Share via

Speciális konfigurációk kártevő-vizsgálathoz

  • Cikk

A kártevő-vizsgálat konfigurálható úgy, hogy a vizsgálati eredményeket a következő címre küldje:

  • Event Grid egyéni témakör – közel valós idejű automatikus válaszhoz minden vizsgálati eredmény alapján.
  • Log Analytics-munkaterület – az összes vizsgálati eredmény tárolására egy központosított naplóadattárban a megfelelőség és a naplózás érdekében.

További információ a kártevők vizsgálatának eredményeire adott válasz beállításáról.

Tipp.

Javasoljuk, hogy próbálja ki a Ninja betanítási utasításait, egy gyakorlati tesztkörnyezetet, hogy kipróbálja a kártevők vizsgálatát a Defender for Storage-ban, részletes részletes útmutatást használva, amely bemutatja, hogyan tesztelheti a kártevőket a végpontok között, és hogyan állíthat be válaszokat az eredmények vizsgálatára. Ez a "laborok" projekt része, amely segít az ügyfeleknek a Felhőhöz készült Microsoft Defender elsajátításában, és gyakorlati tapasztalatot nyújt a képességeivel kapcsolatban.

Naplózás beállítása kártevő-vizsgálathoz

A kártevő-vizsgálattal engedélyezett minden egyes tárfiókhoz meghatározhat egy Log Analytics-munkaterületi célt, amellyel minden vizsgálati eredményt egy könnyen lekérdezhető, központosított naplótárban tárolhat.

Képernyőkép arról, hogy hol konfigurálható a Log Analytics-célhely a vizsgálati naplóhoz.

Mielőtt elküldené a vizsgálati eredményeket a Log Analyticsnek, hozzon létre egy Log Analytics-munkaterületet, vagy használjon egy meglévőt.

A Log Analytics célhelyének konfigurálásához keresse meg a megfelelő tárfiókot, nyissa meg a Felhőhöz készült Microsoft Defender lapot, és válassza ki a konfigurálni kívánt beállításokat.

Ez a konfiguráció REST API-val is elvégezhető:

Kérés URL-je:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Kérés szövegtörzse:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Event Grid beállítása kártevők vizsgálatához

A kártevő-vizsgálattal engedélyezett minden tárfiók esetében konfigurálhatja, hogy minden vizsgálati eredményt egy Event Grid-esemény használatával küldjön automatizálási célokra.

  1. Ahhoz, hogy konfigurálja az Event Gridet a vizsgálati eredmények küldéséhez, először létre kell hoznia egy egyéni témakört. Útmutatásért tekintse meg az Event Grid-dokumentációt az egyéni témakörök létrehozásáról. Győződjön meg arról, hogy a célként szolgáló Event Grid egyéni témakör ugyanabban a régióban van létrehozva, mint a tárfiók, ahonnan a vizsgálati eredményeket el szeretné küldeni.

  2. Az Event Grid egyéni témakör célhelyének konfigurálásához nyissa meg a megfelelő tárfiókot, nyissa meg a Felhőhöz készült Microsoft Defender lapot, és válassza ki a konfigurálni kívánt beállításokat.

Feljegyzés

Ha egyéni Event Grid-témakört állít be, az előfizetési szintű Defender felülbírálása beállítást be kell állítania, hogy az felülírja-e az előfizetési szintű beállításokat.

Képernyőkép arról, hogy hol engedélyezheti az Event Grid-célhelyet a vizsgálati naplókhoz.

Ez a konfiguráció REST API-val is elvégezhető:

Kérés URL-je:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Kérés szövegtörzse:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

A Defender for Storage előfizetési szintű beállításainak felülbírálása

Az előfizetési szintű beállítások öröklik a Defender for Storage beállításait az előfizetés minden egyes tárfiókján. A Defender for Storage előfizetési szintű beállításainak felülbírálása segítségével az előfizetés szintjén konfigurálttól eltérő egyéni tárfiókok beállításait konfigurálhatja.

Az előfizetések beállításainak felülírása általában a következő forgatókönyvekhez használatos:

  • Engedélyezze/tiltsa le a kártevőkeresést vagy az adatérzékenység veszélyforrás-észlelési funkcióit.
  • Egyéni beállítások konfigurálása a kártevő-vizsgálathoz.
  • Tiltsa le a Microsoft Defender for Storage-t adott tárfiókokon.

Feljegyzés

Javasoljuk, hogy engedélyezze a Defender for Storage-t a teljes előfizetésen az összes meglévő és jövőbeli tárfiók védelme érdekében. Vannak azonban olyan esetek, amikor bizonyos tárfiókokat ki szeretne zárni a Defender-védelemből. Ha úgy döntött, hogy kizárja, kövesse az alábbi lépéseket a felülbírálási beállítás használatához, majd tiltsa le a megfelelő tárfiókot. Ha a Defender for Storage -t (klasszikus) használja, kizárhatja a tárfiókokat is.

Azure Portal

Az azure portalon az előfizetési szinten konfigurálttól eltérő egyéni tárfiókok beállításainak konfigurálása:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg az egyéni beállításokat konfigurálni kívánt tárfiókot.

  3. A Tárfiók menü Biztonság + hálózatkezelés szakaszában válassza a Felhőhöz készült Microsoft Defender.

  4. Válassza a Gépház a Microsoft Defender for Storage-ban.

  5. Állítsa be a Defender felülbírálása a Tárhoz előfizetési szintű beállításainak állapotát (a Speciális beállítások területen) a Be értékre. Ez biztosítja, hogy a beállítások csak ehhez a tárfiókhoz legyenek mentve, és az előfizetés beállításai ne lépik túl.

  6. Konfigurálja a módosítani kívánt beállításokat:

    1. A kártevők vizsgálatának vagy a bizalmas adatfenyegetések észlelésének engedélyezéséhez állítsa be az állapotot.

    2. A kártevők vizsgálatának beállításainak módosítása:

      1. Ha még nincs engedélyezve, kapcsolja be a feltöltés alatt lévő kártevő-vizsgálatot.

      2. Ha módosítani szeretné a tárfiókokban a kártevők vizsgálatának havi küszöbértékét, módosíthatja a havonta beolvasott GB-korlát beállítása nevű paramétert a kívánt értékre. Ez a paraméter határozza meg a havonta vizsgálható maximális adatmennyiséget kártevők szempontjából, konkrétan minden egyes tárfiókra vonatkozóan. Ha korlátlan számú vizsgálatot szeretne engedélyezni, törölheti a paraméter jelölését. Alapértelmezés szerint a korlát 5000 GB-ra van beállítva.

  7. Ha le szeretné tiltani a Defender for Storage-t ezen a tárfiókon, állítsa a Microsoft Defender for Storage állapotát kikapcsolva értékre.

    Képernyőkép arról, hogy hol lehet kikapcsolni a Defender for Storage szolgáltatást az Azure Portalon.

    Válassza a Mentés lehetőséget.

REST API

Az előfizetési szinten konfigurálttól eltérő egyéni tárfiókok beállításait a REST API használatával konfigurálhatja:

Hozzon létre egy PUT-kérelmet ezzel a végponttal. Cserélje le a végpont URL-címében található subscriptionId, resourceGroupName és accountName értéket a saját Azure előfizetési azonosítójára, erőforráscsoportjára és tárfióknevére ennek megfelelően.

Kérés URL-je:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Kérés szövegtörzse:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. A kártevők vizsgálatának vagy a bizalmas adatfenyegetések észlelésének engedélyezéséhez állítsa az isEnabled értékét igaz értékre a vonatkozó funkciók alatt.

  2. A kártevők vizsgálatának beállításainak módosításához szerkessze a megfelelő mezőket az onUpload területen, győződjön meg arról, hogy az isEnabled értéke igaz. Ha korlátlan számú vizsgálatot szeretne engedélyezni, rendelje hozzá a -1 értéket a capGBPerMonth paraméterhez.

  3. Ha le szeretné tiltani a Defender for Storage-t ezen a tárfiókon, használja a következő kérelemtörzset:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Győződjön meg arról, hogy hozzáadja a paramétertoverrideSubscriptionLevelSettings, és az értéke igaz értékre van állítva. Ez biztosítja, hogy a beállítások csak ehhez a tárfiókhoz legyenek mentve, és az előfizetés beállításai ne lépik túl.

Következő lépés

További információ a kártevő-ellenőrzési beállításokról.