Speciális konfigurációk kártevő-vizsgálathoz
A kártevő-vizsgálat konfigurálható úgy, hogy a vizsgálati eredményeket a következő címre küldje:
- Event Grid egyéni témakör – közel valós idejű automatikus válaszhoz minden vizsgálati eredmény alapján.
- Log Analytics-munkaterület – az összes vizsgálati eredmény tárolására egy központosított naplóadattárban a megfelelőség és a naplózás érdekében.
További információ a kártevők vizsgálatának eredményeire adott válasz beállításáról.
Tipp.
Javasoljuk, hogy próbálja ki a Ninja betanítási utasításait, egy gyakorlati tesztkörnyezetet, hogy kipróbálja a kártevők vizsgálatát a Defender for Storage-ban, részletes részletes útmutatást használva, amely bemutatja, hogyan tesztelheti a kártevőket a végpontok között, és hogyan állíthat be válaszokat az eredmények vizsgálatára. Ez a "laborok" projekt része, amely segít az ügyfeleknek a Felhőhöz készült Microsoft Defender elsajátításában, és gyakorlati tapasztalatot nyújt a képességeivel kapcsolatban.
Naplózás beállítása kártevő-vizsgálathoz
A kártevő-vizsgálattal engedélyezett minden egyes tárfiókhoz meghatározhat egy Log Analytics-munkaterületi célt, amellyel minden vizsgálati eredményt egy könnyen lekérdezhető, központosított naplótárban tárolhat.
Mielőtt elküldené a vizsgálati eredményeket a Log Analyticsnek, hozzon létre egy Log Analytics-munkaterületet, vagy használjon egy meglévőt.
A Log Analytics célhelyének konfigurálásához keresse meg a megfelelő tárfiókot, nyissa meg a Felhőhöz készült Microsoft Defender lapot, és válassza ki a konfigurálni kívánt beállításokat.
Ez a konfiguráció REST API-val is elvégezhető:
Kérés URL-je:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Kérés szövegtörzse:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Event Grid beállítása kártevők vizsgálatához
A kártevő-vizsgálattal engedélyezett minden tárfiók esetében konfigurálhatja, hogy minden vizsgálati eredményt egy Event Grid-esemény használatával küldjön automatizálási célokra.
Ahhoz, hogy konfigurálja az Event Gridet a vizsgálati eredmények küldéséhez, először létre kell hoznia egy egyéni témakört. Útmutatásért tekintse meg az Event Grid-dokumentációt az egyéni témakörök létrehozásáról. Győződjön meg arról, hogy a célként szolgáló Event Grid egyéni témakör ugyanabban a régióban van létrehozva, mint a tárfiók, ahonnan a vizsgálati eredményeket el szeretné küldeni.
Az Event Grid egyéni témakör célhelyének konfigurálásához nyissa meg a megfelelő tárfiókot, nyissa meg a Felhőhöz készült Microsoft Defender lapot, és válassza ki a konfigurálni kívánt beállításokat.
Feljegyzés
Ha egyéni Event Grid-témakört állít be, az előfizetési szintű Defender felülbírálása beállítást be kell állítania, hogy az felülírja-e az előfizetési szintű beállításokat.
Ez a konfiguráció REST API-val is elvégezhető:
Kérés URL-je:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Kérés szövegtörzse:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
A Defender for Storage előfizetési szintű beállításainak felülbírálása
Az előfizetési szintű beállítások öröklik a Defender for Storage beállításait az előfizetés minden egyes tárfiókján. A Defender for Storage előfizetési szintű beállításainak felülbírálása segítségével az előfizetés szintjén konfigurálttól eltérő egyéni tárfiókok beállításait konfigurálhatja.
Az előfizetések beállításainak felülírása általában a következő forgatókönyvekhez használatos:
- Engedélyezze/tiltsa le a kártevőkeresést vagy az adatérzékenység veszélyforrás-észlelési funkcióit.
- Egyéni beállítások konfigurálása a kártevő-vizsgálathoz.
- Tiltsa le a Microsoft Defender for Storage-t adott tárfiókokon.
Feljegyzés
Javasoljuk, hogy engedélyezze a Defender for Storage-t a teljes előfizetésen az összes meglévő és jövőbeli tárfiók védelme érdekében. Vannak azonban olyan esetek, amikor bizonyos tárfiókokat ki szeretne zárni a Defender-védelemből. Ha úgy döntött, hogy kizárja, kövesse az alábbi lépéseket a felülbírálási beállítás használatához, majd tiltsa le a megfelelő tárfiókot. Ha a Defender for Storage -t (klasszikus) használja, kizárhatja a tárfiókokat is.
Azure Portal
Az azure portalon az előfizetési szinten konfigurálttól eltérő egyéni tárfiókok beállításainak konfigurálása:
Jelentkezzen be az Azure Portalra.
Keresse meg az egyéni beállításokat konfigurálni kívánt tárfiókot.
A Tárfiók menü Biztonság + hálózatkezelés szakaszában válassza a Felhőhöz készült Microsoft Defender.
Válassza a Gépház a Microsoft Defender for Storage-ban.
Állítsa be a Defender felülbírálása a Tárhoz előfizetési szintű beállításainak állapotát (a Speciális beállítások területen) a Be értékre. Ez biztosítja, hogy a beállítások csak ehhez a tárfiókhoz legyenek mentve, és az előfizetés beállításai ne lépik túl.
Konfigurálja a módosítani kívánt beállításokat:
A kártevők vizsgálatának vagy a bizalmas adatfenyegetések észlelésének engedélyezéséhez állítsa be az állapotot.
A kártevők vizsgálatának beállításainak módosítása:
Ha még nincs engedélyezve, kapcsolja be a feltöltés alatt lévő kártevő-vizsgálatot.
Ha módosítani szeretné a tárfiókokban a kártevők vizsgálatának havi küszöbértékét, módosíthatja a havonta beolvasott GB-korlát beállítása nevű paramétert a kívánt értékre. Ez a paraméter határozza meg a havonta vizsgálható maximális adatmennyiséget kártevők szempontjából, konkrétan minden egyes tárfiókra vonatkozóan. Ha korlátlan számú vizsgálatot szeretne engedélyezni, törölheti a paraméter jelölését. Alapértelmezés szerint a korlát 5000 GB-ra van beállítva.
Ha le szeretné tiltani a Defender for Storage-t ezen a tárfiókon, állítsa a Microsoft Defender for Storage állapotát kikapcsolva értékre.
Válassza a Mentés lehetőséget.
REST API
Az előfizetési szinten konfigurálttól eltérő egyéni tárfiókok beállításait a REST API használatával konfigurálhatja:
Hozzon létre egy PUT-kérelmet ezzel a végponttal. Cserélje le a végpont URL-címében található subscriptionId, resourceGroupName és accountName értéket a saját Azure előfizetési azonosítójára, erőforráscsoportjára és tárfióknevére ennek megfelelően.
Kérés URL-je:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Kérés szövegtörzse:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
A kártevők vizsgálatának vagy a bizalmas adatfenyegetések észlelésének engedélyezéséhez állítsa az isEnabled értékét igaz értékre a vonatkozó funkciók alatt.
A kártevők vizsgálatának beállításainak módosításához szerkessze a megfelelő mezőket az onUpload területen, győződjön meg arról, hogy az isEnabled értéke igaz. Ha korlátlan számú vizsgálatot szeretne engedélyezni, rendelje hozzá a -1 értéket a capGBPerMonth paraméterhez.
Ha le szeretné tiltani a Defender for Storage-t ezen a tárfiókon, használja a következő kérelemtörzset:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Győződjön meg arról, hogy hozzáadja a paramétertoverrideSubscriptionLevelSettings
, és az értéke igaz értékre van állítva. Ez biztosítja, hogy a beállítások csak ehhez a tárfiókhoz legyenek mentve, és az előfizetés beállításai ne lépik túl.