你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

部署 Microsoft Defender for Storage

Microsoft Defender for Storage 是一种 Azure 原生解决方案。 此方案提供了一个高级智能层，用于检测和减轻存储帐户中的威胁。 此方案使用 Microsoft 威胁情报、Microsoft Defender 防病毒软件技术和敏感数据发现。 此方案会保护 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 服务。 该服务提供全面的警报套件、近乎实时的恶意软件扫描（加载项形式）和敏感数据威胁检测，无需额外付费。 你可以借此使用详细信息快速检测、评估和应对潜在的安全威胁。 它有助于避免威胁对数据和工作负载产生重大影响：恶意文件上传、敏感数据外泄和数据损坏。

借助 Microsoft Defender for Storage，组织可以自定义防护并强制实施一致的安全策略，方法是在具有精细控制和灵活性的订阅和存储帐户上启用该策略。

提示

如果你当前使用的是 Microsoft Defender for Storage 经典版，请考虑迁移到新计划，它与经典计划相比具有多项优势。

请查看 Defender for Cloud 定价页，了解定价和区域可用性。

先决条件

在启用 Microsoft Defender for Storage 之前，请确保已具备必要的权限和先决条件。 有关详细信息，请参阅 Microsoft Defender for Storage 的先决条件。

安装并配置 Microsoft Defender for Storage

若要启用和配置 Microsoft Defender for Storage 并确保实现最大的保护和成本优化，可以使用以下配置选项：

• 在订阅和存储帐户级别启用/禁用 Microsoft Defender for Storage。
• 启用/禁用恶意软件扫描或敏感数据威胁检测可配置功能。
• 设置每个存储帐户每月恶意软件扫描的每月上限（“封顶”）以控制成本（默认值为 5,000 GB）。
• 配置用于设置对恶意软件扫描结果的响应的方法。
• 配置用于保存恶意软件扫描结果日志的方法。

提示

恶意软件扫描功能具有高级配置，可帮助安全团队支持不同的工作流和要求。

• 替代订阅级别设置，以使用不同于在订阅级别配置的设置的自定义配置，用其配置特定存储帐户。

可通过多种方式启用和配置 Defender for Storage：

• 使用 Azure 内置策略（建议的方法），
• 以编程方式使用基础结构即代码模板，包括
  • Terraform
  • Bicep
  • ARM 模板
• 使用 Azure 门户
• 使用 PowerShell
• 直接使用 REST API。

建议通过策略启用 Defender for Storage。 此方法有助于实现大规模启用，并确保在定义范围（例如整个管理组）内的所有现有和将来的存储帐户中应用一致的安全策略。 这会根据组织的定义配置，使用 Defender for Storage 保护存储帐户。

注意

若要防止迁移回旧版经典计划，请确保禁用旧的 Defender for Storage 策略。 查找并禁用名为 Configure Azure Defender for Storage to be enabled、Azure Defender for Storage should be enabled 或 Configure Microsoft Defender for Storage to be enabled (per-storage account plan) 的策略，或拒绝会阻止禁用经典计划的策略。

后续步骤

• 了解如何使用 Azure 内置策略大规模启用和配置 Defender for Storage 计划。