Habilitación y configuración con plantillas de infraestructura como código

Se recomienda habilitar Defender para Storage en el nivel de suscripción. De este modo, se garantiza que todas las cuentas de almacenamiento de la suscripción se protegerán, incluidas las cuentas futuras.

Sugerencia

Siempre puede configurar cuentas de almacenamiento específicas con configuraciones personalizadas que difieren de las opciones configuradas en el nivel de suscripción (invalidar configuración del nivel de suscripción).

Habilitar en una suscripción

Plantilla de Terraform

Para habilitar y configurar Microsoft Defender para Storage en el nivel de suscripción mediante Terraform, puede usar el siguiente fragmento de código:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Modificación del límite mensual para el examen de malware:

Para modificar el límite mensual para la detección de malware por cuenta de almacenamiento, basta con ajustar el parámetro CapGBPerMonthPerStorageAccount a su valor preferido. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes por cuenta de almacenamiento. Si quiere permitir una detección ilimitada, asigne el valor "-1". El límite predeterminado se establece en 5000 GB.

Deshabilitar características:

Si desea desactivar las características de detección de amenazas de datos confidenciales o de detección de malware durante la carga, puede quitar el bloque de extensión correspondiente del código de Terraform.

Deshabilitar el plan completo de Defender para Storage:

Para deshabilitar el plan completo de Defender para Storage, establezca el valor de propiedad tier en "Gratis" y quite las propiedades subPlan y extension.

Para más información sobre el recurso azurerm_security_center_subscription_pricing, consulte la documentación de azurerm_security_center_subscription_pricing. Además, puede encontrar detalles completos sobre el proveedor de Terraform para Azure en la documentación del proveedor de AzureRM de Terraform.

Plantilla de Bicep

Para habilitar y configurar Microsoft Defender para Storage en el nivel de suscripción mediante Bicep, asegúrese de que el ámbito de destino esté establecido en la suscripción y agregue lo siguiente a la plantilla de Bicep:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Modificación del límite mensual para el examen de malware:

Para modificar el límite mensual para la detección de malware por cuenta de almacenamiento, basta con ajustar el parámetro CapGBPerMonthPerStorageAccount a su valor preferido. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes por cuenta de almacenamiento. Si desea permitir una detección ilimitada, asigne el valor -1. El límite predeterminado se establece en 5000 GB.

Deshabilitar características:

Si desea desactivar las características de detección de malware al cargar o detección de amenazas de datos confidenciales, puede cambiar el valor isEnabled a False en detección de datos confidenciales.

Deshabilitar el plan completo de Defender para Storage:

Para deshabilitar el plan completo de Defender para Storage, establezca el valor de propiedad pricingTier en Gratis y quite las propiedades subPlan y extensions.

Obtenga más información sobre la Plantilla de Bicep en la documentación de seguridad y precios de Microsoft.

Plantilla del Administrador de recursos de Azure

Para habilitar y configurar Microsoft Defender para Storage en el nivel de suscripción mediante una plantilla de Azure Resource Manager (ARM), agregue este fragmento de código JSON a la sección de recursos de la plantilla de ARM:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Modificación del límite mensual para el examen de malware:

Para modificar el umbral mensual para la detección de malware en las cuentas de almacenamiento, basta con ajustar el parámetro CapGBPerMonthPerStorageAccount a su valor preferido. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes, por cuenta de almacenamiento. Si desea permitir una detección ilimitada, asigne el valor -1. El límite predeterminado se establece en 5000 GB.

Deshabilitar características:

Si desea desactivar las características de detección de malware al cargar o detección de amenazas de datos confidenciales, puede cambiar el valor isEnabled a False en detección de datos confidenciales.

Deshabilitar el plan completo de Defender para Storage:

Para deshabilitar el plan completo de Defender, establezca el valor de propiedad pricingTier en Gratis y quite las propiedades subPlan y extension.

Obtenga más información sobre la plantilla de ARM en la documentación de Microsoft.Security/Pricings.

Habilitar en una cuenta de almacenamiento

Plantilla de Terraform: cuenta de almacenamiento

Para habilitar y configurar Microsoft Defender para Storage en el nivel de cuenta de almacenamiento mediante Terraform, importe el proveedor AzAPI y use el siguiente fragmento de código:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

Nota:

El azapi_resource_action que se usa aquí es una acción específica de la configuración de Microsoft Defender para Storage. Es diferente de las declaraciones de recursos típicas en Terraform y se usa para realizar acciones específicas en el recurso, como habilitar o deshabilitar características.

Modificación del límite mensual para el examen de malware:

Para modificar el umbral mensual para la detección de malware en las cuentas de almacenamiento, basta con ajustar el parámetro capGBPerMonth a su valor preferido. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes, por cuenta de almacenamiento. Si quiere permitir una detección ilimitada, asigne el valor "-1". El límite predeterminado se establece en 5000 GB.

Deshabilitar características:

Si desea desactivar las características de Detección de malware al cargar o Detección de amenazas de datos confidenciales, puede cambiar el valor isEnabled a Falso en las secciones de propiedades malwareScanning o sensitiveDataDiscovery.

Deshabilitar el plan completo de Defender para Storage:

Para deshabilitar el plan completo de Defender para Storage para la cuenta de almacenamiento, puede usar el siguiente fragmento de código:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

Puede cambiar el valor de overrideSubscriptionLevelSettings a True para deshabilitar el plan de Defender para Storage para la cuenta de almacenamiento en suscripciones con Defender para Storage habilitado en el nivel de suscripción. Si desea mantener habilitadas algunas características, puede modificar las propiedades en consecuencia. Obtenga más información sobre la documentación de la API Microsoft.Security/defenderForStorageSettings para personalizar y controlar aún más la configuración de seguridad de la cuenta de almacenamiento. Además, puede encontrar detalles completos sobre el proveedor de Terraform para Azure en la documentación del proveedor de AzureRM de Terraform.

Plantilla de Bicep: Cuenta de almacenamiento

Para habilitar y configurar Microsoft Defender para Storage en el nivel de cuenta de almacenamiento mediante Bicep, agregue lo siguiente a la plantilla de Bicep:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

Modificación del límite mensual para el examen de malware:

Para modificar el umbral mensual para la detección de malware en las cuentas de almacenamiento, basta con ajustar el valor capGBPerMonth parameter a su valor preferido. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes, por cuenta de almacenamiento. Si desea permitir una detección ilimitada, asigne el valor -1. El límite predeterminado se establece en 5000 GB.

Deshabilitar características:

Si desea desactivar las características de detección de malware al cargar o detección de amenazas de datos confidenciales, puede cambiar el valor isEnabled a False en las secciones de propiedades malwareScanning o sensitiveDataDiscovery.

Deshabilitar el plan completo de Defender para Storage:

Para deshabilitar todo el plan de Defender para la cuenta de almacenamiento, establece el valor de la propiedad isEnabled a Falso y elimina las secciones malwareScanning y sensitiveDataDiscovery de las propiedades.

Obtenga más información sobre la documentación de la API en Microsoft.Security/DefenderForStorageSettings.

Sugerencia

Se puede configurar el examen de malware para que envíe los resultados del examen a:
Tema personalizado de Event Grid: para una respuesta automática casi en tiempo real en función de cada resultado del examen. Obtenga más información sobre cómo configurar el examen de malware para enviar los eventos del examen a un tema personalizado de Event Grid.
Área de trabajo de Log Analytics: para almacenar cada resultado del examen en un repositorio de registros centralizado para el cumplimiento y la auditoría. Obtenga más información sobre cómo configurar el examen de malware para enviar los resultados del análisis a un área de trabajo de Log Analytics.

Obtenga más información sobre cómo configurar la respuesta para los resultados del examen de malware.

Plantilla de ARM: Cuenta de almacenamiento

Para habilitar y configurar Microsoft Defender para Storage en el nivel de cuenta de almacenamiento mediante una plantilla de ARM, agregue este fragmento de código JSON a la sección de recursos de la plantilla de ARM:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Modificación del límite mensual para el examen de malware:

Para modificar el umbral mensual para la detección de malware en las cuentas de almacenamiento, basta con ajustar el parámetro capGBPerMonth a su valor preferido. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes, por cuenta de almacenamiento. Si quiere permitir una detección ilimitada, asigne el valor "-1". El límite predeterminado se establece en 5000 GB.

Deshabilitar características:

Si desea desactivar las características de Detección de malware al cargar o Detección de amenazas de datos confidenciales, puede cambiar el valor isEnabled a Falso en las secciones de propiedades malwareScanning o sensitiveDataDiscovery.

Deshabilitar el plan completo de Defender para Storage:

Para deshabilitar todo el plan de Defender para la cuenta de almacenamiento, establece el valor de la propiedad isEnabled a Falso y elimina las secciones malwareScanning y sensitiveDataDiscovery de las propiedades.

Pasos siguientes

Obtenga más información sobre la documentación de la API en Microsoft.Security/DefenderForStorageSettings.