你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用基础结构即代码模板启用和配置

建议在订阅级别启用 Defender for Storage。 这样做可确保订阅中当前的所有存储帐户都受到保护。 在订阅级别启用 Defender for Storage 后创建的存储帐户将在创建后最多 24 小时内受到保护。

提示

你始终可以使用不同于在订阅级别配置的设置的自定义配置，用其配置特定存储帐户（替代订阅级别设置）。

在订阅上启用

Terraform 模板

要使用 Terraform 在订阅级别启用和配置 Microsoft Defender for Storage，可以使用以下代码片段：

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

修改恶意软件扫描的每月上限：

要修改每个存储帐户的每月恶意软件扫描上限，请将 CapGBPerMonthPerStorageAccount 参数调整为你的首选值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

禁用功能：

如果要关闭上传恶意软件扫描或敏感数据威胁检测功能，可以从 Terraform 代码中删除相应的扩展块。

禁用整个 Defender for Storage 计划：

若要禁用整个 Defender for Storage 计划，请将tier 属性值设为“免费”并删除subPlan和extension属性。

请参阅azurerm_security_center_subscription_pricing documentation，详细了解azurerm_security_center_subscription_pricing资源。 此外，还可以在Terraform AzureRM 提供程序文档中找到有关适用于 Azure 的 Terraform 提供程序的全面详细信息。

Bicep 模板

要使用 Bicep 在订阅级别启用和配置 Microsoft Defender for Storage，请确保将目标范围设为订阅，并将以下内容添加到 Bicep 模板：

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

修改恶意软件扫描的每月上限：

要修改每个存储帐户的每月恶意软件扫描上限，请将 CapGBPerMonthPerStorageAccount 参数调整为你的首选值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

禁用功能：

如果要禁用“上传时恶意软件扫描”或“敏感数据威胁检测”功能，可以将“敏感数据发现”下的isEnabled值更改为 False。

禁用整个 Defender for Storage 计划：

若要禁用整个 Defender for Storage 计划，请将pricingTier 属性值设为免费并删除subPlan和extensions属性。

详细了解 Microsoft 安全/定价文档的 Bicep 模板。

Azure Resource Manager 模板

要使用 Azure 资源管理器 (ARM) 模板在订阅级别启用和配置 Microsoft Defender for Storage，请将以下 JSON 代码片段添加到 ARM 模板的资源部分：

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

修改恶意软件扫描的每月上限：

若要修改你的存储帐户中的每月恶意软件扫描阈值，请将 CapGBPerMonthPerStorageAccount 参数调整为你的偏好值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

禁用功能：

如果要禁用“上传时恶意软件扫描”或“敏感数据威胁检测”功能，可以将“敏感数据发现”下的isEnabled值更改为 False。

禁用整个 Defender for Storage 计划：

要禁用整个 Defender 计划，请将pricingTier属性值设为免费并删除subPlan和extension属性。

详细了解 Microsoft 安全/定价文档中的 ARM 模板。

在存储帐户上启用

Terraform 模板 - 存储帐户

要使用 Terraform 在存储帐户级别启用和配置 Microsoft Defender for Storage，请导入AzAPI 提供程序并使用以下代码片段：

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

注意

此处使用的azapi_resource_action是特定于 Microsoft Defender for Storage 配置的操作。 它不同于 Terraform 中的典型资源声明，用于对资源执行特定操作，例如启用或禁用功能。

修改恶意软件扫描的每月上限：

若要修改你的存储帐户中的每月恶意软件扫描阈值，请将 capGBPerMonth 参数调整为你的偏好值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

禁用功能：

如果要关闭“上传时恶意软件扫描”或“敏感数据威胁检测”功能，可以将 malwareScanning 或 sensitiveDataDiscovery 属性下的 isEnabled 值更改为 False。

禁用整个 Defender for Storage 计划：

要禁用存储帐户的整个 Defender for Storage 计划，可以使用以下代码片段：

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

可以将overrideSubscriptionLevelSettings的值更改为True，以在订阅级别为订阅下启用 Defender for Storage 的存储帐户禁用 Defender for Storage 计划。 如果要启用一些功能，可以相应地修改属性。 详细了解Microsoft.Security/defenderForStorageSettings API 文档，以进一步自定义和控制存储帐户的安全设置。 此外，还可以在Terraform AzureRM 提供程序文档中找到有关适用于 Azure 的 Terraform 提供程序的全面详细信息。

Bicep 模板 - 存储帐户

若要使用 Bicep 在存储帐户级别启用和配置 Microsoft Defender for Storage，请将以下内容添加到你的 Bicep 模板：

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

修改恶意软件扫描的每月上限：

要修改存储帐户中的每月恶意软件扫描阈值，请将 capGBPerMonth parameter 调整为偏好值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

禁用功能：

如果要禁用“上传时恶意软件扫描”或“敏感数据威胁检测”功能，可以将malwareScanning或sensitiveDataDiscovery属性部分下的isEnabled值更改为False。

禁用整个 Defender for Storage 计划：

若要为存储帐户禁用整个 Defender 计划，请将 isEnabled 属性值设为 False 并从属性中移除 malwareScanning 和 sensitiveDataDiscovery 部分。

详细了解 Microsoft.Security/DefenderForStorageSettings API 文档。

提示

可以将恶意软件扫描配置为将扫描结果发送到以下位置：
事件网格自定义主题 - 用于基于每个扫描结果的准实时自动响应。 详细了解如何配置恶意软件扫描以将扫描事件发送到事件网格自定义主题。
Log Analytics 工作区 - 用于将每次扫描结果存储在集中式日志存储库中，以便进行合规性和审核工作。 详细了解如何配置恶意软件扫描以将扫描结果发送到 Log Analytics 工作区。

详细了解如何设置恶意软件扫描结果的响应。

ARM 模板 - 存储帐户

若要使用 ARM 模板在存储账户级别启用和配置 Microsoft Defender for Storage，请将以下 JSON 代码片段添加到 ARM 模板的资源部分：

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

修改恶意软件扫描的每月上限：

若要修改你的存储帐户中的每月恶意软件扫描阈值，请将 capGBPerMonth 参数调整为你的偏好值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

禁用功能：

如果要关闭“上传时恶意软件扫描”或“敏感数据威胁检测”功能，可以将 malwareScanning 或 sensitiveDataDiscovery 属性下的 isEnabled 值更改为 False。

禁用整个 Defender for Storage 计划：

若要为存储帐户禁用整个 Defender 计划，请将 isEnabled 属性值设为 False 并从属性中移除 malwareScanning 和 sensitiveDataDiscovery 部分。

下一步

详细了解 Microsoft.Security/DefenderForStorageSettings API 文档。