تمكين وتكوين باستخدام البنية الأساسية كقوالب التعليمات البرمجية

نوصي بتمكين Defender for Storage على مستوى الاشتراك. يضمن القيام بذلك حماية جميع حسابات التخزين في الاشتراك، بما في ذلك الحسابات المستقبلية.

تلميح

يمكنك دائما تكوين حسابات تخزين معينة مع تكوينات مخصصة تختلف عن الإعدادات التي تم تكوينها على مستوى الاشتراك (تجاوز إعدادات مستوى الاشتراك).

تمكين على اشتراك

قالب Terraform

لتمكين وتكوين Microsoft Defender for Storage على مستوى الاشتراك باستخدام Terraform، يمكنك استخدام القصاصة البرمجية التالية:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

تعديل الحد الأقصى الشهري لمسح البرامج الضارة:

لتعديل الحد الأقصى الشهري لفحص البرامج الضارة لكل حساب تخزين، اضبط المعلمة CapGBPerMonthPerStorageAccount على القيمة المفضلة لديك. تعين هذه المعلمة حدا أقصى للبيانات التي يمكن مسحها ضوئيا بحثا عن البرامج الضارة كل شهر لكل حساب تخزين. إذا كنت ترغب في السماح بالمسح غير المحدود، فعين القيمة "-1". يتم تعيين الحد الافتراضي عند 5000 غيغابايت.

تعطيل الميزات:

إذا كنت ترغب في إيقاف تشغيل فحص البرامج الضارة عند التحميل أو ميزات الكشف عن تهديدات البيانات الحساسة، يمكنك إزالة كتلة الملحق المقابلة من التعليمات البرمجية Terraform.

تعطيل خطة Defender for Storage بأكملها:

لتعطيل خطة Defender for Storage بأكملها، قم بتعيين قيمة الخاصية tier إلى "Free" وإزالة subPlan الخصائص و extension .

تعرف على المزيد حول azurerm_security_center_subscription_pricing المورد بالإشارة إلى وثائق azurerm_security_center_subscription_pricing. بالإضافة إلى ذلك، يمكنك العثور على تفاصيل شاملة حول موفر Terraform ل Azure في وثائق موفر Terraform AzureRM.

قالب Bicep

لتمكين Microsoft Defender for Storage وتكوينه على مستوى الاشتراك باستخدام Bicep، تأكد من تعيين النطاق المستهدف إلى الاشتراك، وأضف ما يلي إلى قالب Bicep الخاص بك:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

تعديل الحد الأقصى الشهري لمسح البرامج الضارة:

لتعديل الحد الأقصى الشهري لفحص البرامج الضارة لكل حساب تخزين، اضبط المعلمة CapGBPerMonthPerStorageAccount على القيمة المفضلة لديك. تعين هذه المعلمة حدا أقصى للبيانات التي يمكن مسحها ضوئيا بحثا عن البرامج الضارة كل شهر لكل حساب تخزين. إذا كنت ترغب في السماح بالمسح الضوئي غير المحدود، فعين القيمة -1. يتم تعيين الحد الافتراضي عند 5000 غيغابايت.

تعطيل الميزات:

إذا كنت ترغب في إيقاف تشغيل ميزات فحص البرامج الضارة عند التحميل أو الكشف عن تهديدات البيانات الحساسة، يمكنك تغيير isEnabled القيمة إلى False ضمن اكتشاف البيانات الحساسة.

تعطيل خطة Defender for Storage بأكملها:

لتعطيل خطة Defender for Storage بأكملها، قم بتعيين قيمة الخاصية pricingTier إلى Free وإزالة subPlan الخصائص و extensions .

تعرف على المزيد حول قالب Bicep في وثائق الأمان/التسعير من Microsoft.

قالب Azure Resource Manager

لتمكين Microsoft Defender for Storage وتكوينه على مستوى الاشتراك باستخدام قالب ARM (Azure Resource Manager)، أضف مقتطف JSON هذا إلى قسم الموارد في قالب ARM الخاص بك:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

تعديل الحد الأقصى الشهري لمسح البرامج الضارة:

لتعديل الحد الشهري لفحص البرامج الضارة في حسابات التخزين الخاصة بك، ما عليك سوى ضبط المعلمة CapGBPerMonthPerStorageAccount إلى القيمة المفضلة لديك. تعين هذه المعلمة حدا أقصى للبيانات التي يمكن مسحها ضوئيا بحثا عن البرامج الضارة كل شهر، لكل حساب تخزين. إذا كنت ترغب في السماح بالمسح الضوئي غير المحدود، فعين القيمة -1. يتم تعيين الحد الافتراضي عند 5000 غيغابايت.

تعطيل الميزات:

إذا كنت ترغب في إيقاف تشغيل فحص البرامج الضارة عند التحميل أو ميزات الكشف عن تهديدات البيانات الحساسة، يمكنك تغيير isEnabled القيمة إلى False ضمن اكتشاف البيانات الحساسة.

تعطيل خطة Defender for Storage بأكملها:

لتعطيل خطة Defender بأكملها، قم بتعيين قيمة الخاصية pricingTier إلى Free وإزالة subPlan خصائص و extension .

تعرف على المزيد حول قالب ARM في وثائق Microsoft.Security/Pricings.

تمكين على حساب تخزين

قالب Terraform - حساب التخزين

لتمكين وتكوين Microsoft Defender for Storage على مستوى حساب التخزين باستخدام Terraform، قم باستيراد موفر AzAPI واستخدم مقتطف التعليمات البرمجية التالي:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

إشعار

azapi_resource_action المستخدم هنا هو إجراء خاص لتكوين Microsoft Defender for Storage. يختلف عن إعلانات الموارد النموذجية في Terraform، ويتم استخدامه لتنفيذ إجراءات محددة على المورد، مثل تمكين الميزات أو تعطيلها.

تعديل الحد الأقصى الشهري لمسح البرامج الضارة:

لتعديل الحد الشهري لفحص البرامج الضارة في حسابات التخزين الخاصة بك، ما عليك سوى ضبط المعلمة capGBPerMonth إلى القيمة المفضلة لديك. تعين هذه المعلمة حدا أقصى للبيانات التي يمكن مسحها ضوئيا بحثا عن البرامج الضارة كل شهر، لكل حساب تخزين. إذا كنت ترغب في السماح بالمسح غير المحدود، فعين القيمة "-1". يتم تعيين الحد الافتراضي عند 5000 غيغابايت.

تعطيل الميزات:

إذا كنت ترغب في إيقاف تشغيل ميزات فحص البرامج الضارة أو الكشف عن تهديدات البيانات الحساسة عند التحميل، يمكنك تغيير isEnabled القيمة إلى False ضمن malwareScanning قسمي الخصائص أو sensitiveDataDiscovery .

تعطيل خطة Defender for Storage بأكملها:

لتعطيل خطة Defender for Storage بأكملها لحساب التخزين، يمكنك استخدام القصاصة البرمجية التالية:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

يمكنك تغيير قيمة overrideSubscriptionLevelSettings إلى True لتعطيل خطة Defender for Storage لحساب التخزين ضمن الاشتراكات مع تمكين Defender for Storage على مستوى الاشتراك. إذا كنت ترغب في الاحتفاظ ببعض الميزات ممكنة، يمكنك تعديل الخصائص وفقا لذلك. تعرف على المزيد حول وثائق Microsoft.Security/defenderForStorage الإعدادات API لمزيد من التخصيص والتحكم في إعدادات أمان حساب التخزين الخاص بك. بالإضافة إلى ذلك، يمكنك العثور على تفاصيل شاملة حول موفر Terraform ل Azure في وثائق موفر Terraform AzureRM.

قالب Bicep - حساب التخزين

لتمكين وتكوين Microsoft Defender for Storage على مستوى حساب التخزين باستخدام Bicep، أضف ما يلي إلى قالب Bicep الخاص بك:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

تعديل الحد الأقصى الشهري لمسح البرامج الضارة:

لتعديل الحد الشهري لفحص البرامج الضارة في حسابات التخزين الخاصة بك، ما عليك سوى ضبط capGBPerMonth parameter إلى القيمة المفضلة لديك. تعين هذه المعلمة حدا أقصى للبيانات التي يمكن مسحها ضوئيا بحثا عن البرامج الضارة كل شهر، لكل حساب تخزين. إذا كنت ترغب في السماح بالمسح الضوئي غير المحدود، فعين القيمة -1. يتم تعيين الحد الافتراضي عند 5000 غيغابايت.

تعطيل الميزات:

إذا كنت ترغب في إيقاف تشغيل ميزات فحص البرامج الضارة عند التحميل أو الكشف عن تهديدات البيانات الحساسة، يمكنك تغيير isEnabled القيمة إلى False ضمن malwareScanning قسمي الخصائص أو sensitiveDataDiscovery .

تعطيل خطة Defender for Storage بأكملها:

لتعطيل خطة Defender بأكملها لحساب التخزين، قم بتعيين قيمة الخاصية isEnabled إلى False وقم بإزالة malwareScanning قسمي و sensitiveDataDiscovery من الخصائص.

تعرف على المزيد حول وثائق Microsoft.Security/DefenderForStorage الإعدادات API.

تلميح

يمكن تكوين فحص البرامج الضارة لإرسال نتائج المسح إلى ما يلي:
موضوع مخصص لشبكة الأحداث - للاستجابة التلقائية شبه الحقيقية استنادا إلى كل نتيجة فحص. تعرف على المزيد حول كيفية تكوين مسح البرامج الضارة لإرسال أحداث المسح الضوئي إلى موضوع مخصص لشبكة الأحداث.
مساحة عمل Log Analytics - لتخزين كل نتيجة فحص في مستودع سجل مركزي للتوافق والتدقيق. تعرف على المزيد حول كيفية تكوين مسح البرامج الضارة لإرسال نتائج الفحص إلى مساحة عمل Log Analytics.

تعرف على المزيد حول كيفية إعداد الاستجابة لنتائج مسح البرامج الضارة.

قالب ARM - حساب التخزين

لتمكين Microsoft Defender for Storage وتكوينه على مستوى حساب التخزين باستخدام قالب ARM، أضف مقتطف JSON هذا إلى قسم الموارد في قالب ARM الخاص بك:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

تعديل الحد الأقصى الشهري لمسح البرامج الضارة:

لتعديل الحد الشهري لفحص البرامج الضارة في حسابات التخزين الخاصة بك، ما عليك سوى ضبط المعلمة capGBPerMonth إلى القيمة المفضلة لديك. تعين هذه المعلمة حدا أقصى للبيانات التي يمكن مسحها ضوئيا بحثا عن البرامج الضارة كل شهر، لكل حساب تخزين. إذا كنت ترغب في السماح بالمسح غير المحدود، فعين القيمة "-1". يتم تعيين الحد الافتراضي عند 5000 غيغابايت.

تعطيل الميزات:

إذا كنت ترغب في إيقاف تشغيل ميزات فحص البرامج الضارة أو الكشف عن تهديدات البيانات الحساسة عند التحميل، يمكنك تغيير isEnabled القيمة إلى False ضمن malwareScanning قسمي الخصائص أو sensitiveDataDiscovery .

تعطيل خطة Defender for Storage بأكملها:

لتعطيل خطة Defender بأكملها لحساب التخزين، قم بتعيين قيمة الخاصية isEnabled إلى False وقم بإزالة malwareScanning قسمي و sensitiveDataDiscovery من الخصائص.

الخطوات التالية

تعرف على المزيد حول وثائق Microsoft.Security/DefenderForStorage الإعدادات API.