Povolení Microsoft Defender pro Storage (Classic)
Tento článek vysvětluje, jak můžete povolit a nakonfigurovat Microsoft Defender pro úložiště (Classic) ve vašich předplatných pomocí různých šablon, jako je PowerShell, rozhraní REST API a další.
Můžete také upgradovat na nový plán Microsoft Defender pro úložiště a používat pokročilé funkce zabezpečení, včetně kontroly malwaru a detekce hrozeb citlivých dat. Využijte předvídatelnější a odstupňovanější cenovou strukturu, která se účtuje za účet úložiště, s dodatečnými náklady na transakce s velkými objemy dat. Tento nový cenový plán zahrnuje také všechny nové funkce zabezpečení a detekce.
Poznámka
Pokud používáte Defender pro úložiště (Classic) s cenami podle transakcí nebo účtu úložiště, budete muset migrovat na nový plán Defenderu pro úložiště, abyste měli přístup k těmto funkcím a cenám. Přečtěte si o migraci na nový plán Defenderu pro úložiště.
Microsoft Defender for Storage je nativní vrstva inteligentních funkcí zabezpečení pro Azure, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Využívá pokročilé možnosti detekce hrozeb a data analýzy hrozeb Microsoftu k poskytování kontextových výstrah zabezpečení. Součástí těchto upozornění jsou také kroky ke zmírnění zjištěných hrozeb a zabránění budoucím útokům.
Microsoft Defender for Storage nepřetržitě analyzuje transakce služeb Azure Blob Storage, Azure Data Lake Storage a Azure Files. Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Výstrahy se zobrazují v Microsoft Defender for Cloud s podrobnostmi o podezřelé aktivitě, příslušnými kroky šetření, nápravnými akcemi a doporučeními k zabezpečení.
Analyzovaná telemetrie Azure Blob Storage zahrnuje typy operací, jako je Získání objektu blob, Put Blob, Získání seznamu ACL kontejneru, Výpis objektů blob a Získání vlastností objektů blob. Mezi analyzované typy operací Azure Files patří Get File (Získat soubor), Create File (Vytvořit soubor), List Files (Vypsat soubory), Get File Properties (Získat vlastnosti souboru) a Put Range (Rozsah vložení).
Klasický Defender pro úložiště nemá přístup k datům účtu úložiště a nemá žádný vliv na jejich výkon.
Přečtěte si další informace o výhodách, funkcích a omezeních Defenderu pro úložiště. Další informace o Defenderu pro úložiště najdete také v dílu seriálu videí Defender for Cloud v poli.
Dostupnost
| Aspekt | Podrobnosti |
|---|---|
| Stav uvolnění: | Všeobecná dostupnost (GA) |
| Ceny: | Microsoft Defender služby Storage se účtuje tak, jak je znázorněno v podrobnostech o cenách a v plánech Defender v Azure Portal |
| Chráněné typy úložiště: | Blob Storage (Standard/Premium StorageV2, objekty blob bloku) Azure Files (přes ROZHRANÍ REST API a protokol SMB) Azure Data Lake Storage Gen2 (účty Standard/Premium s povolenými hierarchickými obory názvů) |
| Mraky: |  Komerční cloudyAzure Government (pouze pro plán pro jednotlivé transakce) Microsoft Azure provozovaný společností 21Vianet Připojené účty AWS |
Nastavení Microsoft Defender pro službu Storage (classic)
Nastavení cen podle transakcí pro předplatné
V případě cen defenderu pro úložiště za transakce doporučujeme povolit Defender for Storage pro každé předplatné, aby byly chráněny všechny stávající i nové účty úložiště. Pokud chcete chránit jenom konkrétní účty, nakonfigurujte Defender pro úložiště pro každý účet.
Microsoft Defender pro službu Storage můžete ve svých předplatných nakonfigurovat několika způsoby:
Šablona Terraformu
Pokud chcete povolit Microsoft Defender pro službu Storage na úrovni předplatného s cenami podle transakcí pomocí šablony Terraformu, přidejte do šablony tento fragment kódu s hodnotou ID parent_id vašeho předplatného:
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Security/pricings@2022-03-01"
name = "StorageAccounts"
parent_id = "<subscriptionId>"
body = jsonencode({
properties = {
pricingTier = "Standard"
subPlan = "PerTransaction"
}
})
}
Pokud chcete plán zakázat, nastavte pricingTier hodnotu vlastnosti na Free a vlastnost odeberte subPlan .
Přečtěte si další informace o šablonách ARM s referenčními informacemi k AzAPI.
Šablona Bicep
Pokud chcete povolit Microsoft Defender pro úložiště na úrovni předplatného s cenami za transakci pomocí Bicep, přidejte do šablony Bicep následující:
resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
name: 'StorageAccounts'
properties: {
pricingTier: 'Standard'
subPlan: 'PerTransaction'
}
}
Pokud chcete plán zakázat, nastavte pricingTier hodnotu vlastnosti na Free a vlastnost odeberte subPlan .
Přečtěte si další informace o referenčních informacích k šabloně Bicep k AzAPI.
Šablona ARM
Pokud chcete povolit Microsoft Defender pro službu Storage na úrovni předplatného s cenami podle transakcí pomocí šablony ARM, přidejte tento fragment kódu JSON do části resources (prostředky) vaší šablony ARM:
{
"type": "Microsoft.Security/pricings",
"apiVersion": "2022-03-01",
"name": "StorageAccounts",
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Pokud chcete plán zakázat, nastavte pricingTier hodnotu vlastnosti na Free a vlastnost odeberte subPlan .
Přečtěte si další informace o šablonách ARM s referenčními informacemi k AzAPI.
PowerShell
Povolení Microsoft Defender pro službu Storage na úrovni předplatného s cenami podle transakcí pomocí PowerShellu:
Pokud ho ještě nemáte, nainstalujte modul Azure Az PowerShell.
Pomocí rutiny
Connect-AzAccountse přihlaste ke svému účtu Azure. Přečtěte si další informace o přihlašování k Azure pomocí Azure PowerShell.K registraci předplatného do Microsoft Defender pro poskytovatele cloudových prostředků použijte tyto příkazy:
Set-AzContext -Subscription <subscriptionId> Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'Nahraďte
<subscriptionId>ID vašeho předplatného.Povolte Microsoft Defender pro storage pro vaše předplatné pomocí rutiny
Set-AzSecurityPricing:Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
Tip
Pomocí (Az_Security) můžeteGetAzSecurityPricing zobrazit všechny plány Defenderu for Cloud, které jsou pro předplatné povolené.
Pokud chcete plán zakázat, nastavte -PricingTier hodnotu vlastnosti na Free.
Přečtěte si další informace o používání PowerShellu s Microsoft Defender for Cloud.
Azure CLI
Povolení Microsoft Defender pro službu Storage na úrovni předplatného s cenami podle transakcí pomocí Azure CLI:
Pokud ho ještě nemáte, nainstalujte azure CLI.
Pomocí příkazu se
az loginpřihlaste ke svému účtu Azure. Přečtěte si další informace o přihlašování k Azure pomocí Azure CLI.K nastavení ID a názvu předplatného použijte tyto příkazy:
az account set --subscription "<subscriptionId or name>"Nahraďte
<subscriptionId>ID vašeho předplatného.Povolte Microsoft Defender pro storage pro vaše předplatné pomocí příkazu
az security pricing create:az security pricing create -n StorageAccounts --tier "standard"
Tip
Pomocí příkazu můžete az security pricing show zobrazit všechny plány Defenderu for Cloud, které jsou pro předplatné povolené.
Pokud chcete plán zakázat, nastavte -tier hodnotu vlastnosti na free.
Přečtěte si další informace o příkazu az security pricing create .
REST API
Pokud chcete povolit Microsoft Defender pro službu Storage na úrovni předplatného s cenami za transakci pomocí Microsoft Defender pro cloudové rozhraní REST API, vytvořte požadavek PUT s tímto koncovým bodem a textem:
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01
{
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Nahraďte {subscriptionId} ID vašeho předplatného.
Pokud chcete plán zakázat, nastavte -pricingTier hodnotu vlastnosti na Free a odeberte subPlan parametr .
Přečtěte si další informace o aktualizaci plánů Defenderu pomocí rozhraní REST API v HTTP, Javě, Go a JavaScriptu.
Nastavení cen podle transakcí pro účet úložiště
Microsoft Defender pro službu Storage můžete u svých účtů nakonfigurovat několika způsoby s cenami za jednotlivé transakce:
Šablona ARM
Pokud chcete povolit Microsoft Defender pro službu Storage pro konkrétní účet úložiště s cenami podle transakcí pomocí šablony ARM, použijte připravenou šablonu Azure.
Pokud chcete v účtu zakázat Defender pro úložiště:
- Přihlaste se k webu Azure Portal.
- Přejděte na svůj účet úložiště.
- V části Zabezpečení a sítě v nabídce Účet úložiště vyberte Microsoft Defender pro cloud.
- Vyberte Zakázat.
PowerShell
Povolení Microsoft Defender pro službu Storage pro konkrétní účet úložiště s cenami za transakci pomocí PowerShellu:
Pokud ho ještě nemáte, nainstalujte modul Azure Az PowerShell.
Pomocí rutiny Connect-AzAccount se přihlaste ke svému účtu Azure. Přečtěte si další informace o přihlašování k Azure pomocí Azure PowerShell.
Povolte Microsoft Defender pro Storage pro požadovaný účet úložiště pomocí rutiny
Enable-AzSecurityAdvancedThreatProtection:Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"Nahraďte
<subscriptionId>,<resource-group>a<storage-account>hodnotami pro vaše prostředí.
Pokud chcete zakázat ceny za transakce pro konkrétní účet úložiště, použijte rutinu Disable-AzSecurityAdvancedThreatProtection :
Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
Přečtěte si další informace o používání PowerShellu s Microsoft Defender for Cloud.
Azure CLI
Povolení Microsoft Defender pro službu Storage pro konkrétní účet úložiště s cenami podle transakcí pomocí Azure CLI:
Pokud ho ještě nemáte, nainstalujte azure CLI.
Pomocí příkazu se
az loginpřihlaste ke svému účtu Azure. Přečtěte si další informace o přihlašování k Azure pomocí Azure CLI.Povolte Microsoft Defender pro storage pro vaše předplatné pomocí příkazu
az security atp storage update:az security atp storage update \ --resource-group <resource-group> \ --storage-account <storage-account> \ --is-enabled true
Tip
Pomocí příkazu můžete az security atp storage show zjistit, jestli je pro účet povolený Defender pro úložiště.
Pokud chcete pro své předplatné zakázat Microsoft Defender pro službu Storage, použijte az security atp storage update příkaz :
az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false
Přečtěte si další informace o příkazu az security atp storage .
Vyloučení účtu úložiště z chráněného předplatného v plánu pro jednotlivé transakce
Když povolíte Microsoft Defender pro úložiště v předplatném s cenami podle transakcí, budou všechny aktuální a budoucí účty Azure Storage v daném předplatném chráněné. Konkrétní účty úložiště můžete z ochrany Defenderu pro úložiště vyloučit pomocí Azure Portal, PowerShellu nebo Azure CLI.
Doporučujeme povolit Defender pro úložiště pro celé předplatné, abyste ochránili všechny stávající a budoucí účty úložiště v něm. V některých případech ale lidé chtějí z ochrany defenderem vyloučit konkrétní účty úložiště.
Vyloučení účtů úložiště z chráněných předplatných vyžaduje:
- Přidejte značku, která zablokuje dědění povolení předplatného.
- Zakažte Defender pro úložiště (classic).
Poznámka
Pokud máte účty úložiště, které chcete vyloučit z klasického plánu Defenderu pro úložiště, zvažte upgrade na nový plán Defenderu pro úložiště. Nejenže ušetříte náklady na účty náročné na transakce, ale získáte také přístup k rozšířeným funkcím zabezpečení. Přečtěte si další informace o výhodách migrace na nový plán.
Vyloučené účty úložiště v Klasickém Defenderu pro úložiště se při migraci na nový plán automaticky nevyloučují.
Vyloučení ochrany účtu Azure Storage v předplatném s cenami za jednotlivé transakce
Pokud chcete vyloučit účet Azure Storage z Microsoft Defender pro Storage (Classic), můžete použít:
Vyloučení účtu služby Azure Storage pomocí PowerShellu
Pokud nemáte nainstalovaný modul Azure Az PowerShell, nainstalujte ho podle pokynů v dokumentaci k Azure PowerShell.
Pomocí ověřeného účtu se připojte k Azure pomocí
Connect-AzAccountrutiny , jak je vysvětleno v tématu Přihlášení pomocí Azure PowerShell.Pomocí rutiny definujte značku AzDefenderPlanAutoEnable pro účet
Update-AzTagúložiště (nahraďte ResourceId ID prostředku příslušného účtu úložiště):Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation MergePokud tuto fázi přeskočíte, vaše neoznačené prostředky budou dál dostávat denní aktualizace ze zásad povolení na úrovni předplatného. Tato zásada v účtu znovu povolí Defender for Storage. Další informace o značkách najdete v tématu Použití značek k uspořádání prostředků Azure a hierarchie správy.
Zakažte Microsoft Defender pro storage pro požadovaný účet v příslušném předplatném pomocí rutiny
Disable-AzSecurityAdvancedThreatProtection(pomocí stejného ID prostředku):Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
Vyloučení účtu služby Azure Storage pomocí Azure CLI
Pokud nemáte nainstalované rozhraní příkazového řádku Azure CLI, nainstalujte ho podle pokynů v dokumentaci k Azure CLI.
Pomocí ověřeného účtu se připojte k Azure pomocí
loginpříkazu, jak je vysvětleno v tématu Přihlášení pomocí Azure CLI , a po zobrazení výzvy zadejte přihlašovací údaje k účtu:az loginPomocí příkazu definujte pro účet
tag updateúložiště značku AzDefenderPlanAutoEnable (id prostředku nahraďte ID prostředku příslušného účtu úložiště):az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=offPokud tuto fázi přeskočíte, vaše neoznačené prostředky budou dál dostávat denní aktualizace ze zásad povolení na úrovni předplatného. Tato zásada v účtu znovu povolí Defender for Storage.
Tip
Přečtěte si další informace o značkách v az tag.
Pomocí příkazu (pomocí stejného ID prostředku) zakažte Microsoft Defender pro úložiště pro požadovaný účet v příslušném předplatném
security atp storage:az security atp storage update --resource-group MyResourceGroup --storage-account MyStorageAccount --is-enabled false
Vyloučení účtu služby Azure Databricks Storage
Vyloučení aktivního pracovního prostoru Databricks
Microsoft Defender pro úložiště můžou vyloučit konkrétní aktivní účty úložiště pracovního prostoru Databricks, pokud už je plán v předplatném povolený.
Vyloučení aktivního pracovního prostoru Databricks:
Přihlaste se k webu Azure Portal.
Přejděte na Značky Azure Databricks>
Your Databricks workspace>.Do pole Název zadejte
AzDefenderPlanAutoEnable.Do pole Hodnota zadejte
offa pak vyberte Použít.
Přejděte na Microsoft Defender nastavení>
Your subscriptioncloudového> prostředí.Nastavte plán Defenderu pro úložiště na Vypnuto a vyberte Uložit.
Pomocí jedné z podporovaných metod znovu povolte Defender for Storage (Classic) (klasický Defender pro úložiště nejde povolit z Azure Portal).
Značky dědí účet úložiště pracovního prostoru Databricks a brání zapnutí Defenderu pro úložiště.
Poznámka
Značky není možné přidat přímo do účtu úložiště Databricks ani do jeho spravované skupiny prostředků.
Zabránění automatickému vytváření nových účtů úložiště pracovního prostoru Databricks
Když vytvoříte nový pracovní prostor Databricks, máte možnost přidat značku, která brání automatickému povolení Microsoft Defender pro účet úložiště.
Pokud chcete zabránit automatickému povolení nového účtu úložiště pracovního prostoru Databricks:
Podle těchto kroků vytvořte nový pracovní prostor Azure Databricks.
Na kartě Značky zadejte značku s názvem
AzDefenderPlanAutoEnable.Zadejte hodnotu
off.
Pokračujte podle pokynů a vytvořte nový pracovní prostor Azure Databricks.
Microsoft Defender pro účet úložiště dědí značku pracovního prostoru Databricks, což brání automatickému zapnutí Defenderu pro úložiště.
Další kroky
- Podívejte se na upozornění pro Azure Storage.
- Informace o funkcích a výhodách Defenderu pro úložiště
- Podívejte se na běžné dotazy týkající se klasického Defenderu pro úložiště.