Sdílet prostřednictvím

Pokročilé konfigurace pro kontrolu malwaru

  • Článek

Kontrolu malwaru je možné nakonfigurovat tak, aby odesílala výsledky kontroly následujícímu:

  • Vlastní téma Event Gridu – pro automatickou odpověď téměř v reálném čase na základě každého výsledku kontroly.
  • Pracovní prostor služby Log Analytics – pro ukládání všech kontrol je výsledkem centralizované úložiště protokolů pro zajištění dodržování předpisů a auditu.

Přečtěte si další informace o tom, jak nastavit odpověď na výsledky kontroly malwaru.

Tip

Doporučujeme vyzkoušet pokyny pro trénování Ninja, praktické cvičení, vyzkoušet kontrolu malwaru v Defenderu for Storage pomocí podrobných pokynů k testování kontroly malwaru kompletním nastavením odpovědí na skenování výsledků. Jedná se o součást projektu "labs", který zákazníkům pomáhá začít využívat Microsoft Defender for Cloud a poskytuje praktické zkušenosti s jeho funkcemi.

Nastavení protokolování pro kontrolu malwaru

Pro každý účet úložiště s povolenou kontrolou malwaru můžete definovat cíl pracovního prostoru služby Log Analytics pro ukládání všech výsledků kontroly do centralizovaného úložiště protokolů, které se snadno dotazuje.

Před odesláním výsledků kontroly do Log Analytics vytvořte pracovní prostor služby Log Analytics nebo použijte existující.

Pokud chcete nakonfigurovat cíl Log Analytics, přejděte na příslušný účet úložiště, otevřete kartu Microsoft Defenderu pro cloud a vyberte nastavení, která chcete nakonfigurovat.

Snímek obrazovky znázorňující, kde nakonfigurovat cíl log Analytics pro protokol prohledávání

Tuto konfiguraci je možné provést také pomocí rozhraní REST API:

Požádat o adresu URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Text požadavku:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Poznámka:

Azure Portal zobrazí seznam pracovních prostorů log Analytics ze stejného předplatného jako účet úložiště. Rozhraní REST API se dá použít ke konfiguraci pracovního prostoru služby Log Analytics z jiného předplatného stejného tenanta, jak je popsáno výše. Výsledky kontroly budou zaznamenány v tabulce s názvem StorageMalwareScanningResults. Tato tabulka se vytvoří při zaznamenání prvního výsledku kontroly.

Nastavení Event Gridu pro kontrolu malwaru

Pro každý účet úložiště s povolenou kontrolou malwaru můžete nakonfigurovat odeslání každého výsledku kontroly pomocí události Event Gridu pro účely automatizace.

  1. Pokud chcete službu Event Grid nakonfigurovat pro odesílání výsledků kontroly, musíte napřed vytvořit vlastní téma. Pokyny najdete v dokumentaci ke službě Event Grid týkající se vytváření vlastních témat. Ujistěte se, že cílové vlastní téma Event Gridu je vytvořené ve stejné oblasti jako účet úložiště, ze kterého chcete odesílat výsledky kontroly.

  2. Pokud chcete nakonfigurovat cíl vlastního tématu Event Gridu, přejděte na příslušný účet úložiště, otevřete kartu Microsoft Defenderu pro cloud a vyberte nastavení, která chcete nakonfigurovat.

Poznámka:

Když nastavíte vlastní téma Event Gridu, měli byste nastavit nastavení na úrovni předplatného v programu Override Defender for Storage na Zapnuto , abyste měli jistotu, že přepíše nastavení na úrovni předplatného.

Snímek obrazovky, který ukazuje, kde povolit cíl event Gridu pro protokoly prohledávání

Poznámka:

Azure Portal obsahuje seznam témat Event Gridu ze stejného předplatného jako účet úložiště. Rozhraní REST API se dá použít ke konfiguraci tématu Event Gridu z jiného předplatného stejného tenanta, jak je popsáno níže. Tuto konfiguraci je možné provést také pomocí rozhraní REST API:

Požádat o adresu URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Text požadavku:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Přepsání nastavení na úrovni předplatného Defenderu pro úložiště

Nastavení na úrovni předplatného dědí nastavení Defenderu for Storage pro každý účet úložiště v předplatném. Nastavení na úrovni předplatného v programu Override Defender for Storage slouží ke konfiguraci nastavení pro jednotlivé účty úložiště, které se liší od nastavení nakonfigurovaných na úrovni předplatného.

Přepsání nastavení předplatných se obvykle používá pro následující scénáře:

  • Povolte nebo zakažte kontrolu malwaru nebo funkce detekce hrozeb citlivosti dat.
  • Nakonfigurujte vlastní nastavení pro kontrolu malwaru.
  • V konkrétních účtech úložiště zakažte Microsoft Defender for Storage.

Poznámka:

Doporučujeme povolit Defender for Storage v celém předplatném, abyste ochránili všechny stávající a budoucí účty úložiště. Existují ale případy, kdy byste chtěli vyloučit konkrétní účty úložiště z ochrany Defenderu. Pokud jste se rozhodli vyloučit, postupujte podle následujících kroků a použijte nastavení přepsání a pak zakažte příslušný účet úložiště. Pokud používáte Defender for Storage (classic), můžete také vyloučit účty úložiště.

portál Azure

Konfigurace nastavení jednotlivých účtů úložiště, které se liší od účtů nakonfigurovaných na úrovni předplatného pomocí webu Azure Portal:

  1. Přihlaste se k portálu Azure.

  2. Přejděte ke svému účtu úložiště, u kterého chcete nakonfigurovat vlastní nastavení.

  3. V nabídce účtu úložiště v části Zabezpečení a sítě vyberte Microsoft Defender for Cloud.

  4. Vyberte Nastavení v programu Microsoft Defender for Storage.

  5. Nastavte stav nastavení na úrovni předplatného Override Defender for Storage (v části Upřesnit nastavení) na Zapnuto. Tím se zajistí, že se nastavení uloží jenom pro tento účet úložiště a nastavení předplatného se nepřepíše.

  6. Nakonfigurujte nastavení, která chcete změnit:

    1. Pokud chcete povolit kontrolu malwaru nebo detekci citlivých dat, nastavte stav na Zapnuto.

    2. Úprava nastavení kontroly malwaru:

      1. Pokud ještě není povolená, přepněte kontrolu malwaru při nahrávání na Zapnuto.

      2. Pokud chcete upravit měsíční prahovou hodnotu pro kontrolu malwaru v účtech úložiště, můžete upravit parametr s názvem Nastavit limit GB prohledávaných za měsíc na požadovanou hodnotu. Tento parametr určuje maximální množství dat, která je možné každý měsíc zkontrolovat na malware, konkrétně pro každý účet úložiště. Pokud chcete povolit neomezenou kontrolu, můžete zrušit zaškrtnutí tohoto parametru. Ve výchozím nastavení je limit nastavený na 5 000 GB.

  7. Pokud chcete v tomto účtu úložiště zakázat Defender for Storage, nastavte stav služby Microsoft Defender for Storage na Vypnuto.

    Snímek obrazovky, který ukazuje, kde vypnout Defender for Storage na webu Azure Portal

    Zvolte Uložit.

REST API

Konfigurace nastavení jednotlivých účtů úložiště, které se liší od nastavení nakonfigurovaných na úrovni předplatného pomocí rozhraní REST API:

Vytvořte požadavek PUT s tímto koncovým bodem. Hodnoty subscriptionId, resourceGroupName a accountName v adrese URL koncového bodu nahraďte vlastním ID předplatného Azure, skupinou prostředků a názvy účtů úložiště odpovídajícím způsobem.

Požádat o adresu URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Text požadavku:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Pokud chcete povolit kontrolu malwaru nebo detekci citlivých dat, nastavte hodnotu isEnabled na true v rámci příslušných funkcí.

  2. Chcete-li upravit nastavení kontroly malwaru, upravte příslušná pole v části onUpload, ujistěte se, že hodnota isEnabled je true. Pokud chcete povolit neomezenou kontrolu, přiřaďte hodnotu -1 parametru capGBPerMonth.

  3. Pokud chcete v těchto účtech úložiště vypnout Defender pro úložiště, použijte následující text požadavku:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Nezapomeňte přidat parametr overrideSubscriptionLevelSettings a jeho hodnotu na hodnotu true. Tím se zajistí, že se nastavení uloží jenom pro tento účet úložiště a nastavení předplatného se nepřepíše.

Další krok

Přečtěte si další informace o nastavení kontroly malwaru.