Поделиться через

Включение и настройка с помощью шаблонов кода инфраструктуры

  • Статья

Рекомендуется включить Defender для хранилища на уровне подписки. Это гарантирует, что все учетные записи хранения в настоящее время в подписке будут защищены. Учетные записи хранения, созданные после включения Defender для хранения на уровне подписки, будут защищены до 24 часов после создания.

Совет

Вы всегда можете настроить определенные учетные записи хранения с пользовательскими конфигурациями, которые отличаются от параметров, настроенных на уровне подписки (переопределение параметров уровня подписки).

Шаблон Terraform

Чтобы включить и настроить Microsoft Defender для хранилища на уровне подписки с помощью Terraform, можно использовать следующий фрагмент кода:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Изменение ежемесячного ограничения для сканирования вредоносных программ:

Чтобы изменить ежемесячное ограничение для сканирования вредоносных программ для каждой учетной записи хранения, измените параметр на CapGBPerMonthPerStorageAccount предпочитаемое значение. Этот параметр задает ограничение на максимальные данные, которые можно сканировать для вредоносных программ каждый месяц на учетную запись хранения. Если требуется разрешить неограниченное сканирование, назначьте значение "-1". Ограничение по умолчанию равно 5000 ГБ.

Отключение функций:

Если вы хотите отключить функцию обнаружения угроз для проверки вредоносных программ при отправке или обнаружения конфиденциальных данных, можно удалить соответствующий блок расширения из кода Terraform.

Отключение всего плана Defender для хранилища:

Чтобы отключить весь план Защитника для хранения, задайте tier для свойства значение "Бесплатный" и удалите subPlan свойства и extension свойства.

Дополнительные сведения о ресурсе azurerm_security_center_subscription_pricing см . в документации по azurerm_security_center_subscription_pricing. Кроме того, вы можете найти подробные сведения о поставщике Terraform для Azure в документации по поставщику AzureRM Terraform.

Шаблон Bicep

Чтобы включить и настроить Microsoft Defender для хранилища на уровне подписки с помощью Bicep, убедитесь , что целевая область настроена на подписку и добавьте следующую команду в шаблон Bicep:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Изменение ежемесячного ограничения для сканирования вредоносных программ:

Чтобы изменить ежемесячное ограничение для сканирования вредоносных программ для каждой учетной записи хранения, измените параметр на CapGBPerMonthPerStorageAccount предпочитаемое значение. Этот параметр задает ограничение на максимальные данные, которые можно сканировать для вредоносных программ каждый месяц на учетную запись хранения. Если вы хотите разрешить неограниченное сканирование, назначьте значение -1. Ограничение по умолчанию равно 5000 ГБ.

Отключение функций:

Если вы хотите отключить функцию обнаружения вредоносных программ при отправке или обнаружения угроз конфиденциальных данных, можно изменить isEnabled значение false при обнаружении конфиденциальных данных.

Отключение всего плана Defender для хранилища:

Чтобы отключить весь план Defender для хранения, задайте pricingTier для свойства значение Free и удалите subPlan extensions свойства.

Дополнительные сведения о шаблоне Bicep см. в документации по безопасности и ценам Майкрософт.

Шаблон Azure Resource Manager

Чтобы включить и настроить Microsoft Defender для хранилища на уровне подписки с помощью шаблона ARM (Azure Resource Manager), добавьте этот фрагмент JSON в раздел ресурсов шаблона ARM:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Изменение ежемесячного ограничения для сканирования вредоносных программ:

Чтобы изменить ежемесячное пороговое значение для сканирования вредоносных программ в учетных записях хранения, просто измените параметр на CapGBPerMonthPerStorageAccount предпочитаемое значение. Этот параметр задает ограничение на максимальные данные, которые можно сканировать для вредоносных программ каждый месяц на учетную запись хранения. Если вы хотите разрешить неограниченное сканирование, назначьте значение -1. Ограничение по умолчанию равно 5000 ГБ.

Отключение функций:

Если вы хотите отключить функцию обнаружения угроз для проверки вредоносных программ при отправке или обнаружения конфиденциальных данных, можно изменить isEnabled значение false при обнаружении конфиденциальных данных.

Отключение всего плана Defender для хранилища:

Чтобы отключить весь план Defender, задайте pricingTier для свойства значение Free и удалите subPlan свойства.extension

Дополнительные сведения о шаблоне ARM см. в документации по Microsoft.Security/Pricings.

Следующие шаги

Дополнительные сведения об API Microsoft.Security/DefenderForStorageSettings .