Inschakelen en configureren met REST API

U wordt aangeraden Defender for Storage in te schakelen op abonnementsniveau. Dit zorgt ervoor dat alle opslagaccounts die zich momenteel in het abonnement bevinden, worden beveiligd. Opslagaccounts die worden gemaakt nadat Defender for Storage op abonnementsniveau is ingeschakeld, worden maximaal 24 uur na het maken beveiligd.

Tip

U kunt altijd specifieke opslagaccounts configureren met aangepaste configuraties die verschillen van de instellingen die op abonnementsniveau zijn geconfigureerd (instellingen op abonnementsniveau overschrijven).

Inschakelen voor een abonnement

Als u Microsoft Defender for Storage wilt inschakelen en configureren op abonnementsniveau met behulp van REST API, maakt u een PUT-aanvraag met dit eindpunt (vervang de subscriptionId URL van het eindpunt door uw eigen Azure-abonnements-id):

PUT
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2023-01-01

Voeg de volgende aanvraagbody toe:

{
    "properties": {
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ],
        "subPlan": "DefenderForStorageV2",
        "pricingTier": "Standard"
    }
}

Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt wijzigen, past u de CapGBPerMonthPerStorageAccount parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de waarde isEnabled wijzigen in False onder Gevoelige gegevensdetectie.

Als u het hele Defender-abonnement wilt uitschakelen, stelt u de eigenschapswaarde pricingTier in op Gratis en verwijdert u de subPlan eigenschappen en extensies.

Meer informatie over het bijwerken van Defender-abonnementen met de REST API in HTTP, Java, Go en JavaScript.

Inschakelen voor een opslagaccount

Als u Microsoft Defender for Storage wilt inschakelen en configureren op opslagaccountniveau met behulp van REST API, maakt u een PUT-aanvraag met dit eindpunt. Vervang de subscriptionId, resourceGroupNameen accountName in de eindpunt-URL door uw eigen Azure-abonnements-id, resourcegroep en opslagaccountnamen dienovereenkomstig.

PUT
https://management.azure.com/{resourceId}/providers/Microsoft.Security/defenderForStorageSettings/current?api-version=2022-12-01-preview

Voeg de volgende aanvraagbody toe:

{
   "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            },
   "scanResultsEventGridTopicResourceId": "/subscriptions/<Subscription>/resourceGroups/<resourceGroup>/providers/Microsoft.EventGrid/topics/<topicName>"
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt wijzigen, past u de capGBPerMonth parameter aan op de gewenste waarde. Met deze parameter wordt een limiet ingesteld voor de maximale gegevens die elke maand kunnen worden gescand op malware, per opslagaccount. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe. De standaardlimiet is ingesteld op 5000 GB.

Als u de functies voor het scannen van malware bij uploaden of detectie van gevoelige gegevensbedreigingen wilt uitschakelen, kunt u de isEnabled waarde wijzigen in Onwaar onder de malwareScanning secties of sensitiveDataDiscovery eigenschappen.

Als u het hele Defender-abonnement voor het opslagaccount wilt uitschakelen, stelt u de isEnabled eigenschapswaarde in op False en verwijdert u de malwareScanning en sensitiveDataDiscovery secties uit de eigenschappen.

Meer informatie over de API-documentatie van Microsoft.Security/DefenderForStorageSettings.

Tip

Malwarescans kunnen worden geconfigureerd om scanresultaten naar het volgende te verzenden:
Aangepast Event Grid-onderwerp : voor bijna realtime automatische reactie op basis van elk scanresultaat. Meer informatie over het configureren van malwarescans voor het verzenden van scanevenementen naar een aangepast Event Grid-onderwerp.
Log Analytics-werkruimte : voor het opslaan van elk scanresultaat in een gecentraliseerde logboekopslagplaats voor naleving en controle. Meer informatie over het configureren van malwarescans om scanresultaten naar een Log Analytics-werkruimte te verzenden.

Meer informatie over het instellen van reacties op malwarescanresultaten .

Volgende stappen

• Meer informatie over het inschakelen en configureren van het Defender for Storage-plan op schaal met een ingebouwd Azure-beleid.