Microsoft Defender voor Storage implementeren
Microsoft Defender voor Storage is een systeemeigen Azure-oplossing die een geavanceerde laag intelligentie biedt voor bedreigingsdetectie en -beperking in opslagaccounts, mogelijk gemaakt door Microsoft Threat Intelligence, Microsoft Defender Antimalware-technologieën en Gevoelige gegevensdetectie. Met beveiliging voor Azure Blob Storage-, Azure Files- en Azure Data Lake Storage-services biedt het een uitgebreide waarschuwingssuite, bijna realtime malwarescans (invoegtoepassing) en detectie van gevoelige gegevensbedreigingen (geen extra kosten), waardoor snelle detectie, triage en reactie op mogelijke beveiligingsrisico's met contextuele informatie mogelijk zijn. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens.
Met Microsoft Defender voor Storage kunnen organisaties hun beveiliging aanpassen en consistent beveiligingsbeleid afdwingen door dit in te schakelen voor abonnementen en opslagaccounts met gedetailleerde controle en flexibiliteit.
Tip
Als u momenteel gebruikmaakt van de klassieke versie van Microsoft Defender voor Storage, kunt u overwegen om te migreren naar het nieuwe abonnement. Dit biedt verschillende voordelen ten opzichte van het klassieke abonnement.
Beschikbaarheid
| Aspect | Details |
|---|---|
| Releasestatus: | Algemene beschikbaarheid (GA) |
| Beschikbaarheid van functies: | - Activiteitenbewaking (beveiligingswaarschuwingen) – Algemene beschikbaarheid (GA) - Malware scannen – Algemene beschikbaarheid (GA) - Detectie van gevoelige gegevensbedreigingen (Detectie van gevoelige gegevens) - Preview Ga naar de pagina met prijzen voor meer informatie. |
| Vereiste rollen en machtigingen: | Voor malwarescans en detectie van gevoelige gegevensbedreigingen op abonnements- en opslagaccountniveaus hebt u eigenaarsrollen (abonnementseigenaar/opslagaccounteigenaar) of specifieke rollen met bijbehorende gegevensacties nodig. Als u Activiteitenbewaking wilt inschakelen, hebt u machtigingen voor beveiliging Beheer nodig. Lees meer over de vereiste machtigingen. |
| Clouds: |  Commerciële Azure-clouds* Azure Government (alleen ondersteuning voor activiteitenbewaking in het klassieke abonnement) Azure China 21VianetVerbinding maken ed AWS-accounts |
*Azure DNS-zone wordt niet ondersteund voor het scannen van malware en detectie van gevoelige gegevensrisico's.
Vereisten voor het scannen van malware
Als u malwarescans wilt inschakelen en configureren, moet u eigenaarsrollen (zoals abonnementseigenaar of opslagaccounteigenaar) of specifieke rollen hebben met de benodigde gegevensacties. Meer informatie over de vereiste machtigingen.
Microsoft Defender voor Opslag instellen en configureren
Als u Microsoft Defender for Storage wilt inschakelen en configureren en de maximale beveiliging en kostenoptimalisatie wilt garanderen, zijn de volgende configuratieopties beschikbaar:
- Schakel Microsoft Defender for Storage in of uit op abonnements- en opslagaccountniveaus.
- Configureerbare functies voor het scannen/uitschakelen van malwarescans of gevoelige gegevensdetectie.
- Stel een maandelijkse limiet ('limieten') in voor het scannen van malware per opslagaccount per maand om de kosten te beheren (de standaardwaarde is 5000 GB).
- Configureer methoden voor het instellen van reacties op malwarescanresultaten.
- Configureer methoden voor het opslaan van logboekregistratie van scanresultaten van malware.
Tip
De functie Malware scanning heeft geavanceerde configuraties om beveiligingsteams te helpen verschillende werkstromen en vereisten te ondersteunen.
- Overschrijf de instellingen op abonnementsniveau om specifieke opslagaccounts te configureren met aangepaste configuraties die verschillen van de instellingen die op abonnementsniveau zijn geconfigureerd.
Er zijn verschillende manieren om Defender for Storage in te schakelen en te configureren: met behulp van het ingebouwde Azure-beleid (de aanbevolen methode), programmatisch met behulp van Infrastructure as Code-sjablonen, waaronder Terraform-, Bicep- en ARM-sjablonen, met behulp van Azure Portal of rechtstreeks met de REST API.
Het inschakelen van Defender voor Opslag via een beleid wordt aanbevolen omdat het inschakelen op schaal mogelijk maakt en ervoor zorgt dat een consistent beveiligingsbeleid wordt toegepast op alle bestaande en toekomstige opslagaccounts binnen het gedefinieerde bereik (zoals volledige beheergroepen). Hierdoor blijven de opslagaccounts beveiligd met Defender for Storage op basis van de gedefinieerde configuratie van de organisatie.
Notitie
Als u wilt voorkomen dat u terug migreert naar het oude klassieke abonnement, moet u het oude Defender for Storage-beleid uitschakelen. Zoek en schakel beleidsregels uit met de naam Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabledof Configure Microsoft Defender for Storage to be enabled (per-storage account plan) weiger beleidsregels die het uitschakelen van het klassieke plan voorkomen.