Включение Microsoft Defender для хранилища (классическая модель)

В этой статье объясняется, как включить и настроить Microsoft Defender для хранилища (классическая модель) в подписках с помощью различных шаблонов, таких как PowerShell, REST API и другие.

Вы также можете обновить новый план Microsoft Defender для хранения и использовать расширенные возможности безопасности, включая сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Преимущества более прогнозируемой и детализированной структуры ценообразования, которая взимается за учетную запись хранения с дополнительными затратами на транзакции с большим объемом. Этот новый тарифный план также включает все новые функции безопасности и обнаружения.

Примечание.

Если вы используете Defender для хранилища (классической) с ценами на каждую транзакцию или для каждой учетной записи хранения, вам потребуется перейти к новому плану Defender для хранения для доступа к этим функциям и ценам. Узнайте о миграции в новый план Defender для хранения.

Microsoft Defender для хранилища — это собственный уровень аналитики безопасности Azure, позволяющий обнаруживать необычные и потенциально опасные попытки доступа к вашим учетным записям хранения или их использования. Это решение использует расширенные возможности обнаружения угроз и данные анализа угроз Майкрософт, предлагая на их основе контекстных оповещения о безопасности. Эти оповещения также включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.

Microsoft Defender для хранилища постоянно анализирует транзакции Хранилище BLOB-объектов Azure, Azure Data Lake Storage и Файлы Azure служб. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Оповещения отображаются в Microsoft Defender для облака с подробными сведениями о подозрительной активности, соответствующими этапами расследования, действиями по исправлению и рекомендациями по безопасности.

Анализируемые данные телеметрии Хранилища BLOB-объектов Azure включают такие типы операций, как получение BLOB-объекта, размещение BLOB-объекта, получение ACL контейнера, получение списка BLOB-объектови получение свойств BLOB-объекта. Примеры анализируемых типов операций службы Файлов Azure включают получение файла, создание файла, получение списка файлов, получение свойств файлаи размещение диапазона.

Классический защитник для хранилища не обращается к данным учетной записи хранения и не влияет на производительность.

Узнайте больше о преимуществах, функциях и ограничениях Defender для хранилища. Вы также можете узнать больше о Defender для хранения в эпизоде Defender для хранения Defender для облака в серии видео field.

Availability

Аспект	Сведения
Состояние выпуска:	Общедоступная версия
Цены.	Плата за microsoft Defender для хранилища взимается, как показано в сведениях о ценах и планах Defender в портал Azure
Типы защищенного хранилища:	Хранилище BLOB-объектов (standard/хранилище класса Premium V2, блочные BLOB-объекты) Файлы Azure (через REST API и SMB) Azure Data Lake Storage 2-го поколения (учетные записи Standard/Premium с включенными иерархическими пространствами имен)
Облако.	Коммерческие облака Azure для государственных организаций (только для плана для каждой транзакции) Microsoft Azure, управляемый 21Vianet подключенные учетные записи AWS.

Настройка Microsoft Defender для хранилища (классическая модель)

Настройка цен на транзакции для подписки

Для цен на защитник для хранилища для каждой транзакции рекомендуется включить Defender для хранения для каждой подписки, чтобы защитить все существующие и новые учетные записи хранения. Если вы хотите защитить только определенные учетные записи, настройте Defender для хранения для каждой учетной записи.

Вы можете настроить Microsoft Defender для хранилища в подписках несколькими способами:

• Шаблон Terraform
• Шаблон Bicep
• Шаблон ARM
• PowerShell
• Azure CLI
• REST API

Шаблон Terraform

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью шаблона Terraform, добавьте этот фрагмент кода в шаблон с идентификатором parent_id подписки в качестве значения:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Чтобы отключить план, задайте pricingTier значение Free свойства и удалите subPlan его.

Дополнительные сведения о справочнике по шаблону ARM AzAPI.

Шаблон Bicep

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью Bicep, добавьте следующую команду в шаблон Bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Чтобы отключить план, задайте pricingTier значение Free свойства и удалите subPlan его.

Дополнительные сведения о справочнике по шаблону Bicep AzAPI.

Шаблон ARM

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью шаблона ARM, добавьте этот фрагмент JSON в раздел ресурсов шаблона ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Чтобы отключить план, задайте pricingTier значение Free свойства и удалите subPlan его.

Дополнительные сведения о справочнике по шаблону ARM AzAPI.

PowerShell

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью PowerShell:

1. Если у вас его еще нет, установите модуль Azure Az PowerShell.

2. Connect-AzAccount Используйте командлет для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure PowerShell.

3. Используйте следующие команды, чтобы зарегистрировать подписку в поставщике ресурсов Microsoft Defender для облака:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Замените <subscriptionId> идентификатором своей подписки.

4. Включите Microsoft Defender для хранилища для подписки с помощью командлета Set-AzSecurityPricing :

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Совет

Вы можете использовать GetAzSecurityPricing (Az_Security) для просмотра всех планов Defender для облака, включенных для подписки.

Чтобы отключить план, задайте -PricingTier для свойства значение Free.

Дополнительные сведения об использовании PowerShell с Microsoft Defender для облака.

Azure CLI

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью Azure CLI:

1. Если у вас его еще нет, установите Azure CLI.

2. az login Используйте команду для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure CLI.

3. Используйте следующие команды, чтобы задать идентификатор подписки и имя:

   az account set --subscription "<subscriptionId or name>"
   

   Замените <subscriptionId> идентификатором своей подписки.

4. Включите Microsoft Defender для хранилища для подписки с az security pricing create помощью команды:

   az security pricing create -n StorageAccounts --tier "standard"
   

Совет

Вы можете использовать az security pricing show команду, чтобы просмотреть все планы Defender для облака, включенные для подписки.

Чтобы отключить план, задайте -tier для свойства значение free.

Дополнительные сведения о команде az security pricing create .

REST API

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью Microsoft Defender для облака REST API, создайте запрос PUT с этой конечной точкой и текстом:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Замените {subscriptionId} идентификатором своей подписки.

Чтобы отключить план, задайте -pricingTier значение Free свойства и удалите subPlan параметр.

Дополнительные сведения о обновлениях планов Defender с помощью REST API в HTTP, Java, Go и JavaScript.

Настройка цен на транзакции для учетной записи хранения

Вы можете настроить Microsoft Defender для хранилища с ценами на транзакции в учетных записях несколькими способами:

• Шаблон ARM
• PowerShell
• Azure CLI

Шаблон ARM

Чтобы включить Microsoft Defender для хранилища для определенной учетной записи хранения с ценами на транзакции с помощью шаблона ARM, используйте подготовленный шаблон Azure.

Если вы хотите отключить Defender для хранения в учетной записи:

1. Войдите на портал Azure.
2. Перейдите к учетной записи хранилища.
3. В разделе "Безопасность и сеть" меню учетной записи хранения выберите Microsoft Defender для облака.
4. Выберите Отключить.

PowerShell

Чтобы включить Microsoft Defender для хранилища для определенной учетной записи хранения с ценами на транзакции с помощью PowerShell:

1. Если у вас его еще нет, установите модуль Azure Az PowerShell.

2. Используйте командлет Connect-AzAccount для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure PowerShell.

3. Включите Microsoft Defender для хранилища для требуемой учетной записи хранения с помощью командлета Enable-AzSecurityAdvancedThreatProtection :

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Замените <subscriptionId>, <resource-group>а <storage-account> также значениями для вашей среды.

Если вы хотите отключить цены на транзакции для определенной учетной записи хранения, используйте Disable-AzSecurityAdvancedThreatProtection командлет:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Дополнительные сведения об использовании PowerShell с Microsoft Defender для облака.

Azure CLI

Чтобы включить Microsoft Defender для хранилища для определенной учетной записи хранения с ценами на транзакции с помощью Azure CLI:

1. Если у вас его еще нет, установите Azure CLI.

2. az login Используйте команду для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure CLI.

3. Включите Microsoft Defender для хранилища для подписки с az security atp storage update помощью команды:

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Совет

Вы можете использовать az security atp storage show команду, чтобы узнать, включена ли защитник для хранения в учетной записи.

Чтобы отключить Microsoft Defender для хранилища для подписки, используйте az security atp storage update команду:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Дополнительные сведения о команде az security atp storage .

Исключите учетную запись хранения из защищенной подписки в плане каждой транзакции

При включении Microsoft Defender для хранилища в подписке для цен на транзакции все текущие и будущие служба хранилища Azure учетные записи в этой подписке защищены. Вы можете исключить определенные учетные записи хранения из защиты Defender для хранения с помощью портал Azure, PowerShell или Azure CLI.

Рекомендуется включить Defender для хранилища во всей подписке для защиты всех существующих и будущих учетных записей хранения. Однако существуют некоторые случаи, когда пользователи хотят исключить определенные учетные записи хранения из защиты Defender.

Исключение учетных записей хранения из защищенных подписок требует:

1. Добавьте тег, чтобы заблокировать наследование включения подписки.
2. Отключите Defender для хранилища (классическая модель).

Примечание.

Попробуйте обновить новый план Defender для хранения, если у вас есть учетные записи хранения, которые вы хотите исключить из классического плана Defender для хранилища. Вы не только экономите затраты на учетные записи с большим количеством транзакций, но и получите доступ к расширенным функциям безопасности. Узнайте больше о преимуществах миграции в новый план.

Исключенные учетные записи хранения в классической версии Defender для хранилища не исключаются автоматически при переходе на новый план.

Исключите защиту учетной записи служба хранилища Azure в подписке с ценами на транзакции

Чтобы исключить учетную запись служба хранилища Azure из Microsoft Defender для хранилища (классическая модель), можно использовать следующее:

• PowerShell
• Azure CLI

Исключение учетной записи службы хранилища Azure с помощью PowerShell

1. Если модуль Azure Az PowerShell не установлен, установите его, следуя инструкциям в документации по Azure PowerShell.

2. Используя проверенную учетную запись, подключитесь к Azure с помощью командлета Connect-AzAccount, как описано в статье Вход с помощью Azure PowerShell.

3. Определите тег AzDefenderPlanAutoEnable в учетной записи хранения с помощью командлета Update-AzTag (замените ResourceId на идентификатор ресурса соответствующей учетной записи хранения):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Если пропустить этот этап, ресурсы без изменений продолжают получать ежедневные обновления из политики включения уровня подписки. Эта политика снова включает Defender для хранения в учетной записи. Дополнительные сведения о тегах см. в статье Использование тегов для упорядочения ресурсов Azure и создания иерархии управления.

4. Отключите Microsoft Defender для хранилища для нужной учетной записи в соответствующей подписке с помощью командлета Disable-AzSecurityAdvancedThreatProtection (используя тот же идентификатор ресурса):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Дополнительные сведения об этом командлете.

Исключение учетной записи службы хранилища Azure с помощью Azure CLI

1. Если интерфейс Azure CLI не установлен, установите его, следуя инструкциям из документации по Azure CLI.

2. Используя не проверенную учетную запись, подключитесь к Azure с помощью команды login, как описано в статье Вход с помощью Azure CLI, и введите учетные данные при появлении запроса:

   az login
   

3. Определите тег AzDefenderPlanAutoEnable в учетной записи хранения с помощью команды tag update (замените ResourceId на идентификатор ресурса соответствующей учетной записи хранения):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Если пропустить этот этап, ресурсы без изменений продолжают получать ежедневные обновления из политики включения уровня подписки. Эта политика снова включает Defender для хранения в учетной записи.

   Совет

   Дополнительные сведения о тегах см. в описании az tag.

4. Отключите Microsoft Defender для хранилища для нужной учетной записи в соответствующей подписке с помощью команды security atp storage (используя тот же идентификатор ресурса):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Дополнительные сведения об этой команде.

Исключение учетной записи хранения Azure Databricks

Исключение активной рабочей области Databricks

В Microsoft Defender для хранилища можно исключить определенные активные учетные записи хранения рабочих областей Databricks, если план уже включен в подписке.

Исключение активной рабочей области Databricks

1. Войдите на портал Azure.

2. Выберите Azure Databricks>Your Databricks workspace>Теги.

3. В поле "Имя" введите AzDefenderPlanAutoEnable.

4. В поле "Значение" введите off и нажмите кнопку "Применить".

   

5. Перейдите к разделу Microsoft Defender для облака>Параметры среды>Your subscription.

6. Включите план Defender для хранилища и нажмите кнопку "Сохранить".

   

7. Повторно включите Defender для хранилища (классическую версию) с помощью одного из поддерживаемых методов (классический защитник для хранилища нельзя включить из портал Azure).

Теги наследуются учетной записью хранения рабочей области Databricks и препятствуют включению Defender для хранилища.

Примечание.

Теги нельзя добавлять непосредственно в учетную запись хранения Databricks или в ее управляемую группу ресурсов.

Запрет автозавершений в новой учетной записи хранения рабочей области Databricks

При создании новой рабочей области Databricks вы можете добавить тег, который предотвращает автоматическое включение учетной записи Microsoft Defender для хранения.

Блокирование автоматического включения в новой учетной записи хранения рабочей области Databricks

1. Выполните эти действия, чтобы создать рабочую область Azure Databricks.

2. На вкладке "Теги" введите тег с именем AzDefenderPlanAutoEnable.

3. Введите значение off.

   

4. Следуйте дальнейшим инструкциям, чтобы создать рабочую область Azure Databricks.

Учетная запись хранения Microsoft Defender для хранения наследует тег рабочей области Databricks, которая предотвращает автоматическое включение Defender для хранилища.

Следующие шаги

• Ознакомьтесь с оповещениями для служба хранилища Azure
• Сведения о функциях и преимуществах Defender для хранилища
• Ознакомьтесь с общими вопросами о классической версии Defender для хранилища.