PowerShell で有効化して構成する

Defender for Storage をサブスクリプション レベルで有効にすることをお勧めします。 これにより、サブスクリプションに現在含まれているすべてのストレージ アカウントが保護されます。 サブスクリプション レベルで Defender for Storage を有効にした後に作成されたストレージ アカウントは、作成後 24 時間以内に保護されます。

ヒント

サブスクリプション レベルで構成されている設定とは異なるカスタム構成で特定のストレージ アカウントを構成する (サブスクリプション レベルの設定をオーバーライドする) ことはいつでも可能です。

PowerShell を使用する前に、次の手順を実行します。

1. まだ行っていない場合は、Azure Az PowerShell モジュールをインストールします。

2. Connect-AzAccount コマンドレットを使って、Azure アカウントにサインインします。 Azure PowerShell を使った Azure へのサインインについての詳細を確認してください。

3. 次のコマンドを使って、サブスクリプションを Microsoft Defender for Cloud リソース プロバイダーに登録します。

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   <subscriptionId> は、サブスクリプション ID で置き換えてください。

サブスクリプションで有効にする

Microsoft Defender for Storage をトランザクションごとの価格によりサブスクリプション レベルで有効にするには、以下の Set-AzSecurityPricing コマンドレットを使用します。

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "10000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

コマンドレットに拡張プロパティが指定されていない場合は、既定でマルウェア スキャンと機密データ検出の両方が有効になります。 マルウェア スキャンのストレージ アカウントあたりの既定の毎月のしきい値は 10,000 GB です。

ストレージ アカウントに対してアップロード時のマルウェア スキャンの月間しきい値を変更するには、CapGBPerMonthPerStorageAccount プロパティを適切な値に調整します。 このパラメーターでは、ストレージ アカウントごとに毎月マルウェアをスキャンできる最大データの上限を設定します。 無制限のスキャンを許可する場合は、値 -1 を割り当てます。 既定の制限は 10,000 GB に設定されています。

アップロード時のマルウェア スキャン機能または機密データ脅威検出機能をオフにするには、それぞれ isEnabled または False 拡張プロパティの OnUploadMalwareScanning 値を SensitiveDataDiscovery に変更します。 Defender プラン全体を無効にするには、-PricingTier プロパティ値を Free に設定し、-SubPlan および拡張プロパティを削除します。

ヒント

GetAzSecurityPricing コマンドレットを使用すると、サブスクリプションで有効になっているすべての Defender for Cloud プランを確認できます。

Set-AzSecurityPricing コマンドレットの詳細については、Azure PowerShell リファレンスを参照してください。

ストレージ アカウントで有効にする

ストレージ アカウント レベルで Microsoft Defender for Storage を有効化して構成するには、Update-AzSecurityDefenderForStorage コマンドレットを使用します。 この例の <SubscriptionId>、<ResourceGroupName>、<StorageAccountName> は、実際の Azure サブスクリプション ID、リソース グループ、ストレージ アカウント名に置き換えてください。

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

注

Defender for Storage がサブスクリプション レベルで有効になっている場合、サブスクリプション レベルで設定をオーバーライドするには -OverrideSubscriptionLevelSetting パラメーターが必要です。 オーバーライド パラメーターを使用しない場合、拡張機能は、コマンドレットで指定されたパラメーター値に関係なく、サブスクリプション レベルの設定に従って設定されます。

ストレージ アカウントに対してマルウェア スキャンの月間しきい値を変更するには、-OnUploadCapGBPerMonth パラメーターを適切な値に調整します。 このパラメーターは、ストレージ アカウントごとに、毎月のマルウェア スキャンを行う最大データの上限を設定します。 無制限のスキャンを許可する場合は、値 -1 を割り当てます。 既定の制限は 10,000 GB に設定されています。

マルウェア スキャンの結果は、パラメーター -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>"で Event Grid トピック リソース ID を指定することで、Event Grid に送信できます。

ストレージ アカウントに対してアップロード時のマルウェア スキャンまたは機密データ脅威検出機能をオフにするには、それぞれ -OnUploadIsEnabled:$false または -SensitiveDataDiscoveryIsEnabled:$false を設定します。

ストレージ アカウントに対して Defender プラン全体を無効にするには、IsEnabled:$false、-OnUploadIsEnabled:$false、-SensitiveDataDiscoveryIsEnabled:$falseを設定します。

ヒント

Get-AzSecurityDefenderForStorage コマンドレットを使用すると、ストレージ アカウントの Defender for Storage 設定を確認できます。

Update-AzSecurityDefenderForStorage コマンドレットの詳細については、Azure PowerShell リファレンスを参照してください。

Microsoft Defender for Cloud での PowerShell の使用についての詳細を確認してください。

ヒント

マルウェアスキャンは、スキャン結果を以下に送信するように構成できます。
Event Grid カスタム トピック - 毎回のスキャン結果に基づいたほぼリアルタイムの自動応答を実現します。 スキャン イベントを Event Grid カスタム トピックに送信するようマルウェア スキャンを構成する方法について詳細をご確認ください。
Log Analytics ワークスペース - コンプライアンスと監査のため、一元化されたログ リポジトリにすべてのスキャン結果を格納します。 スキャン結果を Log Analytics ワークスペースに送信するようマルウェア スキャンを構成する方法について詳細をご確認ください。

詳細については、マルウェアのスキャン結果に対する対応のセットアップ方法を参照してください。

次のステップ

• Azure 組み込みポリシーを使用して Defender for Storage プランを大規模に有効化および構成する方法をご確認ください。