Microsoft Defender voor Storage inschakelen (klassiek)

In dit artikel wordt uitgelegd hoe u Microsoft Defender voor Opslag (klassiek) voor uw abonnementen kunt inschakelen en configureren met behulp van verschillende sjablonen, zoals PowerShell, REST API en andere.

U kunt ook upgraden naar het nieuwe Microsoft Defender for Storage-plan en geavanceerde beveiligingsmogelijkheden gebruiken, waaronder malwarescans en detectie van gevoelige gegevensrisico's. Profiteer van een voorspelbarere en gedetailleerdere prijsstructuur die per opslagaccount wordt in rekening gebracht, met extra kosten voor transacties met grote volumes. Dit nieuwe prijsplan omvat ook alle nieuwe beveiligingsfuncties en detecties.

Notitie

Als u Defender for Storage (klassiek) gebruikt met prijzen per transactie of per opslagaccount, moet u migreren naar het nieuwe Defender for Storage-abonnement voor toegang tot deze functies en prijzen. Meer informatie over migreren naar het nieuwe Defender for Storage-abonnement.

Microsoft Defender voor Storage is een systeemeigen Azure-laag beveiligingsinformatie waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot of misbruik te maken van uw opslagaccounts. Er worden geavanceerde mogelijkheden voor detectie van bedreigingen en Microsoft Threat Intelligence-gegevens gebruikt om contextuele beveiligingswaarschuwingen te bieden. Deze waarschuwingen bevatten ook stappen om de gedetecteerde bedreigingen te beperken en toekomstige aanvallen te voorkomen.

Microsoft Defender for Storage analyseert continu de transacties van Azure Blob Storage-, Azure Data Lake Storage- en Azure Files-services . Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Waarschuwingen worden weergegeven in Microsoft Defender voor Cloud met de details van de verdachte activiteit, de juiste onderzoeksstappen, herstelacties en beveiligingsaanbeveling.

Geanalyseerde telemetrie van Azure Blob Storage bevat bewerkingstypen zoals Get Blob, Put Blob, Get Container ACL, List Blobs en Get Blob Properties. Voorbeelden van geanalyseerde Azure Files-bewerkingstypen zijn Get File, Create File, List Files, Get File Properties en Put Range.

Defender for Storage classic heeft geen toegang tot de gegevens van het Opslagaccount en heeft geen invloed op de prestaties.

Meer informatie over de voordelen, functies en beperkingen van Defender for Storage. U kunt ook meer te weten komen over Defender for Storage in de Defender for Storage-aflevering van de Defender voor Cloud in de videoserie Field.

Beschikbaarheid

Aspect	DETAILS
Releasestatus:	Algemene beschikbaarheid (GA)
Prijzen:	Microsoft Defender voor Storage wordt gefactureerd zoals weergegeven in de prijsgegevens en in de Defender-abonnementen in Azure Portal
Beveiligde opslagtypen:	Blob Storage (Standard/Premium StorageV2, blok-blobs) Azure Files (via REST API en SMB) Azure Data Lake Storage Gen2 (Standard/Premium-accounts waarvoor hiërarchische naamruimten zijn ingeschakeld)
Clouds:	Commerciële clouds Azure Government (alleen voor een abonnement per transactie) Microsoft Azure beheerd door 21Vianet Verbonden AWS-accounts

Microsoft Defender for Storage instellen (klassiek)

Prijzen per transactie instellen voor een abonnement

Voor de prijzen voor Defender for Storage per transactie raden we u aan Defender for Storage in te schakelen voor elk abonnement, zodat alle bestaande en nieuwe opslagaccounts worden beveiligd. Als u alleen specifieke accounts wilt beveiligen, configureert u Defender for Storage voor elk account.

U kunt Microsoft Defender for Storage op verschillende manieren configureren voor uw abonnementen:

• Terraform-sjabloon
• Bicep-sjabloon
• ARM-sjabloon
• PowerShell
• Azure-CLI
• REST API

Terraform-sjabloon

Als u Microsoft Defender for Storage wilt inschakelen op abonnementsniveau met prijzen per transactie met behulp van een Terraform-sjabloon, voegt u dit codefragment toe aan uw sjabloon met uw abonnements-id als de parent_id waarde:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Als u het plan wilt uitschakelen, stelt u de pricingTier eigenschapswaarde in op Free de eigenschap en verwijdert u deze subPlan .

Meer informatie over de AzAPI-referentie voor ARM-sjablonen.

Bicep-sjabloon

Als u Microsoft Defender for Storage wilt inschakelen op abonnementsniveau met prijzen per transactie met bicep, voegt u het volgende toe aan uw Bicep-sjabloon:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Als u het plan wilt uitschakelen, stelt u de pricingTier eigenschapswaarde in op Free de eigenschap en verwijdert u deze subPlan .

Meer informatie over de AzAPI-referentie voor bicep-sjablonen.

ARM-sjabloon

Als u Microsoft Defender for Storage wilt inschakelen op abonnementsniveau met prijzen per transactie met behulp van een ARM-sjabloon, voegt u dit JSON-fragment toe aan de sectie resources van uw ARM-sjabloon:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Als u het plan wilt uitschakelen, stelt u de pricingTier eigenschapswaarde in op Free de eigenschap en verwijdert u deze subPlan .

Meer informatie over de AzAPI-referentie voor ARM-sjablonen.

Powershell

Als u Microsoft Defender for Storage wilt inschakelen op abonnementsniveau met prijzen per transactie met behulp van PowerShell:

1. Als u deze nog niet hebt, installeert u de Azure Az PowerShell-module.

2. Gebruik de Connect-AzAccount cmdlet om u aan te melden bij uw Azure-account. Meer informatie over aanmelden bij Azure met Azure PowerShell.

3. Gebruik deze opdrachten om uw abonnement te registreren bij de Microsoft Defender voor Cloud-resourceprovider:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Vervang door <subscriptionId> uw abonnements-id.

4. Schakel Microsoft Defender for Storage in voor uw abonnement met de Set-AzSecurityPricing cmdlet:

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Tip

U kunt de GetAzSecurityPricing (Az_Security) gebruiken om alle Defender voor Cloud abonnementen te zien die zijn ingeschakeld voor het abonnement.

Als u het plan wilt uitschakelen, stelt u de -PricingTier eigenschapswaarde in op Free.

Meer informatie over het gebruik van PowerShell met Microsoft Defender voor Cloud.

Azure-CLI

Als u Microsoft Defender for Storage wilt inschakelen op abonnementsniveau met prijzen per transactie met behulp van Azure CLI:

1. Als u deze nog niet hebt, installeert u de Azure CLI.

2. Gebruik de az login opdracht om u aan te melden bij uw Azure-account. Meer informatie over aanmelden bij Azure met Azure CLI.

3. Gebruik deze opdrachten om de abonnements-id en -naam in te stellen:

   az account set --subscription "<subscriptionId or name>"
   

   Vervang door <subscriptionId> uw abonnements-id.

4. Schakel Microsoft Defender for Storage in voor uw abonnement met de az security pricing create opdracht:

   az security pricing create -n StorageAccounts --tier "standard"
   

Tip

U kunt de az security pricing show opdracht gebruiken om alle Defender voor Cloud abonnementen weer te geven die zijn ingeschakeld voor het abonnement.

Als u het plan wilt uitschakelen, stelt u de -tier eigenschapswaarde in op free.

Meer informatie over de az security pricing create opdracht.

REST-API

Als u Microsoft Defender for Storage wilt inschakelen op abonnementsniveau met prijzen per transactie met behulp van de Microsoft Defender voor Cloud REST API, maakt u een PUT-aanvraag met dit eindpunt en de hoofdtekst:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Vervang door {subscriptionId} uw abonnements-id.

Als u het plan wilt uitschakelen, stelt u de -pricingTier eigenschapswaarde in op Free de parameter en verwijdert u deze subPlan .

Meer informatie over het bijwerken van Defender-abonnementen met de REST API in HTTP, Java, Go en JavaScript.

Prijzen per transactie instellen voor een opslagaccount

U kunt Microsoft Defender for Storage op verschillende manieren configureren met prijzen per transactie voor uw accounts:

• ARM-sjabloon
• PowerShell
• Azure-CLI

ARM-sjabloon

Als u Microsoft Defender for Storage wilt inschakelen voor een specifiek opslagaccount met prijzen per transactie met behulp van een ARM-sjabloon, gebruikt u de voorbereide Azure-sjabloon.

Als u Defender for Storage wilt uitschakelen voor het account:

1. Meld u aan bij het Azure-portaal.
2. Navigeer naar uw opslagaccount.
3. Selecteer Microsoft Defender voor Cloud in de sectie Beveiliging en netwerken van het menu Opslagaccount.
4. Selecteer Uitschakelen.

Powershell

Als u Microsoft Defender for Storage wilt inschakelen voor een specifiek opslagaccount met prijzen per transactie met behulp van PowerShell:

1. Als u deze nog niet hebt, installeert u de Azure Az PowerShell-module.

2. Gebruik de cmdlet Connect-AzAccount om u aan te melden bij uw Azure-account. Meer informatie over aanmelden bij Azure met Azure PowerShell.

3. Schakel Microsoft Defender for Storage in voor het gewenste opslagaccount met de Enable-AzSecurityAdvancedThreatProtection cmdlet:

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Vervang , <resource-group>en <storage-account> door <subscriptionId>de waarden voor uw omgeving.

Als u prijzen per transactie voor een specifiek opslagaccount wilt uitschakelen, gebruikt u de Disable-AzSecurityAdvancedThreatProtection cmdlet:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Meer informatie over het gebruik van PowerShell met Microsoft Defender voor Cloud.

Azure-CLI

Als u Microsoft Defender for Storage wilt inschakelen voor een specifiek opslagaccount met prijzen per transactie met behulp van Azure CLI:

1. Als u deze nog niet hebt, installeert u de Azure CLI.

2. Gebruik de az login opdracht om u aan te melden bij uw Azure-account. Meer informatie over aanmelden bij Azure met Azure CLI.

3. Schakel Microsoft Defender for Storage in voor uw abonnement met de az security atp storage update opdracht:

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Tip

U kunt de az security atp storage show opdracht gebruiken om te zien of Defender for Storage is ingeschakeld voor een account.

Gebruik de az security atp storage update opdracht om Microsoft Defender for Storage voor uw abonnement uit te schakelen:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Meer informatie over de opdracht az security atp storage .

Een opslagaccount uitsluiten van een beveiligd abonnement in het abonnement per transactie

Wanneer u Microsoft Defender for Storage inschakelt voor een abonnement voor de prijzen per transactie, worden alle huidige en toekomstige Azure Storage-accounts in dat abonnement beveiligd. U kunt specifieke opslagaccounts uitsluiten van de Defender for Storage-beveiliging met behulp van Azure Portal, PowerShell of De Azure CLI.

U wordt aangeraden Defender for Storage in te schakelen voor het hele abonnement om alle bestaande en toekomstige opslagaccounts hierin te beveiligen. Er zijn echter enkele gevallen waarin mensen specifieke opslagaccounts willen uitsluiten van Defender-beveiliging.

Voor het uitsluiten van opslagaccounts van beveiligde abonnementen moet u het volgende doen:

1. Voeg een tag toe om het overnemen van het abonnement te blokkeren.
2. Defender for Storage uitschakelen (klassiek).

Notitie

Overweeg een upgrade uit te voeren naar het nieuwe Defender for Storage-abonnement als u opslagaccounts hebt die u wilt uitsluiten van het klassieke Defender for Storage-abonnement. U bespaart niet alleen op de kosten voor accounts met veel transacties, maar u krijgt ook toegang tot verbeterde beveiligingsfuncties. Meer informatie over de voordelen van migratie naar het nieuwe abonnement.

Uitgesloten opslagaccounts in de klassieke defender voor opslag worden niet automatisch uitgesloten wanneer u migreert naar het nieuwe abonnement.

Een Azure Storage-accountbeveiliging uitsluiten voor een abonnement met prijzen per transactie

Als u een Azure Storage-account wilt uitsluiten van Microsoft Defender voor Storage (klassiek), kunt u het volgende gebruiken:

• PowerShell
• Azure-CLI

PowerShell gebruiken om een Azure Storage-account uit te sluiten

1. Als u de Azure Az PowerShell-module niet hebt geïnstalleerd, installeert u deze met behulp van de instructies in de Documentatie van Azure PowerShell.

2. Maak met behulp van een geverifieerd account verbinding met Azure met de Connect-AzAccount cmdlet, zoals wordt uitgelegd in Aanmelden met Azure PowerShell.

3. Definieer de tag AzDefenderPlanAutoEnable in het opslagaccount door de Update-AzTag cmdlet (vervang de ResourceId door de resource-id van het relevante opslagaccount):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Als u deze fase overslaat, blijven uw niet-gemarkeerde resources dagelijkse updates ontvangen van het activeringsbeleid op abonnementsniveau. Met dit beleid wordt Defender for Storage weer ingeschakeld voor het account. Meer informatie over tags in Tags gebruiken om uw Azure-resources en -beheerhiërarchie te organiseren.

4. Schakel Microsoft Defender for Storage uit voor het gewenste account voor het relevante abonnement met de Disable-AzSecurityAdvancedThreatProtection cmdlet (met dezelfde resource-id):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Meer informatie over deze cmdlet.

Azure CLI gebruiken om een Azure Storage-account uit te sluiten

1. Als u Azure CLI niet hebt geïnstalleerd, installeert u deze met behulp van de instructies in de Azure CLI-documentatie.

2. Maak met behulp van een geverifieerd account verbinding met Azure met de login opdracht, zoals wordt uitgelegd in Aanmelden met Azure CLI en voer uw accountreferenties in wanneer u hierom wordt gevraagd:

   az login
   

3. Definieer de tag AzDefenderPlanAutoEnable in het opslagaccount door de tag update opdracht (vervang de ResourceId door de resource-id van het relevante opslagaccount):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Als u deze fase overslaat, blijven uw niet-gemarkeerde resources dagelijkse updates ontvangen van het activeringsbeleid op abonnementsniveau. Met dit beleid wordt Defender for Storage weer ingeschakeld voor het account.

   Tip

   Meer informatie over tags in az tag.

4. Schakel Microsoft Defender for Storage uit voor het gewenste account in het relevante abonnement met de security atp storage opdracht (met dezelfde resource-id):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Meer informatie over deze opdracht.

Een Azure Databricks Storage-account uitsluiten

Een actieve Databricks-werkruimte uitsluiten

Microsoft Defender voor Storage kan specifieke actieve Databricks-werkruimteopslagaccounts uitsluiten wanneer het abonnement al is ingeschakeld voor een abonnement.

Een actieve Databricks-werkruimte uitsluiten:

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar Azure Databricks-tagsYour Databricks workspace>>.

3. Voer in het veld Naam de naam in AzDefenderPlanAutoEnable.

4. Voer in het veld Waarde de waarde in off en selecteer Toepassen.

   

5. Navigeer naar Microsoft Defender voor Cloud> Omgevingsinstellingen.>Your subscription

6. Schakel het Defender for Storage-abonnement uit en selecteer Opslaan.

   

7. Schakel Defender for Storage (klassiek) opnieuw in met een van de ondersteunde methoden (u kunt Defender for Storage niet klassiek inschakelen vanuit Azure Portal).

De tags worden overgenomen door het opslagaccount van de Databricks-werkruimte en voorkomen dat Defender for Storage wordt ingeschakeld.

Notitie

Tags kunnen niet rechtstreeks worden toegevoegd aan het Databricks Storage-account of de bijbehorende beheerde resourcegroep.

Automatisch inschakelen voor een nieuw Databricks-werkruimteopslagaccount voorkomen

Wanneer u een nieuwe Databricks-werkruimte maakt, kunt u een tag toevoegen die voorkomt dat uw Microsoft Defender voor Storage-account automatisch wordt ingeschakeld.

Automatisch inschakelen voor een nieuw Databricks-werkruimteopslagaccount voorkomen:

1. Volg deze stappen om een nieuwe Azure Databricks-werkruimte te maken.

2. Voer op het tabblad Tags een tag in met de naam AzDefenderPlanAutoEnable.

3. Voer de waarde offin.

   

4. Volg de instructies om uw nieuwe Azure Databricks-werkruimte te maken.

Het Microsoft Defender for Storage-account neemt de tag over van de Databricks-werkruimte, waardoor Defender for Storage niet automatisch kan worden ingeschakeld.

Volgende stappen

• Bekijk de waarschuwingen voor Azure Storage
• Meer informatie over de functies en voordelen van Defender for Storage
• Bekijk veelgestelde vragen over defender for Storage classic.