Abilitare Microsoft Defender per l'archiviazione (versione classica)

Questo articolo illustra come abilitare e configurare Microsoft Defender per l'archiviazione (classica) nelle sottoscrizioni usando vari modelli, ad esempio PowerShell, API REST e altri.

È anche possibile eseguire l'aggiornamento alla nuova Microsoft Defender per il piano di archiviazione e usare funzionalità di sicurezza avanzate, tra cui Analisi malware e rilevamento delle minacce sensibili ai dati. Trarre vantaggio da una struttura tariffaria più prevedibile e granulare che addebiti per ogni account di archiviazione, con costi aggiuntivi per le transazioni con volumi elevati. Questo nuovo piano tariffario include anche tutte le nuove funzionalità di sicurezza e i rilevamenti.

Nota

Se si usa Defender for Storage (versione classica) con prezzi per transazione o per account di archiviazione, è necessario eseguire la migrazione al nuovo piano Defender for Storage per accedere a queste funzionalità e prezzi. Informazioni sulla migrazione al nuovo piano defender per l'archiviazione.

Microsoft Defender per l'archiviazione è un livello nativo di intelligence di sicurezza di Azure che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Usa funzionalità avanzate di rilevamento delle minacce e dati di Microsoft Threat Intelligence per fornire avvisi di sicurezza contestuali. Questi avvisi includono anche i passaggi per mitigare le minacce rilevate e prevenire attacchi futuri.

Microsoft Defender per l'archiviazione analizza continuamente le transazioni di Archiviazione BLOB di Azure, Azure Data Lake Storagee File di Azure servizi. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Gli avvisi vengono visualizzati in Microsoft Defender per Cloud con i dettagli dell'attività sospetta, i passaggi di indagine appropriati, le azioni di correzione e le raccomandazioni sulla sicurezza.

I dati di telemetria analizzati di Archiviazione BLOB di Azure includono tipi di operazione, ad esempio Get BLOB, Put BLOB, Get Container ACL, List BLOB e Get BLOB. Esempi di tipi di operazioni di File di Azure analizzati includono Get File, Create File, List Files, Get File Properties e Put Range.

Defender per Archiviazione classica non accede ai dati dell'account di archiviazione e non ha alcun impatto sulle prestazioni.

Altre informazioni sui vantaggi, le funzionalità e le limitazioni di Defender for Storage. È anche possibile altre informazioni su Defender for Storage nell'episodio Defender for Storage della serie video Defender for Cloud nella serie video Field.

Disponibilità

Aspetto	Dettagli
Stato della versione:	Disponibilità generale (GA)
Prezzi:	Microsoft Defender per l'archiviazione viene fatturata come illustrato nei dettagli dei prezzi e nei piani Defender nel portale di Azure
Tipi di archiviazione protetti:	Archiviazione BLOB (Archiviazione Standard/PremiumV2, BLOB in blocchi) File di Azure (tramite API REST e SMB) Azure Data Lake Storage Gen2 (account Standard/Premium con spazi dei nomi gerarchici abilitati)
Cloud:	Cloud commerciali Azure per enti pubblici (solo per piano di transazione) Microsoft Azure gestito da 21Vianet Account AWS connessi

Configurare Microsoft Defender per l'archiviazione (versione classica)

Configurare i prezzi per transazione per una sottoscrizione

Per i prezzi di Defender for Storage per transazione, è consigliabile abilitare Defender for Storage per ogni sottoscrizione in modo che tutti gli account di archiviazione esistenti e nuovi siano protetti. Se si vuole proteggere solo account specifici, configurare Defender per l'archiviazione per ogni account.

È possibile configurare Microsoft Defender per l'archiviazione nelle sottoscrizioni in diversi modi:

• Modello Terraform
• Modello Bicep
• Modello ARM
• PowerShell
• Interfaccia della riga di comando di Azure
• REST API

Modello Terraform

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione usando un modello Terraform, aggiungere questo frammento di codice al modello con l'ID parent_id sottoscrizione come valore:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Per disabilitare il piano, impostare il valore della pricingTier proprietà su Free e rimuovere la subPlan proprietà.

Altre informazioni sul modello di Resource Manager AzAPI di riferimento.

Modello Bicep

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione usando Bicep, aggiungere quanto segue al modello Bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Per disabilitare il piano, impostare il valore della pricingTier proprietà su Free e rimuovere la subPlan proprietà.

Altre informazioni sul modello Bicep AzAPI di riferimento.

Modello ARM

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione usando un modello arm, aggiungere questo frammento JSON alla sezione risorse del modello di Resource Manager:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Per disabilitare il piano, impostare il valore della pricingTier proprietà su Free e rimuovere la subPlan proprietà.

Altre informazioni sul modello di Resource Manager AzAPI di riferimento.

PowerShell

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione tramite PowerShell:

1. Se non è già disponibile, installare il modulo Azure Az PowerShell.

2. Usare il cmdlet per accedere all'account Connect-AzAccount Azure. Altre informazioni sull'accesso ad Azure con Azure PowerShell.

3. Usare questi comandi per registrare la sottoscrizione al Microsoft Defender per il provider di risorse cloud:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Sostituire <subscriptionId> con l'ID della sottoscrizione.

4. Abilitare Microsoft Defender per l'archiviazione per la sottoscrizione con il Set-AzSecurityPricing cmdlet:

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Suggerimento

È possibile usare (GetAzSecurityPricingAz_Security) per visualizzare tutti i piani Defender for Cloud abilitati per la sottoscrizione.

Per disabilitare il piano, impostare il valore della -PricingTier proprietà su Free.

Altre informazioni sull'uso di PowerShell con Microsoft Defender per Cloud.

Interfaccia della riga di comando di Azure

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione tramite l'interfaccia della riga di comando di Azure:

1. Se non è già disponibile, installare l'interfaccia della riga di comando di Azure.

2. Usare il comando per accedere all'account az login Azure. Altre informazioni sull'accesso ad Azure con l'interfaccia della riga di comando di Azure.

3. Usare questi comandi per impostare l'ID sottoscrizione e il nome:

   az account set --subscription "<subscriptionId or name>"
   

   Sostituire <subscriptionId> con l'ID della sottoscrizione.

4. Abilitare Microsoft Defender per l'archiviazione per la sottoscrizione con il az security pricing create comando:

   az security pricing create -n StorageAccounts --tier "standard"
   

Suggerimento

È possibile usare il az security pricing show comando per visualizzare tutti i piani Defender for Cloud abilitati per la sottoscrizione.

Per disabilitare il piano, impostare il valore della -tier proprietà su free.

Altre informazioni sul az security pricing create comando.

API REST

Per abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione con prezzi per transazione tramite l'API REST del Microsoft Defender per cloud, creare una richiesta PUT con questo endpoint e corpo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Sostituire {subscriptionId} con l'ID della sottoscrizione.

Per disabilitare il piano, impostare il valore della -pricingTier proprietà su Free e rimuovere il subPlan parametro.

Altre informazioni sui piani di aggiornamento di Defender con l'API REST in HTTP, Java, Go e JavaScript.

Configurare i prezzi per transazione per un account di archiviazione

È possibile configurare Microsoft Defender per Archiviazione con prezzi per transazione per account in diversi modi:

• Modello ARM
• PowerShell
• Interfaccia della riga di comando di Azure

Modello ARM

Per abilitare Microsoft Defender per l'archiviazione per un account di archiviazione specifico con prezzi per transazione usando un modello di Resource Manager, usare il modello di Azure preparato.

Se si vuole disabilitare Defender per l'archiviazione nell'account:

1. Accedere al portale di Azure.
2. Passare all'account di archiviazione.
3. Nella sezione Sicurezza e rete del menu Account di archiviazione selezionare Microsoft Defender for Cloud.
4. Selezionare Disabilita.

PowerShell

Per abilitare Microsoft Defender per l'archiviazione per un account di archiviazione specifico con prezzi per transazione tramite PowerShell:

1. Se non è già disponibile, installare il modulo Azure Az PowerShell.

2. Usare il cmdlet Connect-AzAccount per accedere all'account Azure. Altre informazioni sull'accesso ad Azure con Azure PowerShell.

3. Abilitare Microsoft Defender per l'archiviazione per l'account di archiviazione desiderato con il Enable-AzSecurityAdvancedThreatProtection cmdlet:

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Sostituire <subscriptionId>, <resource-group>e <storage-account> con i valori per l'ambiente.

Se si desidera disabilitare i prezzi per transazione per un account di archiviazione specifico, usare il Disable-AzSecurityAdvancedThreatProtection cmdlet:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Altre informazioni sull'uso di PowerShell con Microsoft Defender per Cloud.

Interfaccia della riga di comando di Azure

Per abilitare Microsoft Defender per l'archiviazione per un account di archiviazione specifico con prezzi per transazione tramite l'interfaccia della riga di comando di Azure:

1. Se non è già disponibile, installare l'interfaccia della riga di comando di Azure.

2. Usare il comando per accedere all'account az login Azure. Altre informazioni sull'accesso ad Azure con l'interfaccia della riga di comando di Azure.

3. Abilitare Microsoft Defender per l'archiviazione per la sottoscrizione con il az security atp storage update comando:

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Suggerimento

È possibile usare il az security atp storage show comando per verificare se Defender for Storage è abilitato in un account.

Per disabilitare Microsoft Defender per l'archiviazione per la sottoscrizione, usare il az security atp storage update comando:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Altre informazioni sul comando az security atp storage .

Escludere un account di archiviazione da una sottoscrizione protetta nel piano di transazione

Quando si abilita Microsoft Defender per l'archiviazione in una sottoscrizione per i prezzi per transazione, tutti gli account di archiviazione di Azure correnti e futuri in tale sottoscrizione sono protetti. È possibile escludere account di archiviazione specifici da Defender per le protezioni di archiviazione usando l'portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

È consigliabile abilitare Defender per l'archiviazione nell'intera sottoscrizione per proteggere tutti gli account di archiviazione esistenti e futuri. Tuttavia, esistono alcuni casi in cui gli utenti vogliono escludere account di archiviazione specifici dalla protezione defender.

L'esclusione degli account di archiviazione dalle sottoscrizioni protette richiede:

1. Aggiungere un tag per bloccare l'ereditazione dell'abilitazione della sottoscrizione.
2. Disabilita Defender per Archiviazione (versione classica).

Nota

Valutare la possibilità di eseguire l'aggiornamento al nuovo piano defender per l'archiviazione se si dispone di account di archiviazione che si desidera escludere dal piano classico Defender for Storage. Non solo si risparmiano i costi per gli account pesanti delle transazioni, ma si otterrà anche l'accesso alle funzionalità di sicurezza avanzate. Altre informazioni sui vantaggi della migrazione al nuovo piano.

Gli account di archiviazione esclusi nella versione classica di Defender for Storage non vengono esclusi automaticamente quando si esegue la migrazione al nuovo piano.

Escludere una protezione dell'account di archiviazione di Azure in una sottoscrizione con prezzi per transazione

Per escludere un account di Archiviazione di Azure da Microsoft Defender per Archiviazione (versione classica), è possibile usare:

• PowerShell
• Interfaccia della riga di comando di Azure

Usare PowerShell per escludere un account di archiviazione di Azure

1. Se il modulo Azure Az PowerShell non è installato, installarlo usando le istruzioni della documentazione di Azure PowerShell.

2. Uso di un account autenticato, connettersi ad Azure con il Connect-AzAccount cmdlet, come illustrato in Accedere con Azure PowerShell.

3. Definire il tag AzDefenderPlanAutoEnable nell'account di archiviazione con il Update-AzTag cmdlet (sostituire ResourceId con l'ID risorsa dell'account di archiviazione pertinente):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Se si ignora questa fase, le risorse non contrassegnate continuano a ricevere aggiornamenti giornalieri dai criteri di abilitazione a livello di sottoscrizione. Questo criterio consente di nuovo Defender per l'archiviazione nell'account. Altre informazioni sui tag in Usare i tag per organizzare le risorse di Azure e la gerarchia di gestione.

4. Disabilitare Microsoft Defender per l'archiviazione per l'account desiderato nella sottoscrizione pertinente con il Disable-AzSecurityAdvancedThreatProtection cmdlet (usando lo stesso ID risorsa):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Altre informazioni su questo cmdlet.

Usare l'interfaccia della riga di comando di Azure per escludere un account di archiviazione di Azure

1. Se non è installata l'interfaccia della riga di comando di Azure, installarla usando le istruzioni della documentazione dell'interfaccia della riga di comando di Azure.

2. Usando un account autenticato, connettersi ad Azure con il comando come illustrato in Accedere con l'interfaccia della riga di comando di Azure e immettere le credenziali dell'account login quando richiesto:

   az login
   

3. Definire il tag AzDefenderPlanAutoEnable nell'account di archiviazione con il tag update comando (sostituire ResourceId con l'ID risorsa dell'account di archiviazione pertinente):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Se si ignora questa fase, le risorse non contrassegnate continuano a ricevere aggiornamenti giornalieri dai criteri di abilitazione a livello di sottoscrizione. Questo criterio consente di nuovo Defender per l'archiviazione nell'account.

   Suggerimento

   Altre informazioni sui tag in az tag.

4. Disabilitare Microsoft Defender per l'archiviazione per l'account desiderato nella sottoscrizione pertinente con il security atp storage comando (usando lo stesso ID risorsa):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Altre informazioni su questo comando.

Escludere un account di archiviazione di Azure Databricks

Escludere un'area di lavoro di Databricks attiva

Microsoft Defender per l'archiviazione può escludere account di archiviazione dell'area di lavoro di Databricks attivi specifici, quando il piano è già abilitato in una sottoscrizione.

Per escludere un'area di lavoro di Databricks attiva:

1. Accedere al portale di Azure.

2. Passare aTagdi Azure Databricks>Your Databricks workspace>.

3. Nel campo Nome immettere AzDefenderPlanAutoEnable.

4. Nel campo Valore immettere off e quindi selezionare Applica.

   

5. Passare a Microsoft Defender perle impostazioni>Your subscription dell'ambiente cloud>.

6. Disattivare il piano Defender for Storage e selezionare Salva.

   

7. Riabilitare Defender for Storage (versione classica) usando uno dei metodi supportati (non è possibile abilitare Defender for Storage classico dall'portale di Azure).

I tag vengono ereditati dall'account di archiviazione dell'area di lavoro Databricks e impediscono l'attivazione di Defender for Storage.

Nota

I tag non possono essere aggiunti direttamente all'account di archiviazione Di Databricks o al relativo gruppo di risorse gestito.

Impedire l'autoenabling in un nuovo account di archiviazione dell'area di lavoro Di Databricks

Quando si crea una nuova area di lavoro di Databricks, è possibile aggiungere un tag che impedisce l'abilitazione automatica dell'Microsoft Defender per l'account di archiviazione.

Per impedire l'abilitazione automatica in un nuovo account di archiviazione dell'area di lavoro Di Databricks:

1. Seguire questa procedura per creare una nuova area di lavoro di Azure Databricks.

2. Nella scheda Tag immettere un tag denominato AzDefenderPlanAutoEnable.

3. Immettere il valore off.

   

4. Continuare a seguire le istruzioni per creare la nuova area di lavoro di Azure Databricks.

L'Microsoft Defender per l'account di archiviazione eredita il tag dell'area di lavoro Databricks, che impedisce l'attivazione automatica di Defender for Storage.

Passaggi successivi

• Vedere gli avvisi per Archiviazione di Azure
• Informazioni sulle funzionalità e i vantaggi di Defender per l'archiviazione
• Vedere domande comuni su Defender per Archiviazione classica.