Partage via


Activer et configurer avec les modèles Infrastructure en tant que code (IaC)

Nous vous recommandons d’activer Defender pour le stockage au niveau de l’abonnement. Cela garantit que tous les comptes de stockage actuellement présents dans l’abonnement seront protégés. Les comptes de stockage créés après l’activation de Defender pour le stockage au niveau de l’abonnement sont protégés jusqu’à 24 heures après la création.

Conseil

Vous pouvez toujours configurer des comptes de stockage spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l’abonnement (remplacer les paramètres au niveau de l’abonnement).

Modèle Terraform

Pour activer et configurer Microsoft Defender pour le stockage au niveau de l’abonnement à l’aide de Terraform, vous pouvez utiliser l’extrait de code suivant :

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Modification de la limite mensuelle pour l’analyse des programmes malveillants:

Pour modifier le plafond mensuel de l’analyse des programmes malveillants par compte de stockage, ajustez le paramètre CapGBPerMonthPerStorageAccount à votre valeur préférée. Ce paramètre définit une limite sur le nombre maximal de données pouvant être analysées pour les programmes malveillants chaque mois par compte de stockage. Si vous souhaitez autoriser l’analyse illimitée, attribuez la valeur "-1". La limite par défaut est définie à 5 000 Go.

Désactivation des fonctionnalités:

Si vous souhaitez désactiver les fonctionnalités d’analyse des programmes malveillants lors du chargement ou de détection des menaces de données sensibles, vous pouvez supprimer le bloc d’extension correspondant du code Terraform.

Désactiver l’intégralité du plan Defender pour stockage:

Pour désactiver l’ensemble du plan Defender pour le stockage, définissez la valeur de la propriété tier sur « Gratuit » et supprimez les propriétés subPlan et extension.

Pour en savoir plus sur la ressource azurerm_security_center_subscription_pricing, consultez la documentation azurerm_security_center_subscription_pricing. En outre, vous trouverez des détails complets sur le fournisseur Terraform pour Azure dans la documentation du fournisseur Terraform AzureRM.

Modèle Bicep

Pour activer et configurer Microsoft Defender pour Stockage au niveau de l’abonnement à l’aide de Bicep, assurez-vous que votre étendue cible est définie sur l’abonnement, puis ajoutez ce qui suit à votre modèle Bicep :

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Modification de la limite mensuelle pour l’analyse des programmes malveillants:

Pour modifier le plafond mensuel de l’analyse des programmes malveillants par compte de stockage, ajustez le paramètre CapGBPerMonthPerStorageAccount à votre valeur préférée. Ce paramètre définit une limite sur le nombre maximal de données pouvant être analysées pour les programmes malveillants chaque mois par compte de stockage. Si vous souhaitez autoriser l’analyse illimitée, affectez la valeur -1. La limite par défaut est définie à 5 000 Go.

Désactivation des fonctionnalités:

Si vous souhaitez désactiver les fonctionnalités d’analyse des programmes malveillants lors du chargement ou de détection des menaces de données sensibles, vous pouvez modifier la valeur isEnabled sur False sous découverte des données sensibles.

Désactiver l’intégralité du plan Defender pour stockage:

Pour désactiver l’ensemble du plan Defender pour le stockage, définissez la valeur de la propriété pricingTier sur « Gratuit » et supprimez les propriétés subPlan et extensions.

Pour en savoir plus sur le modèle Bicep, consultez la documentation sur la sécurité et les tarifs Microsoft.

Modèle Azure Resource Manager

Pour activer et configurer Microsoft Defender pour Stockage au niveau de l’abonnement via un modèle ARM (Azure Resource Manager), ajoutez cet extrait de code JSON à la section ressources de votre modèle ARM :

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Modification de la limite mensuelle pour l’analyse des programmes malveillants:

Pour modifier le plafond mensuel de l’analyse des programmes malveillants par compte de stockage, ajustez simplement le paramètre CapGBPerMonthPerStorageAccount à votre valeur préférée. Ce paramètre définit une limite sur le nombre maximal de données pouvant être analysées pour les programmes malveillants chaque mois, par compte de stockage. Si vous souhaitez autoriser l’analyse illimitée, affectez la valeur -1. La limite par défaut est définie à 5 000 Go.

Désactivation des fonctionnalités:

Si vous souhaitez désactiver les fonctionnalités d’analyse des programmes malveillants lors du chargement ou de détection des menaces de données sensibles, vous pouvez modifier la valeur isEnabled sur False sous Découverte des données sensibles.

Désactiver l’intégralité du plan Defender pour stockage:

Pour désactiver l’ensemble du plan Defender pour le stockage, définissez la valeur de la propriété pricingTier sur « Gratuit » et supprimez les propriétés subPlan et extension.

Pour en savoir plus sur le modèle ARM, consultez la documentation sur la sécurité et les tarifs Microsoft.

Étapes suivantes

En savoir plus sur la documentation de l'API Microsoft.Security/DefenderForStorageSettings.