使用基礎結構即程式碼範本啟用和設定

建議您在訂用帳戶層級上啟用適用於儲存體的 Defender。 這樣做可確保訂閱中目前的所有儲存體帳戶都受到保護。 在訂用帳戶層級啟用適用於記憶體的Defender之後所建立的記憶體帳戶，在建立後最多24小時會受到保護。

提示

您隨時可以使用與訂用帳戶層級所設定不同的自訂設定來設定特定儲存體帳戶 (覆寫訂用帳戶層級設定)。

在訂用帳戶上啟用

Terraform 範本

若要使用 Terraform 在訂用帳戶層級啟用及設定適用於儲存體的 Microsoft Defender，您可以使用下列程式碼片段:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

修改惡意程式碼掃描的每月上限:

若要修改每個儲存體帳戶惡意程式碼掃描的每月上限，請將 CapGBPerMonthPerStorageAccount 參數調整為您偏好的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您想要允許無限制的掃描，請指派值 -1。 預設限制設定為 5,000 GB。

停用功能:

如果您想要關閉上傳惡意程式碼掃描或敏感資料威脅偵測功能，您可以從 Terraform 程式碼中移除對應的擴充功能區塊。

停用整個適用於儲存體的 Defender 方案:

若要停用整個適用於儲存體的 Defender 方案，請將 tier 屬性值設定為 [False]，並移除 extension 和 subPlan 屬性。

若要深入了解 azurerm_security_center_subscription_pricing 資源，請參閱 azurerm_security_center_subscription_pricing 文件。 此外，您可以在 Terraform AzureRM 提供者文件中找到適用於 Azure 的 Terraform 提供者的完整詳細資料。

Bicep 範本

若要使用 Bicep 在訂用帳戶層級啟用和設定適用於儲存體的 Microsoft Defender，請確定您的目標範圍設定為訂用帳戶，並將下列內容新增至 Bicep 範本:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

修改惡意程式碼掃描的每月上限:

若要修改每個儲存體帳戶惡意程式碼掃描的每月上限，請將 CapGBPerMonthPerStorageAccount 參數調整為您偏好的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您要允許無限制的掃描，請指派值 -1。 預設限制設定為 5,000 GB。

停用功能:

如果您想要關閉 [上傳時進行惡意程式碼掃描] 或 [敏感性資料威脅偵測] 功能，您可以在 [敏感性資料探索] 底下將 isEnabled 值變更為 [False]。

停用整個適用於儲存體的 Defender 方案:

若要停用整個適用於儲存體的 Defender 方案，請將 pricingTier 屬性值設定為 [False]，並移除 extensions 和 subPlan 屬性。

在 Microsoft.Security/Pricings 文件中深入了解 Bicep 範本。

Azure Resource Manager 範本

若要使用 Azure Resource Manager （ARM） 範本在訂用帳戶層級啟用和設定 Microsoft 適用於記憶體的 defender，請將此 JSON 代碼段新增至 ARM 範本的資源區段：

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

修改惡意程式碼掃描的每月上限:

若要修改您的儲存體帳戶中惡意程式碼掃描的每月閾值，請將 CapGBPerMonthPerStorageAccount 參數調整為您偏好的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您要允許無限制的掃描，請指派值 -1。 預設限制設定為 5,000 GB。

停用功能:

如果您想要關閉 [上傳時進行惡意程式碼掃描] 或 [敏感性資料威脅偵測] 功能，您可以在 [敏感性資料探索] 底下將 isEnabled 值變更為 [False]。

停用整個適用於儲存體的 Defender 方案:

若要停用整個 Defender 方案，請將 pricingTier 屬性值設定為 Free，並移除 subPlan 和 extension 屬性。

在 Microsoft.Security/Pricings 文件中深入了解 ARM 範本。

在儲存體帳戶上啟用

Terraform 範本 - 儲存體帳戶

若要使用 Terraform 在儲存體帳戶層級啟用及設定適用於儲存體的 Microsoft Defender，請匯入 AzAPI 提供者並使用下列程式碼片段:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

注意

此處使用的 azapi_resource_action 是適用於儲存體的 Microsoft Defender 設定專屬的動作。 這與 Terraform 中的一般資源宣告不同，而且用來對資源執行特定動作，例如啟用或停用功能。

修改惡意程式碼掃描的每月上限:

若要修改您的儲存體帳戶中惡意程式碼掃描的每月閾值，請將 capGBPerMonth 參數調整為您偏好的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您想要允許無限制的掃描，請指派值 -1。 預設限制設定為 5,000 GB。

停用功能:

如果您想要關閉 [上傳時進行惡意程式碼掃描] 或 [敏感性資料威脅偵測] 功能，您可以在 malwareScanning 或 sensitiveDataDiscovery 屬性區段底下將 isEnabled 值變更為 [False]。

停用整個適用於儲存體的 Defender 方案:

若要停用儲存體帳戶的整個適用於儲存體的 Defender 方案，您可以使用下列程式碼片段:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

您可以將 overrideSubscriptionLevelSettings 的值變更為 True，以在訂用帳戶層級啟用適用於儲存體的 Defender 下停用儲存體帳戶的適用於儲存體的 Defender 方案。 如果您想要讓某些功能保持啟用，您可以據以修改屬性。 深入了解 Microsoft.Security/defenderForStorageSettings API 文件，以進一步自訂和控制儲存體帳戶的安全性設定。 此外，您可以在 Terraform AzureRM 提供者文件中找到適用於 Azure 的 Terraform 提供者的完整詳細資料。

Bicep 範本 - 儲存體帳戶

若要使用 Bicep 在儲存體帳戶層級啟用和設定適用於儲存體的 Microsoft Defender，請將下列內容新增至 Bicep 範本:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

修改惡意程式碼掃描的每月上限:

若要修改記憶體帳戶中惡意代碼掃描的每月閾值，請調整 capGBPerMonth parameter 為慣用的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您要允許無限制的掃描，請指派值 -1。 預設限制設定為 5,000 GB。

停用功能:

如果您想要關閉 [上傳時進行惡意程式碼掃描] 或 [敏感性資料威脅偵測] 功能，您可以在 malwareScanning 或 sensitiveDataDiscovery 屬性區段底下將 isEnabled 值變更為 [False]。

停用整個適用於儲存體的 Defender 方案:

若要為儲存體帳戶停用整個 Defender 方案，請將 isEnabled 屬性值設定為 [False]，並從屬性中移除 malwareScanning 和 sensitiveDataDiscovery 區段。

深入了解 Microsoft.Security/DefenderForStorageSettings API 文件。

提示

惡意代碼掃描可以設定為將掃描結果傳送至下列專案：
[事件方格] 自訂主題 - 根據每個掃描結果進行近乎即時的自動回應。 深入了解如何設定惡意程式碼掃描，以將掃描事件傳送至 [事件方格] 自訂主題 (部分機器翻譯)。
Log Analytics 工作區 - 用於將每個掃描結果儲存在集中式記錄存放庫中，以遵循法規和稽核。 深入了解如何設定惡意程式碼掃描，以將掃描結果傳送至 Log Analytics 工作區 (部分機器翻譯)。

深入了解如何設定惡意程式碼掃描結果的回應。

ARM 範本 - 儲存體帳戶

若要使用 ARM 範本在儲存體帳戶層級啟用和設定適用於儲存體的 Microsoft Defender，請將此 JSON 程式碼片段新增至 ARM 範本的資源區段:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

修改惡意程式碼掃描的每月上限:

若要修改您的儲存體帳戶中惡意程式碼掃描的每月閾值，請將 capGBPerMonth 參數調整為您偏好的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您想要允許無限制的掃描，請指派值 -1。 預設限制設定為 5,000 GB。

停用功能:

如果您想要關閉 [上傳時進行惡意程式碼掃描] 或 [敏感性資料威脅偵測] 功能，您可以在 malwareScanning 或 sensitiveDataDiscovery 屬性區段底下將 isEnabled 值變更為 [False]。

停用整個適用於儲存體的 Defender 方案:

若要為儲存體帳戶停用整個 Defender 方案，請將 isEnabled 屬性值設定為 [False]，並從屬性中移除 malwareScanning 和 sensitiveDataDiscovery 區段。

後續步驟

深入了解 Microsoft.Security/DefenderForStorageSettings API 文件。