Microsoft Defender for Storage のデプロイ
Microsoft Defender for Storage は、Microsoft 脅威インテリジェンス、Microsoft Defender マルウェア対策テクノロジ、機密データ検出を利用して、ストレージ アカウントの脅威を検出し軽減するための高度なインテリジェンス レイヤーを提供する Azure ネイティブ ソリューションです。 Azure Blob Storage、Azure Files、Azure Data Lake Storage サービスでの保護により、包括的なアラート スイート、準リアルタイムのマルウェア スキャン (アドオン)、機密データの脅威検出 (追加コストなし) が提供され、コンテキスト情報を使用して潜在的なセキュリティ脅威に対する迅速な検出、トリアージ、対応が可能になります。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。
組織では、サブスクリプションとストレージ アカウントに対して Microsoft Defender for Storage を有効にすることで、細かい制御と柔軟性で保護をカスタマイズし、一貫したセキュリティ ポリシーを適用できます。
ヒント
現在 Microsoft Defender for Storage (クラシック) を使用している場合は、新しいプランに移行することを検討してください。このプランには、クラシック プランに比べていくつかの利点があります。
可用性
側面 | 詳細 |
---|---|
リリース状態: | 一般提供 (GA) |
機能の利用可能状況: | - アクティビティの監視 (セキュリティ アラート) - 一般提供 (GA) - マルウェア スキャン - 一般提供 (GA) - 機密データの脅威検出 (機密データの検出) - プレビュー 詳細については、価格に関するページをご覧ください。 |
必要なロールとアクセス許可: | サブスクリプションおよびストレージ アカウント レベルでのマルウェア スキャンと機密データの脅威検出には、所有者ロール (サブスクリプションの所有者/ストレージ アカウント所有者) または対応するデータ アクションを持つ特定のロールが必要です。 アクティビティの監視を有効にするには、"セキュリティ管理者" アクセス許可が必要です。 必要なアクセス許可の詳細について確認してください。 |
クラウド: | Azure 商用クラウド* Azure Government (クラシック プランでのアクティビティ監視のサポートのみ) Azure China 21Vianet 接続されている AWS アカウント |
* Azure DNS ゾーンは、マルウェア スキャンと機密データの脅威検出ではサポートされていません。
マルウェア スキャンの前提条件
マルウェア スキャンを有効にして構成するには、所有者ロール (サブスクリプション所有者やストレージ アカウント所有者など)、または必要なデータ アクションを持つ特定のロールが必要です。 必要なアクセス許可に関する詳細を確認してください。
Microsoft Defender for Storage を設定して構成する
Microsoft Defender for Storage を有効にして構成し、最大限の保護とコストの最適化を確保するために、次の構成オプションを使用できます。
- サブスクリプション レベルとストレージ アカウント レベルで Microsoft Defender for Storage を有効または無効にする。
- マルウェア スキャンまたは機密データの脅威検出の構成可能な機能を有効または無効にします。
- コストを制御するために、1 か月あたりのストレージ アカウントごとのマルウェア スキャンに月次上限を設定 ("キャッピング") します (既定値は 5,000 GB)。
- マルウェア スキャン結果への応答を設定する方法を構成する。
- マルウェア スキャン結果のログを保存するための追加の方法を構成する。
ヒント
マルウェア スキャン機能には、セキュリティ チームでさまざまなワークフローと要件をサポートするために役立つ詳細な構成があります。
- サブスクリプション レベルの設定をオーバーライドして、サブスクリプション レベルで構成されている設定とは異なるカスタム構成で特定のストレージ アカウントを構成します。
Defender for Storage を有効にして構成するには、Azure 組み込みポリシーを使用する (推奨される方法)、Terraform、Bicep、ARM テンプレートなどの Infrastructure as Code テンプレートをプログラムで使用する、Azure portal を使用する、PowerShell を使用する、または REST API を直接使用するなど、いくつかの方法があります。
ポリシーを使用して Defender for Storage を有効にすることをお勧めします。これにより、大規模な有効化が容易になり、定義されたスコープ内 (管理グループ全体など) の既存および将来のストレージ アカウントすべてに一貫したセキュリティ ポリシーが適用されるようになるためです。 これにより、組織の定義済み構成に従って Defender for Storage でストレージ アカウントが保護された状態に保たれます。
Note
従来のクラシック プランへの移行を防ぐには、以前の Defender for Storage ポリシーを無効にしてください。 Configure Azure Defender for Storage to be enabled
、Azure Defender for Storage should be enabled
、またはConfigure Microsoft Defender for Storage to be enabled (per-storage account plan)
という名前のポリシーを探して無効にするか、クラシック プランの無効化を妨げるポリシーを拒否します。