Zaawansowane konfiguracje skanowania złośliwego oprogramowania
Skanowanie w poszukiwaniu złośliwego oprogramowania można skonfigurować do wysyłania wyników skanowania do następujących elementów:
- Temat niestandardowy usługi Event Grid — w przypadku odpowiedzi automatycznej niemal w czasie rzeczywistym na podstawie każdego wyniku skanowania.
- Obszar roboczy usługi Log Analytics — do przechowywania każdego wyniku skanowania w scentralizowanym repozytorium dzienników pod kątem zgodności i inspekcji.
Dowiedz się więcej na temat konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.
Napiwek
Zalecamy wypróbowanie instrukcji szkoleniowych ninja, praktycznych laboratorium, aby wypróbować skanowanie złośliwego oprogramowania w usłudze Defender for Storage, korzystając ze szczegółowych instrukcji krok po kroku dotyczących testowania kompleksowego skanowania złośliwego oprogramowania przy konfigurowaniu odpowiedzi na wyniki skanowania. Jest to część projektu "laboratoriów", który pomaga klientom w zwiększaniu się z Microsoft Defender dla Chmury i zapewnia praktyczne doświadczenie w zakresie jego możliwości.
Konfigurowanie rejestrowania na potrzeby skanowania złośliwego oprogramowania
Dla każdego konta magazynu z włączonym skanowaniem złośliwego oprogramowania można zdefiniować miejsce docelowe obszaru roboczego usługi Log Analytics, aby przechowywać każdy wynik skanowania w scentralizowanym repozytorium dzienników, które jest łatwe do wykonywania zapytań.
Przed wysłaniem wyników skanowania do usługi Log Analytics utwórz obszar roboczy usługi Log Analytics lub użyj istniejącego.
Aby skonfigurować miejsce docelowe usługi Log Analytics, przejdź do odpowiedniego konta magazynu, otwórz kartę Microsoft Defender dla Chmury i wybierz ustawienia do skonfigurowania.
Tę konfigurację można również wykonać przy użyciu interfejsu API REST:
Adres URL żądania:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Treść żądania:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Uwaga
W witrynie Azure Portal są wyświetlane obszary robocze usługi Log Analytics z tej samej subskrypcji co konto magazynu. Interfejs API REST może służyć do konfigurowania obszaru roboczego usługi Log Analytics z innej subskrypcji tej samej dzierżawy, jak opisano powyżej.
Wyniki skanowania zostaną zarejestrowane w tabeli o nazwie StorageMalwareScanningResults. Ta tabela jest tworzona podczas rejestrowania pierwszego wyniku skanowania.
Konfigurowanie usługi Event Grid pod kątem skanowania złośliwego oprogramowania
Dla każdego konta magazynu włączonego przy skanowaniu złośliwego oprogramowania można skonfigurować wysyłanie wszystkich wyników skanowania przy użyciu zdarzenia usługi Event Grid na potrzeby automatyzacji.
Aby skonfigurować usługę Event Grid do wysyłania wyników skanowania, najpierw należy utworzyć temat niestandardowy z wyprzedzeniem. Aby uzyskać wskazówki, zapoznaj się z dokumentacją usługi Event Grid dotyczącą tworzenia tematów niestandardowych. Upewnij się, że docelowy temat niestandardowy usługi Event Grid jest tworzony w tym samym regionie co konto magazynu, z którego chcesz wysyłać wyniki skanowania.
Aby skonfigurować miejsce docelowe tematu niestandardowego usługi Event Grid, przejdź do odpowiedniego konta magazynu, otwórz kartę Microsoft Defender dla Chmury i wybierz ustawienia do skonfigurowania.
Uwaga
Po ustawieniu tematu niestandardowego usługi Event Grid należy ustawić ustawienie Zastąp ustawienia na poziomie subskrypcji usługi Defender for Storage na wartość Włączone , aby upewnić się, że zastępuje ustawienia na poziomie subskrypcji.
Uwaga
W witrynie Azure Portal wymieniono tematy usługi Event Grid z tej samej subskrypcji co konto magazynu. Interfejs API REST może służyć do konfigurowania tematu usługi Event Grid z innej subskrypcji tej samej dzierżawy, jak opisano poniżej. Tę konfigurację można również wykonać przy użyciu interfejsu API REST:
Adres URL żądania:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Treść żądania:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Zastąp ustawienia na poziomie subskrypcji usługi Defender for Storage
Ustawienia na poziomie subskrypcji dziedziczą ustawienia usługi Defender for Storage na każdym koncie magazynu w subskrypcji. Użyj ustawień na poziomie subskrypcji usługi Override Defender for Storage, aby skonfigurować ustawienia dla poszczególnych kont magazynu innych niż te skonfigurowane na poziomie subskrypcji.
Zastępowanie ustawień subskrypcji jest zwykle używane w następujących scenariuszach:
- Włącz/wyłącz skanowanie złośliwego oprogramowania lub funkcje wykrywania zagrożeń poufności danych.
- Skonfiguruj ustawienia niestandardowe na potrzeby skanowania złośliwego oprogramowania.
- Wyłącz usługę Microsoft Defender for Storage na określonych kontach magazynu.
Uwaga
Zalecamy włączenie usługi Defender for Storage w całej subskrypcji w celu ochrony wszystkich istniejących i przyszłych kont magazynu. Istnieją jednak pewne przypadki, w których należy wykluczyć określone konta magazynu z ochrony usługi Defender. Jeśli zdecydujesz się wykluczyć, wykonaj poniższe kroki, aby użyć ustawienia zastąpienia, a następnie wyłącz odpowiednie konto magazynu. Jeśli używasz usługi Defender for Storage (klasycznej), możesz również wykluczyć konta magazynu.
Azure Portal
Aby skonfigurować ustawienia poszczególnych kont magazynu różni się od tych skonfigurowanych na poziomie subskrypcji przy użyciu witryny Azure Portal:
Zaloguj się w witrynie Azure Portal.
Przejdź do konta magazynu, w którym chcesz skonfigurować ustawienia niestandardowe.
W menu konta magazynu w sekcji Zabezpieczenia i sieć wybierz pozycję Microsoft Defender dla Chmury.
Wybierz pozycję Ustawienia w usłudze Microsoft Defender for Storage.
Ustaw stan ustawienia na poziomie subskrypcji usługi Defender for Storage (w obszarze Ustawienia zaawansowane) na Wartość Włączone. Dzięki temu ustawienia zostaną zapisane tylko dla tego konta magazynu i nie zostaną zastąpione przez ustawienia subskrypcji.
Skonfiguruj ustawienia, które chcesz zmienić:
Aby włączyć skanowanie złośliwego oprogramowania lub wykrywanie zagrożeń poufnych danych, ustaw stan włączone.
Aby zmodyfikować ustawienia skanowania złośliwego oprogramowania:
Włącz skanowanie w poszukiwaniu złośliwego oprogramowania podczas przekazywania na wartość Włączone, jeśli nie jest jeszcze włączone.
Aby dostosować miesięczny próg skanowania złośliwego oprogramowania na kontach magazynu, można zmodyfikować parametr o nazwie Ustaw limit GB skanowanych miesięcznie na żądaną wartość. Ten parametr określa maksymalną ilość danych, które mogą być skanowane pod kątem złośliwego oprogramowania każdego miesiąca, w szczególności dla każdego konta magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, możesz usunąć zaznaczenie tego parametru. Domyślnie limit jest ustawiony na 5000 GB.
Aby wyłączyć usługę Defender for Storage na tym koncie magazynu, ustaw stan usługi Microsoft Defender for Storage na wyłączone.
Wybierz pozycję Zapisz.
Interfejs API REST
Aby skonfigurować ustawienia poszczególnych kont magazynu różni się od tych skonfigurowanych na poziomie subskrypcji przy użyciu interfejsu API REST:
Utwórz żądanie PUT z tym punktem końcowym. Zastąp wartości subscriptionId, resourceGroupName i accountName w adresie URL punktu końcowego własnym identyfikatorem subskrypcji platformy Azure, grupą zasobów i odpowiednio nazwami kont magazynu.
Adres URL żądania:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Treść żądania:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Aby włączyć skanowanie złośliwego oprogramowania lub wykrywanie zagrożeń poufnych danych, ustaw wartość parametru isEnabled na wartość true w odpowiednich funkcjach.
Aby zmodyfikować ustawienia skanowania złośliwego oprogramowania, zmodyfikuj odpowiednie pola w obszarze onUpload, upewnij się, że wartość isEnabled jest prawdziwa. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1 do parametru capGBPerMonth.
Aby wyłączyć usługę Defender dla usługi Storage na tych kontach magazynu, użyj następującej treści żądania:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Upewnij się, że parametr został dodany overrideSubscriptionLevelSettings , a jego wartość jest ustawiona na wartość true. Dzięki temu ustawienia zostaną zapisane tylko dla tego konta magazynu i nie zostaną zastąpione przez ustawienia subskrypcji.
Następny krok
Dowiedz się więcej o ustawieniach skanowania złośliwego oprogramowania.