Compartilhar via

Habilitar e configurar com modelos de Infraestrutura como Código

  • Artigo

É recomendável habilitar o Defender para Armazenamento no nível da assinatura. Isso garante que todas as contas de armazenamento atualmente na assinatura estejam protegidas. As contas de armazenamento criadas após habilitar o Defender para Armazenamento no nível da assinatura estarão protegidas no máximo 24 horas após a criação.

Dica

Sempre é possível definir as configurações de contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura (substituir configurações no nível da assinatura).

Modelo do Terraform

Para habilitar e configurar o Microsoft Defender para Armazenamento no nível da assinatura usando o Terraform, você pode usar o seguinte snippet de código:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Modificando o limite mensal para verificação de malware:

Para modificar o limite mensal para verificação de malware por conta de armazenamento, ajuste o parâmetro CapGBPerMonthPerStorageAccount para o seu valor preferencial. Esse parâmetro define um limite nos dados máximos que podem ser verificados quanto a malware a cada mês por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido como 5,000 GB.

Desativando recursos:

Se você quiser desativar a verificação de malware ao carregar ou os recursos de detecção de ameaças de dados confidenciais, poderá remover o bloco de extensão correspondente do código do Terraform.

Desabilitando todo o plano Defender for Storage:

Para desabilitar todo o plano do Defender para Armazenamento, defina o valor da propriedade tier como “Free” e remova as propriedades subPlan e extension.

Saiba mais sobre o recurso azurerm_security_center_subscription_pricing referindo-se à documentação de azurerm_security_center_subscription_pricing. Além disso, você pode encontrar detalhes abrangentes sobre o provedor Terraform para Azure na documentação do Provedor AzureRM do Terraform.

Modelo do Bicep

Para habilitar e configurar o Microsoft Defender para Armazenamento no nível da assinatura usando o Bicep, verifique se o escopo de destino está definido como assinatura e adicione o seguinte ao modelo Bicep:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Modificando o limite mensal para verificação de malware:

Para modificar o limite mensal para verificação de malware por conta de armazenamento, ajuste o parâmetro CapGBPerMonthPerStorageAccount para o seu valor preferencial. Esse parâmetro define um limite nos dados máximos que podem ser verificados quanto a malware a cada mês por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido como 5,000 GB.

Desativando recursos:

Se você quiser desativar a verificação de malware ao carregar ou os recursos de detecção de ameaças a dados confidenciais, poderá alterar o valor isEnabled para False em Descoberta de dados confidenciais.

Desabilitando todo o plano Defender for Storage:

Para desabilitar todo o plano do Defender para Armazenamento, defina o valor da propriedade pricingTier como Free e remova as propriedadessubPlan e extensions.

Saiba mais sobre o modelo Bicep na documentação de segurança/preços da Microsoft.

Modelo do Azure Resource Manager

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura usando um modelo do ARM (Azure Resource Manager), adicione este snippet JSON à seção de recursos do modelo do ARM:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Modificando o limite mensal para verificação de malware:

Para modificar o limite mensal de verificação de malware nas suas contas de armazenamento, ajuste o parâmetro CapGBPerMonthPerStorageAccount para o valor de sua preferência. Esse parâmetro define um limite nos dados máximos que podem ser verificados quanto a malware a cada mês, por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido como 5,000 GB.

Desativando recursos:

Se você quiser desativar a verificação de malware ao carregar ou os recursos de detecção de ameaças a dados confidenciais, poderá alterar o valor isEnabled para False em descoberta de dados confidenciais.

Desabilitando todo o plano Defender for Storage:

Para desabilitar todo o plano do Defender para Armazenamento, defina o valor da propriedade pricingTier como Free e remova as propriedades subPlan e extension.

Saiba mais sobre o modelo do ARM na documentação Microsoft.Security/Pricings.

Próxima etapa

Saiba mais sobre a documentação da API Microsoft.Security/DefenderForStorageSettings.