Geavanceerde configuraties voor malwarescans

  • Artikel

Malwarescans kunnen worden geconfigureerd om scanresultaten naar het volgende te verzenden:

  • Aangepast Event Grid-onderwerp : voor bijna realtime automatische reactie op basis van elk scanresultaat.
  • Log Analytics-werkruimte : voor het opslaan van elk scanresultaat in een gecentraliseerde logboekopslagplaats voor naleving en controle.

Meer informatie over het instellen van reacties op malwarescanresultaten .

Tip

We raden u aan om de Ninja-trainingsinstructies, een praktijklab, uit te proberen malwarescans uit te proberen in Defender for Storage, met behulp van gedetailleerde stapsgewijze instructies voor het testen van malwarescans end-to-end met het instellen van reacties op het scannen van resultaten. Dit maakt deel uit van het 'labs'-project waarmee klanten aan de slag kunnen met Microsoft Defender voor Cloud en praktische ervaring bieden met de mogelijkheden ervan.

Logboekregistratie instellen voor malwarescans

Voor elk opslagaccount dat is ingeschakeld met malwarescans, kunt u een Log Analytics-werkruimtebestemming definiƫren om elk scanresultaat op te slaan in een gecentraliseerde logboekopslagplaats die eenvoudig te doorzoeken is.

Schermopname die laat zien waar een Log Analytics-bestemming voor scanlogboek moet worden geconfigureerd.

Voordat u scanresultaten naar Log Analytics verzendt, maakt u een Log Analytics-werkruimte of gebruikt u een bestaande werkruimte.

Als u de Log Analytics-bestemming wilt configureren, gaat u naar het relevante opslagaccount, opent u het tabblad Microsoft Defender voor Cloud en selecteert u de instellingen die u wilt configureren.

Deze configuratie kan ook worden uitgevoerd met behulp van REST API:

Aanvraag-URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Aanvraagtekst:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Event Grid instellen voor malwarescans

Voor elk opslagaccount dat is ingeschakeld met malwarescans, kunt u configureren dat elk scanresultaat wordt verzonden met behulp van een Event Grid-gebeurtenis voor automatiseringsdoeleinden.

  1. Als u Event Grid wilt configureren voor het verzenden van scanresultaten, moet u eerst vooraf een aangepast onderwerp maken. Raadpleeg de Event Grid-documentatie over het maken van aangepaste onderwerpen voor hulp. Zorg ervoor dat het aangepaste event grid-doelonderwerp wordt gemaakt in dezelfde regio als het opslagaccount waaruit u scanresultaten wilt verzenden.

  2. Als u de bestemming van het aangepaste Event Grid-onderwerp wilt configureren, gaat u naar het relevante opslagaccount, opent u het tabblad Microsoft Defender voor Cloud en selecteert u de instellingen die u wilt configureren.

Notitie

Wanneer u een aangepast Event Grid-onderwerp instelt, moet u de instellingen op abonnementsniveau Van Defender voor Opslag overschrijven instellen op Aan om ervoor te zorgen dat de instellingen op abonnementsniveau worden overschreven.

Schermopname van waar een Event Grid-bestemming moet worden ingeschakeld voor scanlogboeken.

Deze configuratie kan ook worden uitgevoerd met behulp van REST API:

Aanvraag-URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Aanvraagtekst:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Instellingen op abonnementsniveau van Defender for Storage overschrijven

De instellingen op abonnementsniveau nemen Defender for Storage-instellingen over voor elk opslagaccount in het abonnement. Gebruik Instellingen op abonnementsniveau van Defender for Storage overschrijven om instellingen voor afzonderlijke opslagaccounts te configureren die afwijken van de instellingen die op abonnementsniveau zijn geconfigureerd.

Het overschrijven van de instellingen van de abonnementen wordt meestal gebruikt voor de volgende scenario's:

  • Schakel malwarescans of de functies voor detectie van bedreigingen voor gegevensgevoeligheid in of uit.
  • Configureer aangepaste instellingen voor malwarescans.
  • Schakel Microsoft Defender for Storage uit voor specifieke opslagaccounts.

Notitie

U wordt aangeraden Defender for Storage in te schakelen voor het hele abonnement om alle bestaande en toekomstige opslagaccounts hierin te beveiligen. Er zijn echter enkele gevallen waarin u specifieke opslagaccounts wilt uitsluiten van Defender-beveiliging. Als u hebt besloten om uit te sluiten, volgt u de onderstaande stappen om de instelling voor onderdrukking te gebruiken en schakelt u vervolgens het relevante opslagaccount uit. Als u Defender for Storage (klassiek) gebruikt, kunt u ook opslagaccounts uitsluiten.

Azure Portal

Als u de instellingen van afzonderlijke opslagaccounts wilt configureren die afwijken van de instellingen die op abonnementsniveau zijn geconfigureerd met behulp van Azure Portal:

  1. Meld u aan bij het Azure-portaal.

  2. Navigeer naar uw opslagaccount waarvan u aangepaste instellingen wilt configureren.

  3. Selecteer Microsoft Defender voor Cloud in het menu opslagaccount in de sectie Beveiliging en netwerken.

  4. Selecteer Instellingen in Microsoft Defender for Storage.

  5. Stel de status van instellingen op abonnementsniveau van Defender for Storage (onder Geavanceerde instellingen) in op Aan. Dit zorgt ervoor dat de instellingen alleen voor dit opslagaccount worden opgeslagen en niet worden overschreven door de abonnementsinstellingen.

  6. Configureer de instellingen die u wilt wijzigen:

    1. Als u malwarescans of detectie van gevoelige gegevensrisico's wilt inschakelen, stelt u de status in op Aan.

    2. De instellingen van malwarescans wijzigen:

      1. Schakel het scannen van malware bij uploaden in op Aan als deze nog niet is ingeschakeld.

      2. Als u de maandelijkse drempelwaarde voor malwarescans in uw opslagaccounts wilt aanpassen, kunt u de parameter Set limit of GB gescand per maand wijzigen in de gewenste waarde. Deze parameter bepaalt de maximale hoeveelheid gegevens die elke maand kan worden gescand op malware, met name voor elk opslagaccount. Als u onbeperkt scannen wilt toestaan, kunt u deze parameter uitschakelen. De limiet is standaard ingesteld op 5.000 GB.

  7. Als u Defender for Storage wilt uitschakelen voor dit opslagaccount, stelt u de status van Microsoft Defender for Storage in op Uit.

    Schermopname die laat zien waar Defender for Storage moet worden uitgeschakeld in Azure Portal.

    Selecteer Opslaan.

REST-API

Als u de instellingen van afzonderlijke opslagaccounts wilt configureren die afwijken van de instellingen die op abonnementsniveau zijn geconfigureerd met behulp van REST API:

Maak een PUT-aanvraag met dit eindpunt. Vervang dienovereenkomstig de subscriptionId, resourceGroupName en accountName in de eindpunt-URL door uw eigen Azure-abonnements-id, resourcegroep en opslagaccountnamen.

Aanvraag-URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Aanvraagtekst:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Als u malwarescans of detectie van gevoelige gegevensrisico's wilt inschakelen, stelt u de waarde isEnabled in op true onder de relevante functies.

  2. Als u de instellingen van malwarescans wilt wijzigen, bewerkt u de relevante velden onder onUpload en controleert u of de waarde van isEnabled waar is. Als u onbeperkt scannen wilt toestaan, wijst u de waarde -1 toe aan de parameter capGBPerMonth.

  3. Als u Defender voor Storage wilt uitschakelen voor deze opslagaccounts, gebruikt u de volgende hoofdtekst voor de aanvraag:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Zorg ervoor dat u de parameter overrideSubscriptionLevelSettings en de waarde ervan op true toevoegt. Dit zorgt ervoor dat de instellingen alleen voor dit opslagaccount worden opgeslagen en niet worden overschreven door de abonnementsinstellingen.

Volgende stap

Meer informatie over scaninstellingen voor malware.