Condividi tramite

Abilitare Microsoft Defender per l'archiviazione (versione classica)

Questo articolo illustra come abilitare e configurare Microsoft Defender for Storage (versione classica) nelle sottoscrizioni usando vari modelli, ad esempio PowerShell, API REST e altri.

Nota

Defender per Archiviazione (versione classica) non è disponibile per le nuove sottoscrizioni a partire dal 5 febbraio 2025.

È anche possibile eseguire l'aggiornamento al nuovo piano di Microsoft Defender per Archiviazione e usare funzionalità di sicurezza avanzate, tra cui l'analisi malware e il rilevamento delle minacce ai dati sensibili. Trarre vantaggio da una struttura dei prezzi prevedibile e granulare che addebita i costi per ogni account di archiviazione, con costi aggiuntivi per le transazioni con volumi elevati. Questo nuovo piano tariffario include anche tutte le nuove funzionalità e rilevamenti di sicurezza.

Nota

Se si usa Defender per Archiviazione (versione classica) con prezzi per transazione o per account di archiviazione, è necessario eseguire la migrazione al nuovo piano defender per archiviazione per accedere a queste funzionalità e prezzi. Informazioni sullamigrazione al nuovo piano di Defender per l'archiviazione.

Microsoft Defender per Archiviazione è un livello di intelligence per la sicurezza nativo di Azure che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Usa funzionalità avanzate di rilevamento delle minacce e dati di Microsoft Defender Threat Intelligence per fornire avvisi di sicurezza contestuali. Questi avvisi includono i passaggi per attenuare le minacce rilevate e prevenire attacchi futuri.

Microsoft Defender per Archiviazione analizza continuamente le transazioni dei servizi Archiviazione BLOB di Azure, Azure Data Lake Storagee File di Azure. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Microsoft Defender for Cloud mostra gli avvisi con i dettagli delle attività sospette, i passaggi di indagine appropriati, le azioni di correzione e le raccomandazioni sulla sicurezza.

I dati di telemetria analizzati di Azure Blob Storage includono tipi di operazione come Get Blob, Put Blob, Get Container ACL, List Blobs e Get Blob Properties. Esempi di tipi di operazioni di File di Azure analizzati includono Get File, Create File, List Files, Get File Properties e Put Range.

Defender per Archiviazione classica non accede ai dati dell'account di archiviazione e non ha alcun impatto sulle prestazioni.

Altre informazioni sui vantaggi, le funzionalità e le limitazioni di Defender per l'archiviazione. Puoi anche saperne di più su Defender per l'archiviazione nell'episodio dedicato a Defender per l'archiviazione della serie di video Defender per il Cloud in Pratica.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Microsoft Defender per l'archiviazione è soggetto alle tariffe visualizzate nei dettagli dei prezzi e nei piani di Defender nel portale di Azure
Tipi di archiviazione protetti: Archiviazione BLOB (Archiviazione Standard/PremiumV2, BLOB in blocchi)
File di Azure (tramite l'API REST e SMB)
Azure Data Lake Storage Gen2 (account Standard/Premium con spazi dei nomi gerarchici abilitati)
Nuvole: Cloud commerciali
Azure per enti pubblici (solo per il piano per transazione)
Microsoft Azure gestito da 21Vianet
Account AWS connessi

Configurare i prezzi per transazione per un account di archiviazione

È possibile configurare Microsoft Defender per l'archiviazione con prezzi per transazione per gli account in differenti modi:

Modello ARM

Per abilitare Microsoft Defender per l'archiviazione per un account di archiviazione specifico con prezzi basati su transazione usando un modello ARM, usare il modello di Azure preparato.

Se si desidera disabilitare Defender per l'archiviazione nell'account:

  1. Accedere al portale di Azure.
  2. Passa all'account di archiviazione.
  3. Nella sezione Sicurezza e rete del menu Account di archiviazione selezionare Microsoft Defender per il cloud.
  4. Seleziona Disabilita.

PowerShell

Per abilitare Microsoft Defender per l'archiviazione per un account di archiviazione specifico con prezzi per transazione tramite PowerShell:

  1. Se non è già disponibile, installare il modulo Azure Az PowerShell.

  2. Usare il cmdlet Connect-AzAccount per accedere all'account Azure. Altre informazioni sull'accesso ad Azure con Azure PowerShell.

  3. Abilitare Microsoft Defender per l'archiviazione per l'account di archiviazione desiderato con il cmdlet Enable-AzSecurityAdvancedThreatProtection:

    Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

    Sostituire <subscriptionId>, <resource-group> e <storage-account> con i valori per l'ambiente.

Per disabilitare i prezzi per transazione per un account di archiviazione specifico, usare il cmdlet Disable-AzSecurityAdvancedThreatProtection:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Altre informazioni sull'uso di PowerShell con Microsoft Defender per il cloud.

Interfaccia della riga di comando di Azure

Per abilitare Microsoft Defender per l'archiviazione per un account di archiviazione specifico con tariffazione per transazione utilizzando Azure CLI:

  1. Se non lo hai già, installa l'Azure CLI.

  2. Usare il comando az login per accedere all'account Azure. Altre informazioni sull'accesso ad Azure con l'interfaccia della riga di comando di Azure.

  3. Abilitare Microsoft Defender per l'archiviazione per la sottoscrizione con il comando az security atp storage update:

    az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled true

Suggerimento

È possibile usare il comando az security atp storage show per verificare se Defender per l'archiviazione è abilitato in un account.

Per disabilitare Microsoft Defender for Storage (versione classica) per la sottoscrizione, usare il az security atp storage update comando :

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Altre informazioni sul comando az security atp storage.

Escludere un account di archiviazione da una sottoscrizione protetta nel piano per transazione

Quando una sottoscrizione dispone di Microsoft Defender per Archiviazione abilitata, tutti gli account di archiviazione di Azure correnti e futuri in tale sottoscrizione sono protetti. È possibile escludere account di archiviazione specifici dalle protezioni di Defender per Archiviazione usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

È consigliabile abilitare Defender per l'archiviazione nell'intera sottoscrizione per proteggere tutti gli account di archiviazione esistenti e futuri. Tuttavia, esistono alcuni casi in cui gli utenti vogliono escludere account di archiviazione specifici dalla protezione di Defender.

L'esclusione degli account di archiviazione dalle sottoscrizioni protette richiede:

  1. Aggiungere un tag per bloccare l'ereditarietà dell'abilitazione della sottoscrizione.
  2. Disabilitare Defender per l'archiviazione (versione classica).

Nota

Valutare la possibilità di eseguire l'aggiornamento al nuovo piano di Defender per l'archiviazione se si hanno account di archiviazione da escludere dal piano classico di Defender per l'archiviazione. Non solo si risparmieranno sui costi per gli account con elevato utilizzo delle transazioni, ma si otterrà anche l'accesso alle funzionalità di sicurezza avanzate. Altre informazioni sui vantaggi della migrazione al nuovo piano.

Gli account di archiviazione esclusi nel modello classico di Defender per l'archiviazione non vengono esclusi automaticamente quando si esegue la migrazione al nuovo piano.

Escludere la protezione di un account Azure Storage in una sottoscrizione con prezzi per transazione

Per escludere un account di archiviazione di Azure da Microsoft Defender per l'archiviazione (versione classica), è possibile usare:

Usare PowerShell per escludere un account di archiviazione di Azure

  1. Se il modulo Azure Az PowerShell non è installato, installarlo usando le istruzioni della documentazione di Azure PowerShell.

  2. Usando un account autenticato, connettersi ad Azure con il cmdlet Connect-AzAccount, come illustrato in Accedere con Azure PowerShell.

  3. Definire il tag AzDefenderPlanAutoEnable nell'account di archiviazione con il cmdlet Update-AzTag (sostituire ResourceId con l'ID risorsa dell'account di archiviazione pertinente):

    Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge

    Se si ignora questa fase, le risorse senza tag continuano a ricevere aggiornamenti giornalieri dai criteri di abilitazione a livello di sottoscrizione. Questa politica abilita nuovamente Defender per l'archiviazione nell'account. Per altre informazioni sui tag, vedere Usare i tag per organizzare le risorse di Azure e la gerarchia di gestione.

  4. Disabilitare Microsoft Defender per l'archiviazione per l'account desiderato nella sottoscrizione pertinente con il cmdlet Disable-AzSecurityAdvancedThreatProtection (utilizzando lo stesso ID risorsa):

    Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>

    Altre informazioni su questo cmdlet.

Usare l'interfaccia della riga di comando di Azure per escludere un account di archiviazione di Azure

  1. Se l'interfaccia della riga di comando di Azure non è installata, installarla usando le istruzioni della documentazione dell'interfaccia della riga di comando di Azure.

  2. Usando un account autenticato, connettersi ad Azure con il comando login come illustrato in Accedere con l'interfaccia della riga di comando di Azure e immettere le credenziali dell'account quando richiesto:

    az login

  3. Definire il tag AzDefenderPlanAutoEnable nell'account di archiviazione con il comando tag update (sostituire ResourceId con l'ID risorsa dell'account di archiviazione pertinente):

    az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off

    Se si ignora questa fase, le risorse senza tag continuano a ricevere aggiornamenti giornalieri dai criteri di abilitazione a livello di sottoscrizione. Questo criterio abilita nuovamente Defender per l'archiviazione nell'account.

    Suggerimento

    Altre informazioni sui tag nel tag az.

  4. Disabilitare Microsoft Defender per l'archiviazione per l'account desiderato nella sottoscrizione pertinente con il comando security atp storage (usando lo stesso ID risorsa):

    az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false

    Altre informazioni su questo comando.

Escludere un account di archiviazione di Azure Databricks

Escludere un'area di lavoro di Databricks attiva

Microsoft Defender per l'archiviazione può escludere specifici account di archiviazione attivi dell'area di lavoro di Databricks, quando il piano è già abilitato in una sottoscrizione.

Per escludere un'area di lavoro di Databricks attiva:

  1. Accedere al portale di Azure.

  2. Andare a Azure Databricks>Your Databricks workspace>Tags.

  3. Nel campo Nome immettere AzDefenderPlanAutoEnable.

  4. Nel campo Valore immettere off e selezionare Applica.

    Screenshot che mostra la posizione e come applicare il tag all'account Azure Databricks.

  5. Vai a Microsoft Defender per Cloud>Impostazioni dell'ambiente>Your subscription.

  6. Impostare il piano Defender per l'archiviazione su Off e selezionare Salva.

    Screenshot che mostra come disattivare il piano Defender per l'archiviazione.

  7. Riabilitare Defender per l'archiviazione (versione classica) usando uno dei metodi supportati (non è possibile abilitare Defender per l'archiviazione classica nel portale di Azure).

I tag vengono ereditati dall'account di archiviazione dell'area di lavoro di Databricks e impediscono l'attivazione di Defender per l'archiviazione.

Nota

I tag non possono essere aggiunti direttamente all'account di archiviazione di Databricks o al relativo gruppo di risorse gestite.

Impedire l'attivazione automatica in un nuovo account di archiviazione dell'area di lavoro di Databricks

Quando si crea una nuova area di lavoro di Databricks, è possibile aggiungere un tag che impedisce l'abilitazione automatica dell'account di Microsoft Defender per l'archiviazione.

Per impedire l'abilitazione automatica su un nuovo account di archiviazione di un'area di lavoro Databricks:

  1. Per creare una nuova area di lavoro di Azure Databricks, seguire questa procedura.

  2. Nella scheda Tag immettere un tag denominato AzDefenderPlanAutoEnable.

  3. Immettere il valore off.

    Screenshot che mostra come creare un tag nell'area di lavoro di Databricks.

  4. Continuare a seguire le istruzioni per creare la nuova area di lavoro di Azure Databricks.

L'account di Microsoft Defender per l'archiviazione eredita il tag dell'area di lavoro di Databricks, che impedisce l'attivazione automatica di Defender for Storage.

Disabilitare Microsoft Defender per Archiviazione (versione classica)

Disabilitare i prezzi per transazione per una sottoscrizione

Modello Terraform

Per disabilitare Microsoft Defender for Storage (versione classica) a livello di sottoscrizione con prezzi per transazione usando un modello Terraform, aggiungere questo frammento di codice al modello con l'ID parent_id sottoscrizione come valore:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Free"
    }
  })
}

Altre informazioni sul riferimento AzAPI del modello di ARM.

Modello Bicep

Per disabilitare Microsoft Defender for Storage (versione classica) a livello di sottoscrizione con prezzi per transazione tramite Bicep, aggiungere quanto segue al modello Bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Free'
  }
}

Altre informazioni sul riferimento Bicep del modello di ARM.

Modello ARM

Per disabilitare Microsoft Defender for Storage (versione classica) a livello di sottoscrizione con prezzi per transazione usando un modello di Resource Manager, aggiungere questo frammento JSON alla sezione resources del modello di Resource Manager:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Free",
  }
}

Altre informazioni sul riferimento AzAPI del modello di ARM.

PowerShell

Per disabilitare Microsoft Defender for Storage (versione classica) a livello di sottoscrizione con prezzi per transazione tramite PowerShell:

  1. Se non è già disponibile, installare il modulo Azure Az PowerShell.

  2. Usare il cmdlet Connect-AzAccount per accedere all'account Azure. Altre informazioni sull'accesso ad Azure con Azure PowerShell. Disabilitare Microsoft Defender per Storage per la sottoscrizione con il cmdlet Set-AzSecurityPricing:

    Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Free"

Interfaccia della riga di comando di Azure

Per disabilitare Microsoft Defender per Archiviazione a livello di sottoscrizione con prezzi per transazione tramite l'interfaccia della riga di comando di Azure:

  1. Se non è già disponibile, installare l'interfaccia della riga di comando di Azure.

  2. Usare il comando az login per accedere all'account Azure. Altre informazioni sull'accesso ad Azure con l'interfaccia della riga di comando di Azure.

  3. Usare questi comandi per impostare l'ID sottoscrizione e il nome:

    az account set --subscription "<subscriptionId or name>"

    Sostituire <subscriptionId> con l'ID della sottoscrizione.

  4. Disabilitare Microsoft Defender per l'archiviazione per la sottoscrizione con il comando az security pricing create:

    az security pricing create -n StorageAccounts --tier "free"

Suggerimento

È possibile usare il comando az security pricing show per visualizzare tutti i piani di Defender per il cloud abilitati per la sottoscrizione.

Per disabilitare il piano, impostare il valore della proprietà -tier su free.

Altre informazioni sul comando az security pricing create.

REST API

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione usando l'API REST di Microsoft Defender per il cloud, creare una richiesta PUT con questo endpoint e il corpo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Sostituire {subscriptionId} con l'ID della sottoscrizione.

Per disabilitare il piano, impostare il valore della proprietà -pricingTier su Free e rimuovere il parametro subPlan.

Altre informazioni sull'aggiornamento dei piani di Defender con l'API REST in HTTP, Java, Go e JavaScript.

Passaggi successivi