マルウェア スキャンの詳細な構成

スキャン結果を以下に送信するようマルウェア スキャンを構成できます:

• Event Grid カスタム トピック - 毎回のスキャン結果に基づいたほぼリアルタイムの自動応答を実現します。
• Log Analytics ワークスペース - コンプライアンスと監査のため、一元化されたログ リポジトリにすべてのスキャン結果を格納します。

マルウェア スキャン結果に対する応答の設定 方法について詳細をご確認ください。

ヒント

ハンズオン ラボである忍者トレーニングの手順を試して、スキャン結果に対する応答を設定してマルウェア スキャンをエンドツーエンドでテストする方法についての詳細な手順を使用して、Defender for Storage のマルウェア スキャンを実際に使ってみることをお勧めします。 これは 'ラボ' プロジェクトの一環で、お客様が Microsoft Defender for Cloud を活用し、その機能に関するハンズオンの実践的なエクスペリエンスを提供するのに役立ちます。

マルウェア スキャンのログ記録を設定する

マルウェア スキャンが有効になっているストレージ アカウントごとに、Log Analytics ワークスペースの宛先を定義してすべてのスキャン結果を一元化されたログ リポジトリに格納すると、簡単にクエリを実行できます。

Log Analytics にスキャン結果を送信する前に、Log Analytics ワークスペースを作成するか、既存のものを使用します。

Log Analytics の宛先を構成するには、該当のストレージ アカウントに移動し、[Microsoft Defender for Cloud] タブを開き、構成する設定を選択します。

この構成は、REST API を使用して行うこともできます。

要求 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

要求本文:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

マルウェア スキャンの Event Grid を設定する

マルウェア スキャンが有効になっているストレージ アカウントごとに、自動化のために Event Grid イベントを使用してすべてのスキャン結果を送信するように構成できます。

1. スキャン結果を送信するように Event Grid を構成するには、まずカスタム トピックを事前に作成する必要があります。 ガイダンスについては、カスタム トピックの作成に関する Event Grid のドキュメントを参照してください。 ターゲット Event Grid カスタム トピックが、スキャン結果の送信元のストレージ アカウントと同じリージョンに作成されていることを確認してください。

2. Event Grid カスタム トピックを構成するには、該当のストレージ アカウントに移動し、[Microsoft Defender for Cloud] タブを開き、構成する設定を選択します。

Note

Event Grid カスタム トピックを設定するときは、サブスクリプション レベルの設定を確実にオーバーライドするために、[サブスクリプション レベルの Defender for Storage 設定をオーバーライドする] を [オン] に設定する必要があります。

この構成は、REST API を使用して行うこともできます。

要求 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

要求本文:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

サブスクリプション レベルの Defender for Storage 設定をオーバーライドする

サブスクリプション レベルの設定は、サブスクリプション内の各ストレージ アカウントで Defender for Storage 設定を継承します。 Defender for Storage サブスクリプション レベルの設定をオーバーライドして、サブスクリプション レベルで構成されているものとは異なる個々のストレージ アカウントの設定を構成します。

サブスクリプションの設定をオーバーライドすることは、通常、次のシナリオで使用されます:

• マルウェア スキャンまたはデータ秘密度の脅威検出機能を有効または無効にします。
• マルウェア スキャンのカスタム設定を構成します。
• 特定のストレージ アカウントで Microsoft Defender for Storage を無効にします。

Note

サブスクリプション全体で Defender for Storage を有効にして、その中のすべての既存および将来のストレージ アカウントを保護することをお勧めします。 ただし、ユーザーが Defender の保護から特定のストレージ アカウントを除外したいと考える場合もあります。 除外することにした場合は、以下の手順に従って、オーバーライド設定を使用した後、該当のストレージ アカウントを無効にします。 Defender for Storage (クラシック) を使用している場合は、ストレージ アカウントを除外することもできます。

Azure portal

Azure portal を使用して、サブスクリプション レベルで構成されているものとは異なる個々のストレージ アカウントの設定を構成するには:

1. Azure portal にサインインします。

2. カスタム設定を構成するストレージ アカウントに移動します。

3. ストレージ アカウント メニューの [セキュリティとネットワーク] セクションで、[Microsoft Defender for Cloud] を選択します。

4. Microsoft Defender for Storage の [設定] を選択します。

5. [サブスクリプション レベルの Defender for Storage 設定をオーバーライドする] ([詳細設定] の下) の状態を [オン] に設定します。 これにより、このストレージ アカウントに対してのみ設定が保存され、サブスクリプション設定によるオーバーランが防止されます。

6. 変更する設定を構成します。

   1. マルウェア スキャンまたは機密データの脅威検出を有効にするには、状態を [オン] に設定します。

   2. マルウェア スキャンの設定を変更するには:

      1. [アップロード時マルウェア スキャン] がまだ有効になっていない場合は、[オン] に切り替えます。

      2. ストレージ アカウントでのマルウェア スキャンの毎月のしきい値を調整するには、「1 か月あたりのスキャン GB の制限を設定する」 というパラメーターを目的の値に変更します。 このパラメーターは、各月にマルウェアをスキャンできるデータの最大量 (特にストレージ アカウントごとに) を決定します。 無制限のスキャンを許可する場合は、このパラメーターをオフにすることができます。 既定では、上限は 5,000 GB に設定されています。

7. このストレージ アカウントで Defender for Storage を無効にするには、Microsoft Defender for Storage の状態を [オフ] に設定します。

   

   [保存] を選択します。

REST API

REST API を使用してサブスクリプション レベルで構成されているものとは異なる個々のストレージ アカウントの設定を構成するには:

次のエンドポイントで PUT 要求を作成します。 エンドポイント URL 内の subscriptionId、resourceGroupName、accountName は、実際の Azure サブスクリプション ID、リソース グループ名、ストレージ アカウント名に適宜置き換えてください。

要求 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

要求本文 :

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

1. マルウェア スキャンまたは機密データの脅威検出を有効にするには、その機能の下にある isEnabled の値を true に設定します。

2. マルウェア スキャンの設定を変更するには、onUpload の関連フィールドを編集し、isEnabled の値が true であることを確認します。 無制限のスキャンを許可する場合は、capGBPerMonth パラメーターに値 -1 を割り当てます。

3. このストレージ アカウントで Defender for Storage を無効にするには、次の要求本文を使用します。

   {
       "properties": {
           "isEnabled": false,
           "overrideSubscriptionLevelSettings": true
       }
   }
   

必ずパラメーター overrideSubscriptionLevelSettings を追加し、その値を true に設定してください。 これにより、このストレージ アカウントに対してのみ設定が保存され、サブスクリプション設定によるオーバーランが防止されます。

次のステップ

マルウェア スキャンの設定に関する詳細を確認してください。