Развертывание Microsoft Defender для хранилища
Microsoft Defender для хранилища — это собственное решение Azure, которое предлагает расширенный уровень аналитики для обнаружения угроз и устранения рисков в учетных записях хранения, на основе технологий Microsoft Threat Intelligence, технологий защиты от вредоносных программ Microsoft Defender и обнаружения конфиденциальных данных. Защита от Хранилище BLOB-объектов Azure, Файлы Azure и служб Azure Data Lake Storage обеспечивает комплексный набор оповещений, сканирование вредоносных программ в режиме реального времени (надстройка) и обнаружение угроз конфиденциальной информации (без дополнительных затрат), позволяя быстро обнаруживать, выполнять триаж и реагировать на потенциальные угрозы безопасности с контекстной информацией. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных.
С помощью Microsoft Defender для хранилища организации могут настраивать свои политики защиты и применять согласованные политики безопасности, включив их в подписках и учетных записях хранения с детальным контролем и гибкостью.
Совет
Если вы в настоящее время используете Microsoft Defender для хранилища классической версии, рассмотрите возможность перехода на новый план, который предлагает несколько преимуществ по сравнению с классическим планом.
Availability
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия |
| Доступность компонентов: | — Мониторинг активности (оповещения системы безопасности) — общедоступная версия (GA) — сканирование вредоносных программ — общедоступная версия — обнаружение угроз конфиденциальной данных (обнаружение конфиденциальных данных) — предварительная версия Дополнительные сведения см. на странице цен. |
| Требуемые роли и разрешения | Для сканирования вредоносных программ и обнаружения угроз конфиденциальных данных на уровнях подписки и учетных записей хранения требуются роли владельца (владелец подписки или владелец учетной записи хранения) или определенные роли с соответствующими действиями данных. Чтобы включить мониторинг действий, вам потребуется разрешение "Администратор безопасности". Дополнительные сведения о необходимых разрешениях. |
| Облако. |  Коммерческие облака Azure* Azure для государственных организаций (поддержка мониторинга действий только в классическом плане) Azure для Китая (21Vianet) подключенные учетные записи AWS. |
*Зона AZURE DNS не поддерживается для сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.
Предварительные требования для сканирования вредоносных программ
Чтобы включить и настроить сканирование вредоносных программ, необходимо иметь роли владельца (например, владельца подписки или владельца учетной записи хранения) или определенные роли с необходимыми действиями данных. Дополнительные сведения о необходимых разрешениях.
Настройка и настройка Microsoft Defender для хранилища
Чтобы включить и настроить Microsoft Defender для хранилища и обеспечить максимальную защиту и оптимизацию затрат, доступны следующие параметры конфигурации:
- Включите и отключите Microsoft Defender для хранилища на уровне подписки и учетной записи хранения.
- Включите или отключите настраиваемые функции сканирования вредоносных программ или обнаружения конфиденциальных данных.
- Установите ежемесячное ограничение ("ограничение") на сканировании вредоносных программ на учетную запись хранения в месяц для управления затратами (значение по умолчанию составляет 5000 ГБ).
- Настройте методы для настройки ответа на результаты сканирования вредоносных программ.
- Настройте методы для сохранения ведения журнала результатов сканирования вредоносных программ.
Совет
Функция сканирования вредоносных программ имеет расширенные конфигурации, помогающие командам безопасности поддерживать различные рабочие процессы и требования.
- Переопределите параметры уровня подписки, чтобы настроить определенные учетные записи хранения с настраиваемыми конфигурациями, которые отличаются от параметров, настроенных на уровне подписки.
Существует несколько способов включения и настройки Defender для хранилища: с помощью встроенной политики Azure (рекомендуемого метода), программно используя шаблоны инфраструктуры в качестве кода, включая Terraform, Bicep и шаблоны ARM, используя портал Azure, используя PowerShell или непосредственно с REST API.
Включение Defender для хранилища с помощью политики рекомендуется, так как оно упрощает включение в масштабе и гарантирует, что согласованная политика безопасности применяется ко всем существующим и будущим учетным записям хранения в определенной области (например, ко всем группам управления). Это обеспечивает защиту учетных записей хранения с помощью Defender для хранения в соответствии с определенной конфигурацией организации.
Примечание.
Чтобы предотвратить миграцию обратно в устаревший классический план, отключите старые политики Defender для хранилища. Найдите и отключите политики с именем Configure Azure Defender for Storage to be enabledили Azure Defender for Storage should be enabledConfigure Microsoft Defender for Storage to be enabled (per-storage account plan) запретом политик, которые препятствуют отключению классического плана.