你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender for Storage 中的恶意软件扫描高级配置

可以将恶意软件扫描配置为将扫描结果发送到以下位置:

  • 事件网格自定义主题 - 用于基于每个扫描结果的准实时自动响应。
  • Log Analytics 工作区 - 用于将每次扫描结果存储在集中式日志存储库中,以便进行合规性和审核工作。

详细了解如何设置恶意软件扫描结果的响应

提示

我们建议你尝试 Ninja 培训说明(一个动手实验室),以尝试在 Defender for Storage 中扫描恶意软件,并使用有关如何通过设置扫描结果响应来端到端测试恶意软件扫描的详细分步说明。 这是“实验室”项目的一部分,可帮助客户掌握 Microsoft Defender for Cloud,并提供有关其功能的实际操作体验。

设置恶意软件扫描的日志记录

对于启用了恶意软件扫描的每个存储帐户,可以定义 Log Analytics 工作区目标,以将每个扫描结果存储在易于查询的集中式日志存储库中。

在将扫描结果发送到 Log Analytics 之前,请创建 Log Analytics 工作区或使用现有的工作区。

若要配置 Log Analytics 目标,请导航到相关存储帐户,打开“Microsoft Defender for Cloud”选项卡,然后选择要配置的设置。

显示了在何处为扫描日志配置 Log Analytics 目标的屏幕截图。

也可以使用 REST API 执行此配置:

请求 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

请求正文:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

注意

Azure 门户列出了与存储帐户相同的订阅中的 Log Analytics 工作区。 REST API 可用于从同一租户的不同订阅配置 Log Analytics 工作区,如前文所述。 扫描结果将记录在名为 StorageMalwareScanningResults 的表中。 记录第一个扫描结果时会创建此表。

为恶意软件扫描设置事件网格

对于启用了恶意软件扫描的每个存储帐户,可以配置为使用事件网格事件发送每个扫描结果,以实现自动化。

  1. 要配置事件网格以发送扫描结果,首先需要提前创建自定义主题。 有关创建自定义主题的信息,请参阅事件网格文档。 确保目标事件网格自定义主题是在要从中发送扫描结果的存储帐户所在的同一区域中创建的。

  2. 若要配置事件网格自定义主题目标,请转到相关存储帐户,打开“Microsoft Defender for Cloud”选项卡,然后选择要配置的设置。

注意

设置事件网格自定义主题时,应将“替代 Defender for Storage 订阅级别设置”设为“”,以确保它能够替代订阅级设置。

显示了在何处为扫描日志启用事件网格目标的屏幕截图。

注意

Azure 门户列出了与存储帐户相同的订阅中的事件网格主题。 REST API 可用于从同一租户的不同订阅配置事件网格主题,如下一节所述。 也可以使用 REST API 执行此配置:

请求 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

请求正文:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

替代 Defender for Storage 订阅级别设置

订阅级别设置会继承该订阅中每个存储帐户上的 Defender for Storage 设置。 使用“替代 Defender for Storage 订阅级别设置”,为与订阅级别上配置的存储帐户不同的单个存储帐户配置设置。

替代订阅的设置通常用于以下方案:

  • 启用/禁用恶意软件扫描或数据敏感度威胁检测功能。
  • 配置恶意软件扫描的自定义设置。
  • 禁用特定存储帐户上的 Microsoft Defender for Storage。

注意

建议在整个订阅上启用 Defender for Storage,以保护其中的所有现有和将来的存储帐户。 但是,在某些情况下,需要从 Defender 保护中排除特定的存储帐户。 如果已决定排除,请按照下列部分中的步骤使用替代设置,然后禁用相关的存储帐户。 如果你在使用 Defender for Storage(经典),还可以排除存储帐户

Azure 门户

要使用 Azure 门户配置与订阅级别上配置的存储帐户不同的单个存储帐户的设置,请执行以下操作:

  1. 登录 Azure 门户

  2. 导航到要配置自定义设置的存储帐户。

  3. 在存储帐户菜单中,在“安全性 + 网络”部分中,选择“Microsoft Defender for Cloud”。

  4. 选择 Microsoft Defender for Storage 中的“设置”。

  5. 将“替代 Defender for Storage 订阅级别设置”(在高级设置下)的状态设为“”。 这可确保仅为此存储帐户保存设置,并且不会因订阅设置而溢出。

  6. 配置要更改的设置:

    1. 若要启用恶意软件扫描或敏感数据威胁检测,请将状态设为“”。

    2. 若要修改恶意软件扫描的设置:

      1. 将“上传时恶意软件扫描”切换为“开”(如果尚未启用)。

      2. 若要调整存储帐户中每月恶意软件扫描的阈值,可以将名为“设置每月扫描限制 (GB)”的参数修改为所需的值。 此参数确定每月可扫描恶意软件的最大数据量,专门针对每个存储帐户。 如果希望实现无限制扫描,可以取消选中此参数。 默认上限设为 5,000 GB。

  7. 若要在此存储帐户上禁用 Defender for Storage,请将 Microsoft Defender for Storage 状态设为“”。

    显示在 Azure 门户中关闭 Defender for Storage 的位置的屏幕截图。

    选择“保存”。

REST API

要使用 REST API 配置与订阅级别上配置的存储帐户不同的单个存储帐户的设置,请执行以下操作:

使用此终结点创建 PUT 请求。 相应地,将终结点 URL 中的 subscriptionId、resourceGroupName 和 accountName 替换为你自己的 Azure 订阅 ID、资源组和存储帐户名称。

请求 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

请求正文:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}
  1. 若要启用恶意软件扫描或敏感数据威胁检测,请在相关功能下将 isEnabled 的值设为 true

  2. 若要修改恶意软件扫描的设置,请编辑“onUpload”下的相关字段,确保 isEnabled 的值为 true。 如果希望允许无限制扫描,请将值 -1 分配给 capGBPerMonth 参数。

  3. 若要在此存储帐户上禁用 Defender for Storage,请使用以下请求正文:

    {
        "properties": {
            "isEnabled": false,
            "overrideSubscriptionLevelSettings": true
        }
    }
    

请确保添加参数 overrideSubscriptionLevelSettings,并且其值设为 true。 这可确保仅为此存储帐户保存设置,并且不会因订阅设置而溢出。

下一步

详细了解恶意软件扫描设置