部署適用於儲存體的 Microsoft Defender

Microsoft適用於記憶體的 Defender 是 Azure 原生解決方案。 它提供進階的情報層，用於偵測和減輕記憶體帳戶中的威脅。 它會使用 Microsoft威脅情報、Microsoft Defender 反惡意代碼技術和敏感數據探索。 它會保護 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake Storage 服務。 此服務提供完整的警示套件、近乎即時的惡意代碼掃描（作為附加元件），以及敏感數據威脅偵測，不需額外費用。 這可讓您使用詳細資訊快速偵測、評估及回應潛在的安全性威脅。 這有助於防止對數據和工作負載造成重大影響，包括惡意檔案上傳、敏感數據外泄和數據損毀。

有了適用於儲存體的 Microsoft Defender，組織可以自訂其保護，並實施一致的安全性原則，方法是在訂用帳戶和儲存體帳戶上加以啟用，並具有細微控制和彈性。

提示

如果您目前使用適用於儲存體的 Microsoft Defender 傳統版，請考量移轉至新方案，其較傳統方案提供數個優點。

請參閱 適用於雲端的 Defender 定價頁面，以瞭解定價和區域可用性。

必要條件

啟用適用於記憶體的 Microsoft Defender 之前，請確定您已備妥必要的許可權和必要條件。 如需詳細資訊，請參閱 適用於記憶體Microsoft Defender 的必要條件。

設定適用於儲存體的 Microsoft Defender

若要啟用和設定適用於儲存體的 Microsoft Defender，並確保獲得最大的保護和成本最佳化，可以使用下列設定選項：

• 在訂用帳戶和儲存體帳戶層級啟用/停用適用於儲存體的 Microsoft Defender。
• 啟用/停用惡意程式碼掃描或敏感性資料威脅偵測可設定的功能。
• 針對每個記憶體帳戶的惡意代碼掃描設定每月上限（「上限」），以控製成本（預設值為5,000 GB）。
• 設定方法以設定惡意程式碼掃描結果的回應。
• 設定儲存惡意程式碼掃描結果記錄的方法。

提示

惡意代碼掃描功能具有進階設定，可協助安全性小組支援不同的工作流程和需求。

• 覆寫訂用帳戶層級設定，以使用與訂用帳戶層級所設定不同的自訂設定來設定特定儲存體帳戶。

有數種方式可以啟用和設定適用於記憶體的Defender：

• 使用 Azure 內建原則 （建議的方法），
• 以程式設計方式使用基礎結構即程式代碼範本，包括
  • Terraform
  • Bicep
  • ARM 範本
• 使用 Azure 入口網站
• 使用 PowerShell
• 直接使用 REST API。

建議您透過原則啟用適用於記憶體的Defender。 此方法有助於大規模啟用，並確保在定義範圍內的所有現有和未來的記憶體帳戶上套用一致的安全策略，例如整個管理群組。 這會根據組織定義的設定，使用適用於儲存體的 Defender 保護儲存體帳戶。

注意

若要防止移轉回舊版的傳統方案，請務必停用舊的適用於儲存體的 Defender 原則。 尋找並停用名為 Configure Azure Defender for Storage to be enabled、Azure Defender for Storage should be enabled 或 Configure Microsoft Defender for Storage to be enabled (per-storage account plan) 的原則，或拒絕使傳統方案無法停用得原則。

下一步

• 了解如何使用 Azure 內建原則大規模啟用和設定適用於儲存體的 Defender 方案。