你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 PowerShell 启用并配置

建议在订阅级别启用 Defender for Storage。 这样做可确保订阅中当前的所有存储帐户都受到保护。 在订阅级别启用 Defender for Storage 后创建的存储帐户在创建后的 24 小时内受到保护。

提示

你始终可以使用不同于在订阅级别配置的设置的自定义配置，用其配置特定存储帐户（替代订阅级别设置）。

在使用 PowerShell 之前，请执行以下步骤：

1. 如果尚未安装，请安装 Azure Az PowerShell 模块。

2. 使用 Connect-AzAccount cmdlet 登录到 Azure 帐户。 详细了解如何使用 Azure PowerShell 登录 Azure。

3. 使用以下命令将订阅注册到 Microsoft Defender for Cloud 资源提供程序：

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   将 <subscriptionId> 替换为订阅 ID。

在订阅上启用

使用 Set-AzSecurityPricing cmdlet 在订阅级别启用 Microsoft Defender for Storage 按事务定价：

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

如果未为 cmdlet 提供扩展属性，则默认情况下会启用恶意软件扫描和敏感数据发现。 用于恶意软件扫描的每个存储帐户的默认每月阈值为 5,000 GB。

要修改存储帐户中上传恶意软件扫描的每月阈值，请将 CapGBPerMonthPerStorageAccount 属性调整为首选值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

如果要关闭上传时恶意软件扫描或敏感数据威胁检测功能，你可以分别在 OnUploadMalwareScanning 或 SensitiveDataDiscovery 扩展属性上将 isEnabled 值更改为 False。 要禁用整个 Defender 计划，请将 -PricingTier 属性值设置为 Free，并删除 -SubPlan 和扩展属性。

提示

可以使用 GetAzSecurityPricing cmdlet 查看为订阅启用的所有 Defender for Cloud 计划。

有关 Set-AzSecurityPricing cmdlet 的详细信息，请参阅 Azure PowerShell 参考。

在存储帐户上启用

使用 Update-AzSecurityDefenderForStorage cmdlet 在存储帐户级别启用并配置 Microsoft Defender for Storage。 在此示例中，将 <SubscriptionId>、<ResourceGroupName> 和 <StorageAccountName> 替换为你自己的 Azure 订阅 ID、资源组和存储帐户名称：

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

注意

在订阅级别启用 Defender for Storage 后，需要使用 -OverrideSubscriptionLevelSetting 参数来替代订阅级别的设置。 如果未使用替代参数，则无论 cmdlet 中提供的参数值如何，都将根据订阅级别设置设置扩展。

若要修改恶意软件扫描存储帐户的每月阈值，请将 -OnUploadCapGBPerMonth 参数调整为首选值。 此参数设置每个存储帐户每月要扫描恶意软件的最大数据数的上限。 如果要允许无限制扫描，请分配值 -1。 默认限制设为 5,000 GB。

可以通过在参数 -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>" 中提供事件网格主题资源 ID，将恶意软件扫描结果发送到事件网格。

如果要关闭存储帐户的上传恶意软件扫描或敏感数据威胁检测功能，请分别设置 -OnUploadIsEnabled:$false 或 -SensitiveDataDiscoveryIsEnabled:$false。

若要为存储帐户禁用整个 Defender 计划，请设置 IsEnabled:$false、-OnUploadIsEnabled:$false 和 -SensitiveDataDiscoveryIsEnabled:$false。

提示

可以使用 Get-AzSecurityDefenderForStorage cmdlet 查看存储帐户的 Defender for Storage 设置。

有关 Update-AzSecurityDefenderForStorage cmdlet 的详细信息，请参阅 Azure PowerShell 参考。

详细了解如何将 PowerShell 与 Microsoft Defender for Cloud 配合使用。

提示

可以将恶意软件扫描配置为将扫描结果发送到以下位置：
事件网格自定义主题 - 用于基于每个扫描结果的准实时自动响应。 详细了解如何配置恶意软件扫描以将扫描事件发送到事件网格自定义主题。
Log Analytics 工作区 - 用于将每次扫描结果存储在集中式日志存储库中，以便进行合规性和审核工作。 详细了解如何配置恶意软件扫描以将扫描结果发送到 Log Analytics 工作区。

详细了解如何为恶意软件扫描结果设置响应。

后续步骤

• 了解如何使用 Azure 内置策略大规模启用和配置 Defender for Storage 计划。