Aktivieren und Konfigurieren mit Infrastructure as Code-Vorlagen

Es wird empfohlen, Defender für Storage auf Abonnementebene zu aktivieren. Dadurch wird sichergestellt, dass alle Speicherkonten im Abonnement geschützt werden, auch zukünftige.

Tipp

Sie können immer bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden (Außerkraftsetzen der Einstellungen auf Abonnementebene).

Aktivieren für ein Abonnement

Terraform-Vorlage

Um Microsoft Defender für Storage auf Abonnementebene mithilfe von Terraform zu aktivieren und zu konfigurieren, können Sie den folgenden Codeausschnitt verwenden:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Ändern der monatlichen Obergrenze für die Überprüfung von Schadsoftware

Um die monatliche Obergrenze für die Schadsoftwareüberprüfung pro Speicherkonto zu ändern, passen Sie den Parameter CapGBPerMonthPerStorageAccount auf den Ihren bevorzugten Wert an. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die jeden Monat pro Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Deaktivieren von Features:

Wenn Sie die Funktionen für die Überprüfung von Schadsoftware beim Upload oder die Erkennung vertraulicher Datenbedrohungen deaktivieren möchten, können Sie den entsprechenden Erweiterungsblock aus dem Terraform-Code entfernen.

Deaktivieren des gesamten Defender für Storage-Plans:

Um den gesamten Defender für Storage-Plan zu deaktivieren, legen Sie den tier Eigenschaftswert auf "Free" fest und entfernen Sie die subPlan und extension Eigenschaften.

Weitere Informationen zur azurerm_security_center_subscription_pricing Ressource finden Sie in der Dokumentation zu azurerm_security_center_subscription_pricing. Darüber hinaus finden Sie umfassende Details zum Terraform-Anbieter für Azure in der Dokumentation zu Terraform AzureRM-Anbietern.

Bicep-Vorlage

Um Microsoft Defender for Storage auf Abonnementebene mit Bicep zu aktivieren und zu konfigurieren, stellen Sie sicher, dass Ihr Zielbereich auf Abonnement festgelegt ist, und fügen Sie Ihrer Bicep-Vorlage Folgendes hinzu:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Ändern der monatlichen Obergrenze für die Überprüfung von Schadsoftware

Um die monatliche Obergrenze für die Schadsoftwareüberprüfung pro Speicherkonto zu ändern, passen Sie den Parameter CapGBPerMonthPerStorageAccount auf den Ihren bevorzugten Wert an. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die jeden Monat pro Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Deaktivieren von Features:

Wenn Sie die Features „Schadsoftwareüberprüfung beim Hochladen“ oder „Erkennung von Bedrohungen vertraulicher Daten“ deaktivieren möchten, können Sie unter „Ermittlung vertraulicher Daten“ den isEnabled-Wert auf Falsch ändern.

Deaktivieren des gesamten Defender für Storage-Plans:

Um den gesamten Defender für Storage-Plan zu deaktivieren, legen Sie den pricingTier Eigenschaftswert auf Free fest und entfernen Sie die subPlan und extensions Eigenschaften.

Erfahren Sie mehr über die Bicep-Vorlage in der Microsoft-Dokumentation zu Sicherheit/Preisen.

Azure Resource Manager-Vorlage

Um Microsoft Defender for Storage auf Abonnementebene mithilfe einer ARM (Azure Resource Manager)-Vorlage zu aktivieren und zu konfigurieren, fügen Sie dem Ressourcenabschnitt Ihrer ARM-Vorlage den folgenden JSON-Codeausschnitt hinzu:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Ändern der monatlichen Obergrenze für die Überprüfung von Schadsoftware

Um den monatlichen Schwellenwert für die Prüfung auf Schadsoftware in Ihren Speicherkonten zu ändern, passen Sie einfach den CapGBPerMonthPerStorageAccount-Parameter an Ihren bevorzugten Wert an. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die pro Monat und Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Deaktivieren von Features:

Wenn Sie die Features „Schadsoftwareüberprüfung beim Hochladen“ oder „Erkennung von Bedrohungen vertraulicher Daten“ deaktivieren möchten, können Sie unter „Ermittlung vertraulicher Daten“ den isEnabled-Wert auf Falsch ändern.

Deaktivieren des gesamten Defender für Storage-Plans:

Um den gesamten Defender-Plan zu deaktivieren, legen Sie den pricingTier Eigenschaftswert auf Free fest und entfernen Sie die subPlan und extension Eigenschaften.

Weitere Informationen zur ARM-Vorlage finden Sie in der Microsoft.Security/Pricings-Dokumentation.

Aktivieren für ein Speicherkonto

Terraform-Vorlage – Speicherkonto

Um Microsoft Defender für Storage auf Speicherkontoebene mithilfe von Terraform zu aktivieren und zu konfigurieren, importieren Sie den AzAPI-Anbieter, und verwenden Sie den folgenden Codeausschnitt:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

Hinweis

Der hier verwendete azapi_resource_action ist eine Aktion, die spezifisch für die Konfiguration von Microsoft Defender für Storage verwendet wird. Es unterscheidet sich von den typischen Ressourcendeklarationen in Terraform und wird verwendet, um bestimmte Aktionen für die Ressource auszuführen, z. B. das Aktivieren oder Deaktivieren von Features.

Ändern der monatlichen Obergrenze für die Überprüfung von Schadsoftware

Um den monatlichen Schwellenwert für die Prüfung auf Schadsoftware in Ihren Speicherkonten zu ändern, passen Sie einfach den capGBPerMonth-Parameter an Ihren bevorzugten Wert an. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die pro Monat und Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Deaktivieren von Features:

Wenn Sie die Features „Schadsoftwareüberprüfung beim Hochladen“ oder „Erkennung von Bedrohungen vertraulicher Daten“ deaktivieren möchten, können Sie in den Abschnitten zu den malwareScanning- oder sensitiveDataDiscovery-Eigenschaften den Wert isEnabled auf FALSCH ändern.

Deaktivieren des gesamten Defender für Storage-Plans:

Um den gesamten Defender für Storage-Plan für das Speicherkonto zu deaktivieren, können Sie den folgenden Codeausschnitt verwenden:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

Sie können den Wert von overrideSubscriptionLevelSettings in True ändern, um den Defender für Storage-Plan für das Speicherkonto unter Abonnements mit aktiviertem Defender für Storage auf Abonnementebene zu deaktivieren. Wenn Sie einige Features aktiviert lassen möchten, können Sie die Eigenschaften entsprechend ändern. Erfahren Sie mehr über die Microsoft.Security/defenderForStorageSettings-API-Dokumentation, um weitere Anpassungen und Kontrolle über die Sicherheitseinstellungen Ihres Speicherkontos zu erhalten. Darüber hinaus finden Sie umfassende Details zum Terraform-Anbieter für Azure in der Dokumentation zu Terraform AzureRM-Anbietern.

Bicep-Vorlage – Speicherkonto

Zum Aktivieren und Konfigurieren von Microsoft Defender for Storage auf Ebene des Speicherkontos mithilfe von Bicep fügen Sie der Bicep-Vorlage Folgendes hinzu:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

Ändern der monatlichen Obergrenze für die Überprüfung von Schadsoftware

Um den monatlichen Schwellenwert für die Prüfung auf Schadsoftware in Ihren Speicherkonten zu ändern, passen Sie einfach den capGBPerMonth parameter an Ihren bevorzugten Wert an. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die pro Monat und Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Deaktivieren von Features:

Wenn Sie die Features „Schadsoftwareüberprüfung beim Hochladen“ oder „Erkennung von Bedrohungen vertraulicher Daten“ deaktivieren möchten, ändern Sie den isEnabled Wert auf Falsch in den malwareScanning oder sensitiveDataDiscovery Abschnitten zu den Eigenschaften.

Deaktivieren des gesamten Defender für Storage-Plans:

Um den gesamten Defender-Plan für das Speicherkonto zu deaktivieren, legen Sie den isEnabled-Eigenschaftswert auf FALSCH fest, und entfernen Sie die Abschnitte malwareScanning und sensitiveDataDiscovery aus den Eigenschaften.

Erfahren Sie mehr in der Microsoft.Security/DefenderForStorageSettings-API-Dokumentation.

Tipp

Die Schadsoftwareüberprüfung kann so konfiguriert werden, dass Überprüfungsergebnisse an folgende Stellen gesendet werden:
Benutzerdefiniertes Event Grid-Thema – für eine automatische Reaktion nahezu in Echtzeit basierend auf jedem Überprüfungsergebnis. Erfahren Sie mehr über das Konfigurieren der Schadsoftwareüberprüfung zum Senden von Überprüfungsereignissen an ein benutzerdefiniertes Event Grid-Thema.
Log Analytics-Arbeitsbereich – zum Speichern der einzelnen Überprüfungsergebnisse in einem zentralen Protokollrepository zu Compliance- und Überwachungszwecken. Erfahren Sie mehr über das Konfigurieren der Schadsoftwareüberprüfung zum Senden von Überprüfungsergebnissen an einen Log Analytics-Arbeitsbereich.

Erfahren Sie mehr über das Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.

ARM-Vorlage – Speicherkonto

Wenn Sie Microsoft Defender für Storage mithilfe einer ARM-Vorlage auf Speicherkontoebene aktivieren und konfigurieren möchten, fügen Sie dem Ressourcenabschnitt Ihrer ARM-Vorlage den folgenden JSON-Codeschnipsel hinzu:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Ändern der monatlichen Obergrenze für die Überprüfung von Schadsoftware

Um den monatlichen Schwellenwert für die Prüfung auf Schadsoftware in Ihren Speicherkonten zu ändern, passen Sie einfach den capGBPerMonth-Parameter an Ihren bevorzugten Wert an. Dieser Parameter legt eine Obergrenze für die maximale Anzahl an Daten fest, die pro Monat und Speicherkonto auf Schadsoftware überprüft werden können. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, weisen Sie den Wert „-1“ zu. Das Standardlimit ist auf 5.000 GB festgelegt.

Deaktivieren von Features:

Wenn Sie die Features „Schadsoftwareüberprüfung beim Hochladen“ oder „Erkennung von Bedrohungen vertraulicher Daten“ deaktivieren möchten, können Sie in den Abschnitten zu den malwareScanning- oder sensitiveDataDiscovery-Eigenschaften den Wert isEnabled auf FALSCH ändern.

Deaktivieren des gesamten Defender für Storage-Plans:

Um den gesamten Defender-Plan für das Speicherkonto zu deaktivieren, legen Sie den isEnabled-Eigenschaftswert auf FALSCH fest, und entfernen Sie die Abschnitte malwareScanning und sensitiveDataDiscovery aus den Eigenschaften.

Nächste Schritte

Erfahren Sie mehr in der Microsoft.Security/DefenderForStorageSettings-API-Dokumentation.