Compartilhar via

Habilitar e configurar com o PowerShell

  • Artigo

É recomendável habilitar o Defender para Armazenamento no nível da assinatura. Isso garante que todas as contas de armazenamento atualmente na assinatura estejam protegidas. As contas de armazenamento criadas após a habilitação do Defender para Armazenamento no nível da assinatura são protegidas dentro de 24 horas após a criação.

Dica

Você sempre pode configurar contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura (substituir configurações no nível da assinatura).

Antes de trabalhar com o PowerShell, execute as seguintes etapas:

  1. Se você ainda não o tiver, instale o módulo do Azure Az PowerShell.

  2. Use o cmdlet Connect-AzAccount para entrar na conta do Azure. Saiba mais sobre como entrar no Azure com o Azure PowerShell.

  3. Use estes comandos para registrar sua assinatura no provedor de recursos do Microsoft Defender para Nuvem:

    Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

    Substitua <subscriptionId> por sua ID da assinatura.

Habilite o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando o cmdlet Set-AzSecurityPricing:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Se nenhuma propriedade de extensão for fornecida para o cmdlet, a verificação de malware e a descoberta de dados confidenciais serão habilitadas por padrão. O limite mensal padrão por conta de armazenamento para verificação de malware é de 5.000 GB.

Para modificar o limite mensal para verificação de malware ao carregar em suas contas de armazenamento, ajuste a propriedade CapGBPerMonthPerStorageAccount para o valor de sua preferência. Esse parâmetro define um limite nos dados máximos que podem ser verificados quanto a malware a cada mês, por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido como 5,000 GB.

Se você quiser desativar os recursos de verificação de malware ao carregar ou detecção de ameaças a dados confidenciais, poderá alterar o valor isEnabled para False nas propriedades de extensão OnUploadMalwareScanning ou SensitiveDataDiscovery, respectivamente. Para desabilitar todo o plano do Defender, defina o valor da propriedade -PricingTier como Free e remova -SubPlan e propriedades de extensão.

Dica

Você pode usar o cmdlet GetAzSecurityPricing para ver todos os planos do Defender para Nuvem que estão habilitados para a assinatura.

Consulte a referência do Azure PowerShell para obter detalhes sobre o cmdlet Set-AzSecurityPricing.

Saiba mais sobre como usar o PowerShell com o Microsoft Defender para Nuvem.

Dica

A verificação de malware pode ser configurada para enviar resultados de verificação para o seguinte:
Tópico personalizado da Grade de Eventos – para resposta automática quase em tempo real com base em cada resultado de verificação. Saiba mais sobre como configurar a verificação de malware para enviar eventos de verificação para um tópico personalizado da Grade de Eventos.
Workspace do Log Analytics – para armazenar cada resultado de verificação em um repositório de log centralizado para conformidade e auditoria. Saiba mais sobre como configurar a verificação de malware para enviar resultados de verificação para um Workspace do Log Analytics.

Saiba mais sobre como configurar respostas para resultados de verificação de malware .

Próximas etapas