Wdrażanie usługi Microsoft Defender for Storage

Ukończone

Usługa Microsoft Defender for Storage to rozwiązanie natywne dla platformy Azure, które oferuje zaawansowaną warstwę analizy zagrożeń na potrzeby wykrywania zagrożeń i ograniczania ryzyka na kontach magazynu, obsługiwane przez technologie analizy zagrożeń firmy Microsoft, technologie ochrony przed złośliwym kodem w usłudze Microsoft Defender i odnajdywanie poufnych danych. Dzięki ochronie usług Azure Blob Storage, Azure Files i Azure Data Lake Storage zapewnia kompleksowy pakiet alertów, skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym (dodatek) i wykrywanie zagrożeń poufnych danych (bez dodatkowych kosztów), co umożliwia szybkie wykrywanie, klasyfikację i reagowanie na potencjalne zagrożenia bezpieczeństwa z kontekstowymi informacjami. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych.

Dzięki usłudze Microsoft Defender for Storage organizacje mogą dostosowywać swoją ochronę i wymuszać spójne zasady zabezpieczeń, włączając je w subskrypcje i konta magazynu z szczegółową kontrolą i elastycznością.

Napiwek

Jeśli masz już włączoną usługę Defender for Storage (klasyczną) i chcesz uzyskać dostęp do nowych funkcji zabezpieczeń i cen, musisz przeprowadzić migrację do nowego planu cenowego.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Dostępność funkcji: — Monitorowanie aktywności (alerty zabezpieczeń) — ogólna dostępność
- Skanowanie złośliwego oprogramowania — ogólna dostępność
— Wykrywanie zagrożeń poufnych danych (odnajdywanie danych poufnych) — wersja zapoznawcza

Odwiedź stronę cennika, aby dowiedzieć się więcej.
Wymagane role i uprawnienia: W przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych na poziomach subskrypcji i konta magazynu potrzebne są role właściciela (właściciel subskrypcji/właściciel konta magazynu) lub określone role z odpowiednimi akcjami danych. Aby włączyć monitorowanie aktywności, musisz mieć uprawnienia "Administrator zabezpieczeń". Dowiedz się więcej o wymaganych uprawnieniach.
Chmury: Ikona pozycji Tak. Chmury komercyjne platformy Azure*
Ikona nr. Azure Government (tylko obsługa monitorowania działań w planie klasycznym)
Ikona nr. Azure (Chiny) — 21Vianet
Ikona nr. Połączone konta platformy AWS

Strefa systemu nazw domen platformy Azure (DNS) nie jest obsługiwana w przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.

Wymagania wstępne dotyczące skanowania złośliwego oprogramowania

Aby włączyć i skonfigurować skanowanie złośliwego oprogramowania, musisz mieć role właściciela (takie jak właściciel subskrypcji lub właściciel konta magazynu) lub określone role z niezbędnymi akcjami dotyczącymi danych.

Konfigurowanie i konfigurowanie usługi Microsoft Defender for Storage

Aby włączyć i skonfigurować usługę Microsoft Defender dla magazynu oraz zapewnić maksymalną ochronę i optymalizację kosztów, dostępne są następujące opcje konfiguracji:

  • Włączanie/wyłączanie usługi Microsoft Defender for Storage na poziomach subskrypcji i konta magazynu.
  • Włączanie/wyłączanie skanowania złośliwego oprogramowania lub funkcji wykrywania zagrożeń poufnych danych.
  • Ustaw miesięczny limit ("ograniczenie") na skanowanie złośliwego oprogramowania na konto magazynu miesięcznie, aby kontrolować koszty (wartość domyślna to 5000 GB).
  • Skonfiguruj metody konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.
  • Skonfiguruj metody zapisywania rejestrowania wyników skanowania złośliwego oprogramowania.

Ważne

Funkcja skanowania złośliwego oprogramowania ma zaawansowane konfiguracje ułatwiające zespołom ds. zabezpieczeń obsługę różnych przepływów pracy i wymagań.

  • Zastąp ustawienia na poziomie subskrypcji, aby skonfigurować określone konta magazynu z konfiguracjami niestandardowymi, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji

Istnieje kilka sposobów włączania i konfigurowania usługi Defender for Storage: korzystanie z wbudowanych zasad platformy Azure (zalecana metoda) programowo przy użyciu infrastruktury jako szablonów kodu, w tym programu Terraform, Bicep i azure Resource Manager (ARM), przy użyciu witryny Azure Portal lub bezpośrednio z interfejsem API REST.

Włączenie usługi Defender for Storage za pośrednictwem zasad jest zalecane, ponieważ ułatwia włączanie na dużą skalę i zapewnia stosowanie spójnych zasad zabezpieczeń dla wszystkich istniejących i przyszłych kont magazynu w zdefiniowanym zakresie (takich jak całe grupy zarządzania). Dzięki temu konta magazynu są chronione za pomocą usługi Defender for Storage zgodnie ze zdefiniowaną konfiguracją organizacji.

Uwaga

Aby zapobiec migracji z powrotem do starszego planu klasycznego, pamiętaj, aby wyłączyć stare zasady usługi Defender for Storage. Wyszukaj i wyłącz zasady o nazwie Configure Azure Defender for Storage to be enabled, usługa Azure Defender for Storage powinna być włączona lub Configure Microsoft Defender for Storage to be enabled (per-storage account plan) blokować zasady, które uniemożliwiają wyłączenie planu klasycznego.