Inschakelen en configureren met Infrastructure as Code-sjablonen

U wordt aangeraden Defender for Storage in te schakelen op abonnementsniveau. Dit zorgt ervoor dat alle opslagaccounts die zich momenteel in het abonnement bevinden, worden beveiligd. Opslagaccounts die worden gemaakt nadat Defender for Storage op abonnementsniveau is ingeschakeld, worden maximaal 24 uur na het maken beveiligd.

Tip

U kunt altijd specifieke opslagaccounts configureren met aangepaste configuraties die verschillen van de instellingen die op abonnementsniveau zijn geconfigureerd (instellingen op abonnementsniveau overschrijven).

Inschakelen voor een abonnement

Terraform-sjabloon

Als u Microsoft Defender for Storage wilt inschakelen en configureren op abonnementsniveau met behulp van Terraform, kunt u het volgende codefragment gebruiken:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

De maandelijkse limiet voor malwarescans wijzigen:

Als u de maandelijkse limiet voor malwarescans per opslagaccount wilt wijzigen, past u de CapGBPerMonthPerStorageAccount parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand per opslagaccount kunnen worden gescand op malware. Als u onbeperkt scannen wilt toestaan, wijst u de waarde '-1' toe. De standaardlimiet is ingesteld op 5000 GB.

Functies uitschakelen:

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u het bijbehorende extensieblok uit de Terraform-code verwijderen.

Het hele Defender for Storage-abonnement uitschakelen:

Als u het hele Defender for Storage-abonnement wilt uitschakelen, stelt u de tier eigenschapswaarde in op Gratis en verwijdert u de subPlan en extension eigenschappen.

Meer informatie over de azurerm_security_center_subscription_pricing resource vindt u in de azurerm_security_center_subscription_pricing documentatie. Daarnaast vindt u uitgebreide informatie over de Terraform-provider voor Azure in de documentatie van de Terraform AzureRM-provider.

Bicep-sjabloon

Als u Microsoft Defender for Storage op abonnementsniveau wilt inschakelen en configureren met Bicep, moet u ervoor zorgen dat uw doelbereik is ingesteld op abonnement en voegt u het volgende toe aan uw Bicep-sjabloon:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

De maandelijkse limiet voor malwarescans wijzigen:

Als u de maandelijkse limiet voor malwarescans per opslagaccount wilt wijzigen, past u de CapGBPerMonthPerStorageAccount parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand per opslagaccount kunnen worden gescand op malware. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

Functies uitschakelen:

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in Onwaar onder detectie van gevoelige gegevens.

Het hele Defender for Storage-abonnement uitschakelen:

Als u het hele Defender for Storage-abonnement wilt uitschakelen, stelt u de pricingTier eigenschapswaarde in op Gratis en verwijdert u de subPlan en extensions eigenschappen.

Meer informatie over de Bicep-sjabloon vindt u in de documentatie over beveiliging/prijzen van Microsoft.

Azure Resource Manager-sjabloon

Als u Microsoft Defender for Storage op abonnementsniveau wilt inschakelen en configureren met behulp van een ARM-sjabloon (Azure Resource Manager), voegt u dit JSON-fragment toe aan de sectie Resources van uw ARM-sjabloon:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

De maandelijkse limiet voor malwarescans wijzigen:

Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt wijzigen, past u de CapGBPerMonthPerStorageAccount parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

Functies uitschakelen:

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in Onwaar onder detectie van gevoelige gegevens.

Het hele Defender for Storage-abonnement uitschakelen:

Als u het hele Defender-abonnement wilt uitschakelen, stelt u de pricingTier eigenschapswaarde in op Gratis en verwijdert u de subPlan en extension eigenschappen.

Meer informatie over de ARM-sjabloon vindt u in de documentatie over Microsoft.Security/Pricings.

Inschakelen voor een opslagaccount

Terraform-sjabloon - opslagaccount

Als u Microsoft Defender for Storage wilt inschakelen en configureren op het niveau van het opslagaccount met behulp van Terraform, importeert u de AzAPI-provider en gebruikt u het volgende codefragment:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

Notitie

Dit azapi_resource_action is een actie die specifiek is voor de configuratie van Microsoft Defender voor Opslag. Dit verschilt van de gebruikelijke resourcedeclaraties in Terraform en wordt gebruikt om specifieke acties uit te voeren op de resource, zoals het in- of uitschakelen van functies.

De maandelijkse limiet voor malwarescans wijzigen:

Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt wijzigen, past u de capGBPerMonth parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde '-1' toe. De standaardlimiet is ingesteld op 5000 GB.

Functies uitschakelen:

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in Onwaar onder de malwareScanning secties of sensitiveDataDiscovery eigenschappen.

Het hele Defender for Storage-abonnement uitschakelen:

Als u het volledige Defender for Storage-abonnement voor het opslagaccount wilt uitschakelen, kunt u het volgende codefragment gebruiken:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

U kunt de waarde van overrideSubscriptionLevelSettings True wijzigen om het Defender for Storage-abonnement voor het opslagaccount onder abonnementen uit te schakelen waarvoor Defender for Storage is ingeschakeld op abonnementsniveau. Als u bepaalde functies ingeschakeld wilt houden, kunt u de eigenschappen dienovereenkomstig wijzigen. Meer informatie over de API-documentatie microsoft.Security/defenderForStorageSettings voor verdere aanpassing en controle over de beveiligingsinstellingen van uw opslagaccount. Daarnaast vindt u uitgebreide informatie over de Terraform-provider voor Azure in de documentatie van de Terraform AzureRM-provider.

Bicep-sjabloon - opslagaccount

Als u Microsoft Defender for Storage wilt inschakelen en configureren op opslagaccountniveau met bicep, voegt u het volgende toe aan uw Bicep-sjabloon:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

De maandelijkse limiet voor malwarescans wijzigen:

Als u de maandelijkse drempelwaarde voor het scannen van malware in uw opslagaccounts wilt wijzigen, past u de capGBPerMonth parameter waarde van uw voorkeur aan. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

Functies uitschakelen:

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in Onwaar onder de malwareScanning secties of sensitiveDataDiscovery eigenschappen.

Het hele Defender for Storage-abonnement uitschakelen:

Als u het hele Defender-abonnement voor het opslagaccount wilt uitschakelen, stelt u de isEnabled eigenschapswaarde in op False en verwijdert u de malwareScanning en sensitiveDataDiscovery secties uit de eigenschappen.

Meer informatie over de API-documentatie van Microsoft.Security/DefenderForStorageSettings.

Tip

Malwarescans kunnen worden geconfigureerd om scanresultaten naar het volgende te verzenden:
Aangepast Event Grid-onderwerp : voor bijna realtime automatische reactie op basis van elk scanresultaat. Meer informatie over het configureren van malwarescans voor het verzenden van scanevenementen naar een aangepast Event Grid-onderwerp.
Log Analytics-werkruimte : voor het opslaan van elk scanresultaat in een gecentraliseerde logboekopslagplaats voor naleving en controle. Meer informatie over het configureren van malwarescans om scanresultaten naar een Log Analytics-werkruimte te verzenden.

Meer informatie over het instellen van reacties op malwarescanresultaten.

ARM-sjabloon - opslagaccount

Als u Microsoft Defender for Storage wilt inschakelen en configureren op het niveau van het opslagaccount met behulp van een ARM-sjabloon, voegt u dit JSON-fragment toe aan de sectie Resources van uw ARM-sjabloon:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

De maandelijkse limiet voor malwarescans wijzigen:

Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt wijzigen, past u de capGBPerMonth parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde '-1' toe. De standaardlimiet is ingesteld op 5000 GB.

Functies uitschakelen:

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in Onwaar onder de malwareScanning secties of sensitiveDataDiscovery eigenschappen.

Het hele Defender for Storage-abonnement uitschakelen:

Als u het hele Defender-abonnement voor het opslagaccount wilt uitschakelen, stelt u de isEnabled eigenschapswaarde in op False en verwijdert u de malwareScanning en sensitiveDataDiscovery secties uit de eigenschappen.

Volgende stappen

Meer informatie over de API-documentatie van Microsoft.Security/DefenderForStorageSettings .