스토리지용 Microsoft Defender(클래식) 사용

이 문서에서는 PowerShell, REST API 등과 같은 다양한 템플릿을 사용하여 구독에서 스토리지용 Microsoft Defender(클래식)를 사용하도록 설정하고 구성하는 방법을 설명합니다.

또한 새로운 스토리지용 Microsoft Defender 계획으로 업그레이드하고 맬웨어 검사 및 중요한 데이터 위협 감지를 포함한 고급 보안 기능을 사용할 수도 있습니다. 대용량 트랜잭션에 대한 추가 요금과 함께 스토리지 계정당 요금을 청구하는 보다 예측 가능하고 세분화된 가격 책정 구조의 이점을 활용할 수 있습니다. 이 새로운 가격 책정 계획에는 모든 새로운 보안 기능과 검색 기능도 포함됩니다.

참고 항목

트랜잭션당 또는 스토리지별 계정 가격 책정과 함께 스토리지용 Defender를 사용하는 경우 이러한 기능 및 가격 책정에 액세스하려면 새 스토리지용 Defender(클래식) 계획으로 마이그레이션해야 합니다. 새로운 스토리지용 Defender 계획으로 마이그레이션하는 방법을 알아봅니다.

Microsoft Defender for Storage는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터를 사용하여 상황에 맞는 보안 경고를 제공합니다. 이러한 경고에는 검색된 위협을 완화하고 향후 공격을 방지하는 단계도 포함됩니다.

스토리지용 Microsoft Defender는 Azure Blob Storage, Azure Data Lake Storage 및 Azure Files 서비스의 트랜잭션을 지속적으로 분석합니다. 잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 의심스러운 작업, 적절한 조사 단계, 수정 작업 및 보안 권장 사항에 대한 세부 정보와 함께 클라우드용 Microsoft Defender에 경고가 표시됩니다.

Azure Blob Storage의 분석된 원격 분석에는 Blob 가져오기, Blob 배치, 컨테이너 ACL 가져오기, Blob 나열, Blob 속성 가져오기와 같은 작업 유형이 포함됩니다. 분석된 Azure Files 작업 유형의 예로는 파일 가져오기, 파일 만들기, 파일 나열, 파일 속성 가져오기, 범위 배치가 있습니다.

스토리지용 Defender(클래식)는 Storage 계정 데이터에 액세스하지 않으며 성능에 영향을 주지 않습니다.

스토리지용 Defender의 이점, 기능 및 제한 사항에 대해 자세히 알아봅니다. 현장 동영상 시리즈의 클라우드용 Defender의 스토리지용 Defender 에피소드에서 스토리지용 Defender에 대해 자세히 알아볼 수도 있습니다.

가용성

측면	세부 정보
릴리스 상태:	GA(일반 공급)
가격 책정:	스토리지용 Microsoft Defender는 Azure Portal의 가격 책정 세부 정보 및 Defender 계획에 표시된 대로 요금이 청구됩니다.
보호된 스토리지 형식:	Blob Storage(표준/프리미엄 StorageV2, 블록 Blob) Azure Files(REST API 및 SMB를 통해) Azure Data Lake Storage Gen2(계층 구조 네임스페이스를 사용하도록 설정된 표준/프리미엄 계정)
클라우드:	상용 클라우드 Azure Government(트랜잭션당 계획에만 해당) 21Vianet에서 운영하는 Microsoft Azure 연결된 AWS 계정

스토리지용 Microsoft Defender 설정(클래식)

구독에 대한 트랜잭션당 가격 책정 설정

트랜잭션당 스토리지용 Defender 가격 책정의 경우 모든 기존 및 새 스토리지 계정이 보호되도록 각 구독에 대해 스토리지용 Defender를 사용하는 것이 좋습니다. 특정 계정만 보호하려면 각 계정에 대해 스토리지용 Defender를 구성합니다.

여러 가지 방법으로 구독에서 스토리지용 Microsoft Defender를 구성할 수 있습니다.

• Terraform 템플릿
• Bicep 템플릿
• ARM 템플릿
• PowerShell
• Azure CLI
• REST API

Terraform 템플릿

Terraform 템플릿을 사용하여 트랜잭션당 가격 책정으로 구독 수준에서 스토리지용 Microsoft Defender를 사용하도록 설정하려면 구독 ID를 parent_id 값으로 사용하여 템플릿에 다음 코드 조각을 추가합니다.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

계획을 사용하지 않도록 설정하려면 pricingTier 속성 값을 Free로 설정하고 subPlan 속성을 제거합니다.

ARM 템플릿 AzAPI 참조에 대해 자세히 알아봅니다.

Bicep 템플릿

Bicep을 사용하여 트랜잭션당 가격 책정으로 구독 수준에서 스토리지용 Microsoft Defender를 사용하도록 설정하려면 Bicep 템플릿에 다음을 추가합니다.

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

계획을 사용하지 않도록 설정하려면 pricingTier 속성 값을 Free로 설정하고 subPlan 속성을 제거합니다.

Bicep 템플릿 AzAPI 참조에 대해 자세히 알아보세요.

ARM 템플릿

ARM 템플릿을 사용하여 트랜잭션당 가격 책정으로 구독 수준에서 스토리지용 Microsoft Defender를 사용하도록 설정하려면 ARM 템플릿의 리소스 섹션에 다음 JSON 코드 조각을 추가합니다.

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

계획을 사용하지 않도록 설정하려면 pricingTier 속성 값을 Free로 설정하고 subPlan 속성을 제거합니다.

ARM 템플릿 AzAPI 참조에 대해 자세히 알아봅니다.

PowerShell

PowerShell을 사용하여 트랜잭션당 가격 책정으로 구독 수준에서 스토리지용 Microsoft Defender를 사용하도록 설정하려면 다음을 수행합니다.

1. 아직 설치하지 않았다면 Azure Az PowerShell 모듈을 설치합니다.

2. Connect-AzAccount cmdlet을 사용하여 Azure 계정에 로그인합니다. Azure PowerShell을 사용하여 Azure에 로그인하는 방법에 대해 자세히 알아봅니다.

3. 다음 명령을 사용하여 클라우드용 Microsoft Defender 리소스 공급자에 대한 구독을 등록합니다.

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   <subscriptionId>는 구독 ID로 바꿉니다.

4. Set-AzSecurityPricing cmdlet을 사용하여 구독에 대해 스토리지용 Microsoft Defender를 사용하도록 설정합니다.

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

팁

GetAzSecurityPricing(Az_Security)를 사용하여 구독에 사용하도록 설정된 모든 클라우드용 Defender 계획을 볼 수 있습니다.

계획을 사용하지 않도록 설정하려면 -PricingTier 속성 값을 Free로 설정합니다.

클라우드용 Microsoft Defender에서 PowerShell 사용에 대해 자세히 알아봅니다.

Azure CLI

Azure CLI를 사용하여 트랜잭션당 가격 책정으로 구독 수준에서 스토리지용 Microsoft Defender를 사용하도록 설정하려면 다음을 수행합니다.

1. 아직 설치하지 않았다면 Azure CLI를 설치합니다.

2. az login 명령을 사용하여 Azure 계정에 로그인합니다. Azure CLI를 사용하여 Azure에 로그인하는 방법에 대해 자세히 알아봅니다.

3. 구독 ID와 이름을 설정하려면 다음 명령을 사용합니다.

   az account set --subscription "<subscriptionId or name>"
   

   <subscriptionId>는 구독 ID로 바꿉니다.

4. az security pricing create 명령을 사용하여 구독에 대해 스토리지용 Microsoft Defender를 사용하도록 설정합니다.

   az security pricing create -n StorageAccounts --tier "standard"
   

팁

az security pricing show 명령을 사용하여 구독에 사용하도록 설정된 모든 클라우드용 Defender 계획을 볼 수 있습니다.

계획을 사용하지 않도록 설정하려면 -tier 속성 값을 free로 설정합니다.

az security pricing create 명령에 대해 자세히 알아봅니다.

REST API

클라우드용 Microsoft Defender REST API를 사용하여 트랜잭션당 가격 책정으로 구독 수준에서 스토리지용 Microsoft Defender를 사용하도록 설정하려면 다음 엔드포인트와 본문을 사용하여 PUT 요청을 만듭니다.

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

{subscriptionId}는 구독 ID로 바꿉니다.

계획을 사용하지 않도록 설정하려면 -pricingTier 속성 값을 Free로 설정하고 subPlan 매개 변수를 제거합니다.

HTTP, Java, Go 및 JavaScript에서 REST API를 사용하여 Defender 플랜을 업데이트하는 방법에 대해 자세히 알아보세요.

스토리지 계정에 대한 트랜잭션당 가격 책정 설정

여러 가지 방법으로 계정에 대한 트랜잭션당 가격 책정으로 스토리지용 Microsoft Defender를 구성할 수 있습니다.

• ARM 템플릿
• PowerShell
• Azure CLI

ARM 템플릿

ARM 템플릿을 사용하여 트랜잭션당 가격 책정으로 특정 스토리지 계정에 대해 스토리지용 Microsoft Defender를 사용하도록 설정하려면 준비된 Azure 템플릿을 사용합니다.

계정에서 스토리지용 Defender를 사용하지 않도록 설정하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.
2. 본인의 저장소 계정으로 이동합니다.
3. 스토리지 계정 메뉴의 보안 + 네트워킹 섹션에서 클라우드용 Microsoft Defender를 선택합니다.
4. 사용 안 함을 선택합니다.

PowerShell

PowerShell을 사용하여 트랜잭션당 가격 책정으로 특정 스토리지 계정에 대해 스토리지용 Microsoft Defender를 사용하도록 설정하려면 다음을 수행합니다.

1. 아직 설치하지 않았다면 Azure Az PowerShell 모듈을 설치합니다.

2. Connect-AzAccount cmdlet을 사용하여 Azure 계정에 로그인합니다. Azure PowerShell을 사용하여 Azure에 로그인하는 방법에 대해 자세히 알아봅니다.

3. Enable-AzSecurityAdvancedThreatProtection cmdlet을 사용하여 원하는 스토리지 계정에 대해 스토리지용 Microsoft Defender를 사용하도록 설정합니다.

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   <subscriptionId>, <resource-group> 및 <storage-account>를 사용자 환경에 맞는 값으로 바꿉니다.

특정 스토리지 계정에 대해 트랜잭션당 가격 책정을 사용하지 않도록 설정하려면 Disable-AzSecurityAdvancedThreatProtection cmdlet을 사용합니다.

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

클라우드용 Microsoft Defender에서 PowerShell 사용에 대해 자세히 알아봅니다.

Azure CLI

Azure CLI를 사용하여 트랜잭션당 가격 책정으로 특정 스토리지 계정에 대해 스토리지용 Microsoft Defender를 사용하도록 설정하려면 다음을 수행합니다.

1. 아직 설치하지 않았다면 Azure CLI를 설치합니다.

2. az login 명령을 사용하여 Azure 계정에 로그인합니다. Azure CLI를 사용하여 Azure에 로그인하는 방법에 대해 자세히 알아봅니다.

3. az security atp storage update 명령을 사용하여 구독에 대해 스토리지용 Microsoft Defender를 사용하도록 설정합니다.

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

팁

az security atp storage show 명령을 사용하여 계정에서 스토리지용 Defender가 사용하도록 설정되어 있는지 확인할 수 있습니다.

구독에 대해 스토리지용 Microsoft Defender를 사용하지 않도록 설정하려면 az security atp storage update 명령을 사용합니다.

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

az security atp storage 명령에 대해 자세히 알아봅니다.

트랜잭션별 플랜의 보호된 구독에서 스토리지 계정 제외

트랜잭션별 가격 책정을 위해 구독에서 스토리지용 Microsoft Defender를 사용하도록 설정하면 해당 구독의 모든 현재 및 향후 Azure Storage 계정이 보호됩니다. Azure Portal, PowerShell 또는 Azure CLI를 사용하여 스토리지용 Defender 보호에서 특정 스토리지 계정을 제외할 수 있습니다.

전체 구독에서 스토리지용 Defender를 사용하도록 설정하여 모든 기존 및 향후 스토리지 계정을 보호하는 것이 좋습니다. 그러나 사람들이 Defender 보호에서 특정 스토리지 계정을 제외하려는 경우도 있습니다.

보호된 구독에서 스토리지 계정을 제외하려면 다음을 수행해야 합니다.

1. 구독 사용하도록 설정 상속을 차단하려면 태그를 추가합니다.
2. 스토리지용 Defender(클래식)를 사용하지 않도록 설정합니다.

참고 항목

스토리지용 Defender 클래식 계획에서 제외하려는 스토리지 계정이 있는 경우 새 스토리지용 Defender 계획으로 업그레이드하는 것이 좋습니다. 트랜잭션이 많은 계정의 비용을 절약할 수 있을 뿐만 아니라 보안 강화 기능에 액세스할 수도 있습니다. 새 계획으로 마이그레이션할 때의 이점에 대해 자세히 알아봅니다.

스토리지용 Defender 클래식에서 제외된 스토리지 계정은 새 계획으로 마이그레이션할 때 자동으로 제외되지 않습니다.

트랜잭션당 가격 책정이 있는 구독에서 Azure Storage 계정 보호 제외

스토리지용 Microsoft Defender(클래식)에서 Azure Storage 계정을 제외하려면 다음을 사용할 수 있습니다.

• PowerShell
• Azure CLI

PowerShell을 사용하여 Azure Storage 계정 제외

1. Azure Az PowerShell 모듈이 설치되지 않은 경우 Azure PowerShell 설명서의 지침을 사용하여 설치합니다.

2. Azure PowerShell로 로그인에 설명된 대로 인증된 계정을 사용하여 Connect-AzAccount cmdlet을 통해 Azure에 연결합니다.

3. Update-AzTag cmdlet을 사용하여 스토리지 계정에서 AzDefenderPlanAutoEnable 태그를 정의합니다(ResourceId를 관련 스토리지 계정의 리소스 ID로 바꾸기).

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   이 단계를 건너뛰면 태그가 지정되지 않은 리소스는 구독 수준 활성화 정책에서 매일 업데이트를 계속 받습니다. 해당 정책은 계정에서 스토리지용 Defender를 다시 사용하도록 설정합니다. 태그를 사용하여 Azure 리소스 및 관리 계층 구조 구성에서 태그에 관해 자세히 알아봅니다.

4. Disable-AzSecurityAdvancedThreatProtection cmdlet을 사용하여 관련 구독에서 원하는 계정에 대해 스토리지용 Microsoft Defender를 사용하지 않도록 설정합니다(동일한 리소스 ID 사용).

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   이 cmdlet에 관해 자세히 알아봅니다.

Azure CLI를 사용하여 Azure Storage 계정 제외

1. Azure CLI가 설치되지 않은 경우 Azure CLI 설명서의 지침을 사용하여 설치합니다.

2. 인증된 계정을 사용하여 Azure CLI로 로그인에 설명된 대로 login 명령을 사용하여 Azure에 연결하고 메시지가 표시되면 계정 자격 증명을 입력합니다.

   az login
   

3. tag update 명령을 사용하여 스토리지 계정에서 AzDefenderPlanAutoEnable 태그를 정의합니다(ResourceId를 관련 스토리지 계정의 리소스 ID로 바꾸기).

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   이 단계를 건너뛰면 태그가 지정되지 않은 리소스는 구독 수준 활성화 정책에서 매일 업데이트를 계속 받습니다. 해당 정책은 계정에서 스토리지용 Defender를 다시 사용하도록 설정합니다.

   팁

   az tag에서 태그에 관해 자세히 알아봅니다.

4. security atp storage 명령을 사용하여 관련 구독에서 원하는 계정에 대해 스토리지용 Microsoft Defender를 사용하지 않도록 설정합니다(동일한 리소스 ID 사용).

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   이 명령에 관해 자세히 알아봅니다.

Azure Databricks 스토리지 계정 제외

활성 Databricks 작업 영역 제외

스토리지용 Microsoft Defender는 구독에서 플랜이 이미 사용하도록 설정된 경우 특정 활성 Databricks 작업 영역 스토리지 계정을 제외할 수 있습니다.

활성 Databricks 작업 영역을 제외하려면:

1. Azure Portal에 로그인합니다.

2. Azure Databricks>Your Databricks workspace>태그로 이동합니다.

3. 이름 필드에 AzDefenderPlanAutoEnable을 입력합니다.

4. 값 필드에 off를 입력한 다음 적용을 선택합니다.

   

5. 클라우드용 Microsoft Defender>환경 설정>Your subscription으로 이동합니다.

6. 스토리지용 Defender 계획을 끄기로 설정하고 저장을 선택합니다.

   

7. 지원되는 방법 중 하나를 사용하여 스토리지용 Defender(클래식)를 다시 사용하도록 설정합니다(Azure Portal에서는 스토리지용 Defender 클래식을 사용하도록 설정할 수 없습니다).

태그는 Databricks 작업 영역의 스토리지 계정에 상속되며 스토리지용 Defender가 켜지는 것을 방지합니다.

참고 항목

태그는 Databricks 스토리지 계정 또는 해당 관리되는 리소스 그룹에 직접 추가할 수 없습니다.

새 Databricks 작업 영역 스토리지 계정에서 자동 사용 설정 방지

새 Databricks 작업 영역을 만들 때 스토리지용 Microsoft Defender가 자동으로 사용되는 것을 방지할 태그를 추가할 수 있습니다.

새 Databricks 작업 영역 스토리지 계정에서 자동 사용을 방지하려면:

1. 다음 단계에 따라 새 Azure Databricks 작업 영역을 만듭니다.

2. 태그 탭에서 AzDefenderPlanAutoEnable라는 태그를 입력합니다.

3. off 값을 입력합니다.

   

4. 계속해서 지침에 따라 새 Azure Databricks 작업 영역을 만듭니다.

스토리지용 Microsoft Defender 계정은 Databricks 작업 영역의 태그를 상속하므로 스토리지용 Defender가 자동으로 켜지지 않습니다.

다음 단계

• Azure Storage에 대한 경고를 확인합니다.
• 스토리지용 Defender의 기능 및 이점에 대해 알아봅니다.
• 스토리지용 Defender 클래식에 대한 일반적인 질문을 확인하세요.