem zasad jest zalecane, ponieważ ułatwia włączanie na dużą skalę i zapewnia stosowanie spójnych zasad zabezpieczeń dla wszystkich istniejących i przyszłych kont magazynu w zdefiniowanym zakresie (takich jak całe grupy zarządzania). Dzięki temu konta magazynu są chronione za pomocą usługi Defender for Storage zgodnie ze zdefiniowaną konfiguracją organizacji.
Uwaga
Aby zapobiec migracji z powrotem do starszego planu klasycznego, pamiętaj, aby wyłączyć stare zasady usługi Defender for Storage. Wyszukaj i wyłącz zasady o nazwie Configure Azure Defender for Storage to be enabled, usługa Azure Defender for Storage powinna być włączona lub Configure Microsoft Defender for Storage to be enabled (per-storage account plan) blokować zasady, które uniemożliwiają wyłączenie planu klasycznego.