A Microsoft Defender engedélyezése a (klasszikus) storage-hoz

Ez a cikk azt ismerteti, hogyan engedélyezheti és konfigurálhatja a Microsoft Defender a (klasszikus) storage-előfizetéseken különböző sablonok, például a PowerShell, a REST API és más sablonok használatával.

Emellett frissíthet az új Microsoft Defender a Storage-csomagra, és speciális biztonsági képességeket is használhat, beleértve a kártevővizsgálatot és a bizalmas adatfenyegetés-észlelést. A tárfiókonként díjköteles, kiszámíthatóbb és részletesebb díjszabási struktúra, valamint a nagy volumenű tranzakciók extra költségeinek előnyei. Ez az új díjszabási csomag az összes új biztonsági funkciót és észlelést is magában foglalja.

Megjegyzés

Ha a Defender for Storage -t (klasszikus) használja tranzakciónkénti vagy tárfiókonkénti díjszabással, át kell telepítenie az új Defender for Storage-csomagra, hogy hozzáférjen ezekhez a funkciókhoz és díjszabáshoz. További információ az új Defender for Storage-csomagra való migrálásról.

Microsoft Defender a Storage egy azure-beli natív biztonságiintelligencia-réteg, amely szokatlan és potenciálisan káros kísérleteket észlel a tárfiókok elérésére vagy kihasználására. Speciális fenyegetésészlelési képességeket és Microsoft Threat Intelligence-adatokat használ a környezetfüggő biztonsági riasztások biztosításához. Ezek a riasztások az észlelt fenyegetések mérséklésének és a jövőbeli támadások megelőzésének lépéseit is tartalmazzák.

Microsoft Defender a Storage folyamatosan elemzi a Azure Blob Storage, Azure Data Lake Storage és Azure Files szolgáltatások tranzakcióit. Potenciálisan rosszindulatú tevékenységek észlelésekor a rendszer biztonsági riasztásokat hoz létre. A riasztások a Microsoft Defender for Cloudban jelennek meg a gyanús tevékenység részleteivel, a megfelelő vizsgálati lépésekkel, a szervizelési műveletekkel és a biztonsági javaslatokkal.

A Azure Blob Storage elemzett telemetriája olyan művelettípusokat tartalmaz, mint a Blob lekérése, a Blob elhelyezése, a Tároló ACL lekérése, a Blobok listázása és a Blob tulajdonságainak lekérése. Az elemzett Azure Files művelettípusok közé tartoznak például a Fájl lekérése, a Fájl létrehozása, a Listafájlok, a Fájltulajdonságok lekérése és az Eltolt tartomány.

A klasszikus Defender for Storage nem fér hozzá a Storage-fiók adataihoz, és nincs hatással a teljesítményére.

További információ a Defender for Storage előnyeiről, funkcióiról és korlátozásairól. A Defender for Storage-ról a Defender for Cloud helyszíni videósorozatÁnak Defender for Storage című epizódjában is tájékozódhat.

Rendelkezésre állás

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA)
Árképzés:	Microsoft Defender a tárterület számlázása a díjszabás részleteiben és a Defender-csomagokban látható módon történik a Azure Portal
Védett tárolótípusok:	Blob Storage (Standard/Premium StorageV2, Blokkblobok) Azure Files (REST API-val és SMB-val) Azure Data Lake Storage Gen2 (standard/prémium szintű fiókok, amelyekben engedélyezve van a hierarchikus névtér)
Felhők:	Kereskedelmi felhők Azure Government (csak tranzakciónkénti csomag esetén) A 21Vianet által üzemeltetett Microsoft Azure Csatlakoztatott AWS-fiókok

Microsoft Defender beállítása (klasszikus)

Előfizetés tranzakciónkénti díjszabásának beállítása

A Defender for Storage tranzakciónkénti díjszabásához javasoljuk, hogy minden előfizetéshez engedélyezze a Defender for Storage-t, hogy minden meglévő és új tárfiók védett legyen. Ha csak bizonyos fiókokat szeretne védeni, konfigurálja a Defender for Storage-t minden fiókhoz.

A Microsoft Defender az előfizetésekben többféleképpen konfigurálhatja a Storage-hoz:

• Terraform-sablon
• Bicep-sablon
• ARM-sablon
• PowerShell
• Azure CLI
• REST API

Terraform-sablon

Ha az előfizetés szintjén szeretné engedélyezni a Microsoft Defender a Storage-hoz tranzakciónkénti díjszabással egy Terraform-sablon használatával, adja hozzá ezt a kódrészletet a sablonhoz, amelynek értéke az parent_id előfizetés azonosítója:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

A terv letiltásához állítsa be a pricingTier tulajdonság értékét a értékre Free , és távolítsa el a tulajdonságot subPlan .

További információ az ARM-sablon AzAPI-referenciajáról.

Bicep-sablon

Ha az előfizetés szintjén szeretné engedélyezni a Microsoft Defender a Storage-hoz tranzakciónkénti díjszabással a Bicep használatával, adja hozzá a következőket a Bicep-sablonhoz:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

A terv letiltásához állítsa be a pricingTier tulajdonság értékét a értékre Free , és távolítsa el a tulajdonságot subPlan .

További információ a Bicep-sablon AzAPI-referenciajáról.

ARM-sablon

Ha arm-sablonnal szeretné engedélyezni a Microsoft Defender a Storage-hoz előfizetési szinten tranzakciónkénti díjszabással, adja hozzá ezt a JSON-kódrészletet az ARM-sablon erőforrások szakaszához:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

A terv letiltásához állítsa be a pricingTier tulajdonság értékét a értékre Free , és távolítsa el a tulajdonságot subPlan .

További információ az ARM-sablon AzAPI-referenciajáról.

PowerShell

A Microsoft Defender engedélyezése a Storage-hoz előfizetési szinten tranzakciónkénti díjszabással a PowerShell használatával:

1. Ha még nem rendelkezik vele, telepítse az Azure Az PowerShell-modult.

2. Connect-AzAccount A parancsmaggal jelentkezzen be az Azure-fiókjába. További információ az Azure-ba való bejelentkezésről Azure PowerShell.

3. Az alábbi parancsokkal regisztrálhatja előfizetését a felhőerőforrás-szolgáltató Microsoft Defender:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Cserélje le a elemet <subscriptionId> az előfizetés-azonosítóra.

4. Engedélyezze a Microsoft Defender a Storage-hoz az előfizetéséhez a Set-AzSecurityPricing parancsmaggal:

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Tipp

A (Az_Security) segítségévelGetAzSecurityPricing megtekintheti az előfizetéshez engedélyezett Defender for Cloud-csomagokat.

A csomag letiltásához állítsa a tulajdonság értékét a -PricingTier értékre Free.

További információ a PowerShell és a Microsoft Defender for Cloud használatáról.

Azure CLI

A Microsoft Defender engedélyezése a Storage-hoz előfizetési szinten tranzakciónkénti díjszabással az Azure CLI használatával:

1. Ha még nem rendelkezik vele, telepítse az Azure CLI-t.

2. az login Az paranccsal jelentkezzen be az Azure-fiókjába. További információ az Azure-ba való bejelentkezésről az Azure CLI-vel.

3. Az alábbi parancsokkal állíthatja be az előfizetés azonosítóját és nevét:

   az account set --subscription "<subscriptionId or name>"
   

   Cserélje le a elemet <subscriptionId> az előfizetés-azonosítóra.

4. Engedélyezze a Microsoft Defender a Storage-hoz az előfizetéséhez a az security pricing create következő paranccsal:

   az security pricing create -n StorageAccounts --tier "standard"
   

Tipp

az security pricing show A paranccsal megtekintheti az előfizetéshez engedélyezett Defender for Cloud-csomagokat.

A csomag letiltásához állítsa a tulajdonság értékét a -tier értékre free.

További információ a az security pricing create parancsról.

REST API

Ha tranzakciónkénti díjszabással szeretné engedélyezni a Microsoft Defender a Storage-hoz az előfizetés szintjén a Cloud REST API Microsoft Defender használatával, hozzon létre egy PUT kérést ezzel a végponttal és törzsgel:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Cserélje le a elemet {subscriptionId} az előfizetés-azonosítóra.

A terv letiltásához állítsa be a -pricingTier tulajdonságértéket a értékre Free , és távolítsa el a paramétert subPlan .

További információ a Defender-csomagok FRISSÍTÉSéről a REST API-val HTTP , Java, Go és JavaScript nyelven.

Tárfiók tranzakciónkénti díjszabásának beállítása

A Microsoft Defender a storage-hoz többféleképpen konfigurálhatja a fiókok tranzakciónkénti díjszabásával:

• ARM-sablon
• PowerShell
• Azure CLI

ARM-sablon

Ha arm-sablonnal szeretné engedélyezni a Microsoft Defender a Storage-hoz egy adott tárfiókhoz tranzakciónkénti díjszabással, használja az előkészített Azure-sablont.

Ha le szeretné tiltani a Defender for Storage-t a fiókban:

1. Jelentkezzen be az Azure Portalra.
2. Nyissa meg a tárfiókot.
3. A Tárfiók menü Biztonság + hálózatkezelés szakaszában válassza a Microsoft Defender a felhőhöz lehetőséget.
4. Válassza a Letiltás lehetőséget.

PowerShell

A Microsoft Defender engedélyezése egy adott tárfiókhoz tranzakciónkénti díjszabással a PowerShell használatával:

1. Ha még nem rendelkezik vele, telepítse az Azure Az PowerShell-modult.

2. Jelentkezzen be az Azure-fiókjába a Connect-AzAccount parancsmaggal. További információ az Azure-ba való bejelentkezésről Azure PowerShell.

3. Engedélyezze a Microsoft Defender a Storage-hoz a kívánt tárfiókhoz a Enable-AzSecurityAdvancedThreatProtection parancsmaggal:

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Cserélje le <subscriptionId>a , <resource-group>és <storage-account> értéket a környezet értékeire.

Ha egy adott tárfiók tranzakciónkénti díjszabását szeretné letiltani, használja a Disable-AzSecurityAdvancedThreatProtection parancsmagot:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

További információ a PowerShell és a Microsoft Defender for Cloud használatáról.

Azure CLI

A Microsoft Defender engedélyezése egy adott tárfiókhoz tranzakciónkénti díjszabással az Azure CLI használatával:

1. Ha még nem rendelkezik vele, telepítse az Azure CLI-t.

2. az login Az paranccsal jelentkezzen be az Azure-fiókjába. További információ az Azure-ba való bejelentkezésről az Azure CLI-vel.

3. Engedélyezze a Microsoft Defender a Storage számára az előfizetéshez a az security atp storage update következő paranccsal:

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Tipp

az security atp storage show Az paranccsal ellenőrizheti, hogy a Defender for Storage engedélyezve van-e egy fiókon.

Ha le szeretné tiltani Microsoft Defender a Storage-hoz az előfizetéséhez, használja a az security atp storage update következő parancsot:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

További információ az az security atp storage parancsról.

Tárfiók kizárása egy védett előfizetésből a tranzakciónkénti csomagban

Ha engedélyezi a Microsoft Defender a Storage-hoz egy előfizetésben a tranzakciónkénti díjszabáshoz, az előfizetésben lévő összes jelenlegi és jövőbeli Azure Storage-fiók védett lesz. Bizonyos tárfiókokat kizárhat a Defender for Storage védelméből a Azure Portal, a PowerShell vagy az Azure CLI használatával.

Javasoljuk, hogy engedélyezze a Defender for Storage-t a teljes előfizetésen, hogy megvédje az összes meglévő és jövőbeli tárfiókot. Vannak azonban olyan esetek, amikor a felhasználók bizonyos tárfiókokat szeretnének kizárni a Defender-védelemből.

A tárfiókok védett előfizetésekből való kizárásához az alábbiakra van szükség:

1. Adjon hozzá egy címkét, amely letiltja az előfizetés engedélyezésének öröklését.
2. Tiltsa le a Defender for Storage -t (klasszikus).

Megjegyzés

Fontolja meg az új Defender for Storage-csomagra való frissítést, ha olyan tárfiókokkal rendelkezik, amelyeket ki szeretne zárni a klasszikus Defender for Storage-csomagból. Nem csak a tranzakciós terhelésű fiókok költségeit takarítja meg, hanem a továbbfejlesztett biztonsági funkciókhoz is hozzáférést kap. További információ az új tervre való migrálás előnyeiről.

A klasszikus Defender for Storage kizárt tárfiókok nem lesznek automatikusan kizárva az új csomagba való migráláskor.

Azure Storage-fiókvédelem kizárása tranzakciónkénti díjszabással rendelkező előfizetésben

Ha ki szeretne zárni egy Azure Storage-fiókot a (klasszikus) Storage Microsoft Defender-ból, a következőket használhatja:

• PowerShell
• Azure CLI

Azure Storage-fiók kizárása a PowerShell használatával

1. Ha nincs telepítve az Azure Az PowerShell-modul, telepítse a Azure PowerShell dokumentációjának utasításait követve.

2. Hitelesített fiók használatával csatlakozzon az Azure-hoz a Connect-AzAccount parancsmaggal, a Bejelentkezés Azure PowerShell című témakörben leírtak szerint.

3. Adja meg az AzDefenderPlanAutoEnable címkét a tárfiókon a Update-AzTag parancsmaggal (cserélje le a ResourceId elemet a megfelelő tárfiók erőforrás-azonosítójára):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Ha kihagyja ezt a szakaszt, a nem megjelölt erőforrások továbbra is napi frissítéseket kapnak az előfizetési szintű engedélyezési szabályzatból. Ez a szabályzat újra engedélyezi a Defender for Storage-ot a fiókban. További információ a címkékről: Címkék használata az Azure-erőforrások és a felügyeleti hierarchia rendszerezéséhez.

4. Tiltsa le a Microsoft Defender a megfelelő előfizetéshez tartozó storage-fiókhoz a Disable-AzSecurityAdvancedThreatProtection parancsmaggal (ugyanazzal az erőforrás-azonosítóval):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   További információ erről a parancsmagról.

Azure Storage-fiók kizárása az Azure CLI használatával

1. Ha nincs telepítve az Azure CLI, telepítse az Azure CLI dokumentációjának utasításait követve.

2. Hitelesített fiók használatával csatlakozzon az Azure-hoz a Bejelentkezés az loginAzure CLI-vel című szakaszban ismertetett paranccsal, és amikor a rendszer kéri, adja meg a fiók hitelesítő adatait:

   az login
   

3. Definiálja az AzDefenderPlanAutoEnable címkét a tárfiókon a tag update paranccsal (cserélje le a ResourceId azonosítót a megfelelő tárfiók erőforrás-azonosítójára):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Ha kihagyja ezt a szakaszt, a nem megjelölt erőforrások továbbra is napi frissítéseket kapnak az előfizetési szintű engedélyezési szabályzatból. Ez a szabályzat újra engedélyezi a Defender for Storage-ot a fiókban.

   Tipp

   További információ az az tag címkéiről.

4. Tiltsa le a storage-Microsoft Defender a kívánt fiókhoz a megfelelő előfizetésben a security atp storage paranccsal (ugyanazzal az erőforrás-azonosítóval):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   További információ erről a parancsról.

Azure Databricks Storage-fiók kizárása

Aktív Databricks-munkaterület kizárása

Microsoft Defender a Storage-hoz kizárhat bizonyos aktív Databricks-munkaterületi tárfiókokat, ha a csomag már engedélyezve van egy előfizetésben.

Aktív Databricks-munkaterület kizárása:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen az Azure Databricks-címkékhez>Your Databricks workspace>.

3. A Név mezőbe írja a következőt: AzDefenderPlanAutoEnable.

4. Az Érték mezőbe írja be a kifejezést off , majd válassza az Alkalmaz lehetőséget.

   

5. Lépjen a Microsoft Defender a felhőkörnyezet>beállításaihoz>Your subscription.

6. Kapcsolja ki a Defender for Storage csomagot , és válassza a Mentés lehetőséget.

   

7. Engedélyezze újra a Defender for Storage -t (klasszikus) a támogatott módszerek egyikével (a klasszikus Defender for Storage nem engedélyezhető a Azure Portal).

A címkéket a Databricks-munkaterület Storage-fiókja örökli, és megakadályozza a Defender for Storage bekapcsolását.

Megjegyzés

A címkék nem adhatók hozzá közvetlenül a Databricks Storage-fiókhoz vagy annak felügyelt erőforráscsoporthoz.

Új Databricks-munkaterület tárfiókján történő automatikus bejelentkezés megakadályozása

Új Databricks-munkaterület létrehozásakor hozzáadhat egy címkét, amely megakadályozza, hogy a Storage-fiókhoz tartozó Microsoft Defender automatikusan engedélyezve legyen.

Az új Databricks-munkaterület tárfiókján történő automatikus engedélyezés megakadályozása:

1. Kövesse az alábbi lépéseket egy új Azure Databricks-munkaterület létrehozásához.

2. A Címkék lapon adjon meg egy nevű AzDefenderPlanAutoEnablecímkét.

3. Adja meg a értéket off.

   

4. Folytassa az utasításokat az új Azure Databricks-munkaterület létrehozásához.

A Tárfiókhoz készült Microsoft Defender örökli a Databricks-munkaterület címkéjét, ami megakadályozza, hogy a Defender for Storage automatikusan bekapcsolja.

Következő lépések

• Tekintse meg az Azure Storage-ra vonatkozó riasztásokat
• A Defender for Storage funkcióinak és előnyeinek megismerése
• Tekintse meg a klasszikus Defender for Storage-ra vonatkozó gyakori kérdéseket .