Distribuera Microsoft Defender för Storage
Microsoft Defender för Storage är en Azure-baserad lösning som erbjuder ett avancerat lager av intelligens för hotidentifiering och riskreducering i lagringskonton som drivs av Microsoft Threat Intelligence, Microsoft Defender Antimalware-tekniker och Känslig dataidentifiering. Med skydd för Azure Blob Storage-, Azure Files- och Azure Data Lake Storage-tjänster ger det en omfattande aviseringssvit, sökning efter skadlig kod i nära realtid (tillägg) och identifiering av känsligt datahot (utan extra kostnad), vilket möjliggör snabb identifiering, prioritering och svar på potentiella säkerhetshot med sammanhangsbaserad information. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data.
Med Microsoft Defender för Storage kan organisationer anpassa sitt skydd och tillämpa konsekventa säkerhetsprinciper genom att aktivera det på prenumerationer och lagringskonton med detaljerad kontroll och flexibilitet.
Dricks
Om du redan har aktiverat Defender for Storage (klassisk) och vill komma åt de nya säkerhetsfunktionerna och prissättningen måste du migrera till den nya prisplanen.
Tillgänglighet
| Aspekt | Detaljer |
|---|---|
| Versionstillstånd: | Allmän tillgänglighet (GA) |
| Funktionstillgänglighet: | – Aktivitetsövervakning (säkerhetsaviseringar) – Allmän tillgänglighet (GA) – Skanning av skadlig kod – Allmän tillgänglighet (GA) – Identifiering av känsligt datahot (identifiering av känsliga data) – förhandsversion Gå till prissidan om du vill veta mer. |
| Nödvändiga roller och behörigheter: | För skanning av skadlig kod och identifiering av känsliga datahot på prenumerations- och lagringskontonivåer behöver du ägarroller (prenumerationsägare/lagringskontoägare) eller specifika roller med motsvarande dataåtgärder. För att aktivera aktivitetsövervakning behöver du behörigheter som säkerhetsadministratör. Läs mer om de behörigheter som krävs. |
| Moln: |  Kommersiella Azure-moln* Azure Government (endast stöd för aktivitetsövervakning i den klassiska planen) Azure China 21Vianet Anslutna AWS-konton |
Zonen Azure Domain Name System (DNS) stöds inte för genomsökning av skadlig kod och identifiering av känsligt datahot.
Krav för skanning av skadlig kod
Om du vill aktivera och konfigurera skanning av skadlig kod måste du ha ägarroller (till exempel prenumerationsägare eller lagringskontoägare) eller specifika roller med nödvändiga dataåtgärder.
Konfigurera Microsoft Defender för Storage
Följande konfigurationsalternativ är tillgängliga för att aktivera och konfigurera Microsoft Defender för Lagring och säkerställa maximalt skydd och kostnadsoptimering:
- Aktivera/inaktivera Microsoft Defender för Lagring på prenumerations- och lagringskontonivå.
- Aktivera/inaktivera skanning av skadlig kod eller konfigurerbara funktioner för identifiering av känsligt datahot.
- Ange ett månatligt tak ("capping") för genomsökning av skadlig kod per lagringskonto per månad för att kontrollera kostnaderna (standardvärdet är 5 000 GB).
- Konfigurera metoder för att konfigurera svar på resultat från genomsökning av skadlig kod.
- Konfigurera metoder för att spara resultatloggning av skadlig kodgenomsökning.
Viktigt!
Funktionen Genomsökning av skadlig kod har avancerade konfigurationer som hjälper säkerhetsteam att stödja olika arbetsflöden och krav.
- Åsidosätt inställningar på prenumerationsnivå för att konfigurera specifika lagringskonton med anpassade konfigurationer som skiljer sig från de inställningar som konfigurerats på prenumerationsnivå
Det finns flera sätt att aktivera och konfigurera Defender för Lagring: använda den inbyggda Azure-principen (den rekommenderade metoden), programmatiskt använda infrastruktur som kodmallar, inklusive Terraform-, Bicep- och Azure Resource Manager-mallar (ARM), med hjälp av Azure Portal eller direkt med REST-API:et.
Aktivering av Defender för lagring via en princip rekommenderas eftersom det underlättar aktivering i stor skala och säkerställer att en konsekvent säkerhetsprincip tillämpas på alla befintliga och framtida lagringskonton inom det definierade omfånget (till exempel hela hanteringsgrupper). På så sätt skyddas lagringskontona med Defender for Storage enligt organisationens definierade konfiguration.
Kommentar
Om du vill förhindra migrering tillbaka till den äldre klassiska planen måste du inaktivera de gamla Principerna för Defender för lagring. Leta efter och inaktivera principer med namnet Configure Azure Defender for Storage to be enabled, Azure Defender for Storage ska aktiveras eller Configure Microsoft Defender for Storage to be enabled (per-storage account plan) neka principer som förhindrar att den klassiska planen inaktiveras.