Włączanie Microsoft Defender dla usługi Storage (wersja klasyczna)
W tym artykule wyjaśniono, jak włączyć i skonfigurować Microsoft Defender dla usługi Storage (klasycznej) w subskrypcjach przy użyciu różnych szablonów, takich jak program PowerShell, interfejs API REST i inne.
Możesz również uaktualnić do nowego Microsoft Defender planu magazynu i korzystać z zaawansowanych funkcji zabezpieczeń, w tym skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych. Skorzystaj z bardziej przewidywalnej i szczegółowej struktury cenowej, która pobiera opłaty za konto magazynu, z dodatkowymi kosztami transakcji o dużej ilości. Ten nowy plan cenowy obejmuje również wszystkie nowe funkcje zabezpieczeń i wykrycia.
Uwaga
Jeśli używasz usługi Defender for Storage (klasycznej) z cenami poszczególnych transakcji lub kont magazynu, musisz przeprowadzić migrację do nowego planu usługi Defender for Storage, aby uzyskać dostęp do tych funkcji i cen. Dowiedz się więcej o migracji do nowego planu usługi Defender for Storage.
Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Używa ona zaawansowanych funkcji wykrywania zagrożeń i danych usługi Microsoft Threat Intelligence w celu zapewnienia kontekstowych alertów zabezpieczeń. Te alerty obejmują również kroki ograniczania wykrytych zagrożeń i zapobiegania przyszłym atakom.
Microsoft Defender dla usługi Storage stale analizuje transakcje usług Azure Blob Storage, Azure Data Lake Storage i Azure Files. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Alerty są wyświetlane w Microsoft Defender dla chmury ze szczegółami podejrzanego działania, odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Przeanalizowane dane telemetryczne Azure Blob Storage obejmują typy operacji, takie jak Get Blob, Put Blob, Get Container ACL, List Blobs i Get Blob Properties. Przykłady analizowanych typów operacji Azure Files obejmują pobieranie plików, tworzenie plików, wyświetlanie listy plików, pobieranie właściwości pliku i umieszczanie zakresu.
Usługa Defender for Storage klasyczna nie uzyskuje dostępu do danych konta magazynu i nie ma wpływu na jej wydajność.
Dowiedz się więcej o korzyściach, funkcjach i ograniczeniach usługi Defender for Storage. Więcej informacji na temat usługi Defender for Storage można również dowiedzieć się w odcinku defender for Storage w usłudze Defender for Cloud w serii filmów wideo Field.
Dostępność
Aspekt | Szczegóły |
---|---|
Stan wydania: | Ogólna dostępność |
Ceny: | Microsoft Defender dla usługi Storage jest rozliczana, jak pokazano w szczegółach cennika i w planach usługi Defender w Azure Portal |
Chronione typy magazynów: | Blob Storage (magazyn w warstwie Standardowa/Premium StorageV2, blokowe obiekty blob) Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB) Azure Data Lake Storage Gen2 (konta w warstwie Standardowa/Premium z włączonymi hierarchicznymi przestrzeniami nazw) |
Chmury: | Chmury komercyjne Azure Government (tylko dla planu transakcji) Platforma Microsoft Azure obsługiwana przez firmę 21Vianet Połączone konta platformy AWS |
Konfigurowanie Microsoft Defender dla usługi Storage (wersja klasyczna)
Konfigurowanie cen poszczególnych transakcji dla subskrypcji
W przypadku cennika usługi Defender for Storage za transakcję zalecamy włączenie usługi Defender for Storage dla każdej subskrypcji, aby wszystkie istniejące i nowe konta magazynu są chronione. Jeśli chcesz chronić tylko określone konta, skonfiguruj usługę Defender dla magazynu dla każdego konta.
Możesz skonfigurować Microsoft Defender dla usługi Storage w ramach subskrypcji na kilka sposobów:
- Szablon narzędzia Terraform
- Szablon Bicep
- Szablon usługi ARM
- Program PowerShell
- Interfejs wiersza polecenia platformy Azure
- Interfejs API REST
Szablon narzędzia Terraform
Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu szablonu programu Terraform, dodaj ten fragment kodu do szablonu z identyfikatorem subskrypcji jako wartościąparent_id
:
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Security/pricings@2022-03-01"
name = "StorageAccounts"
parent_id = "<subscriptionId>"
body = jsonencode({
properties = {
pricingTier = "Standard"
subPlan = "PerTransaction"
}
})
}
Aby wyłączyć plan, ustaw pricingTier
wartość właściwości na Free
i usuń subPlan
właściwość.
Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu usługi ARM.
Szablon Bicep
Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu usługi Bicep, dodaj następujący kod do szablonu Bicep:
resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
name: 'StorageAccounts'
properties: {
pricingTier: 'Standard'
subPlan: 'PerTransaction'
}
}
Aby wyłączyć plan, ustaw pricingTier
wartość właściwości na Free
i usuń subPlan
właściwość.
Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu Bicep.
Szablon ARM
Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu szablonu usługi ARM, dodaj ten fragment kodu JSON do sekcji zasobów szablonu usługi ARM:
{
"type": "Microsoft.Security/pricings",
"apiVersion": "2022-03-01",
"name": "StorageAccounts",
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Aby wyłączyć plan, ustaw pricingTier
wartość właściwości na Free
i usuń subPlan
właściwość.
Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu usługi ARM.
PowerShell
Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu programu PowerShell:
Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.
Connect-AzAccount
Użyj polecenia cmdlet , aby zalogować się do konta platformy Azure. Dowiedz się więcej o logowaniu się na platformę Azure przy użyciu Azure PowerShell.Użyj tych poleceń, aby zarejestrować subskrypcję w Microsoft Defender dla dostawcy zasobów w chmurze:
Set-AzContext -Subscription <subscriptionId> Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
Zastąp
<subscriptionId>
element identyfikatorem subskrypcji.Włącz Microsoft Defender dla usługi Storage dla subskrypcji za
Set-AzSecurityPricing
pomocą polecenia cmdlet :Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
Porada
Możesz użyć GetAzSecurityPricing
(Az_Security), aby wyświetlić wszystkie plany usługi Defender for Cloud, które są włączone dla subskrypcji.
Aby wyłączyć plan, ustaw -PricingTier
wartość właściwości na Free
.
Dowiedz się więcej na temat korzystania z programu PowerShell z Microsoft Defender for Cloud.
Interfejs wiersza polecenia platformy Azure
Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu interfejsu wiersza polecenia platformy Azure:
Jeśli jeszcze go nie masz, zainstaluj interfejs wiersza polecenia platformy Azure.
az login
Użyj polecenia , aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.Użyj tych poleceń, aby ustawić identyfikator subskrypcji i nazwę:
az account set --subscription "<subscriptionId or name>"
Zastąp
<subscriptionId>
element identyfikatorem subskrypcji.Włącz Microsoft Defender dla usługi Storage dla subskrypcji za
az security pricing create
pomocą polecenia :az security pricing create -n StorageAccounts --tier "standard"
Porada
Możesz użyć az security pricing show
polecenia , aby wyświetlić wszystkie plany usługi Defender for Cloud, które są włączone dla subskrypcji.
Aby wyłączyć plan, ustaw -tier
wartość właściwości na free
.
Dowiedz się więcej o poleceniu az security pricing create
.
Interfejs API REST
Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu Microsoft Defender dla interfejsu API REST chmury, utwórz żądanie PUT z tym punktem końcowym i treścią:
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01
{
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Zastąp {subscriptionId}
element identyfikatorem subskrypcji.
Aby wyłączyć plan, ustaw -pricingTier
wartość właściwości na Free
i usuń subPlan
parametr .
Dowiedz się więcej o aktualizowaniu planów usługi Defender za pomocą interfejsu API REST w językach HTTP, Java, Go i JavaScript.
Konfigurowanie cen poszczególnych transakcji dla konta magazynu
Na kilka sposobów można skonfigurować Microsoft Defender dla usługi Storage przy użyciu cen poszczególnych transakcji na kontach:
Szablon ARM
Aby włączyć Microsoft Defender dla magazynu dla określonego konta magazynu z cenami za transakcję przy użyciu szablonu usługi ARM, użyj przygotowanego szablonu platformy Azure.
Jeśli chcesz wyłączyć usługę Defender for Storage na koncie:
- Zaloguj się w witrynie Azure Portal.
- Przejdź do konta magazynu.
- W sekcji Zabezpieczenia i sieć w menu Konto magazynu wybierz pozycję Microsoft Defender dla chmury.
- Wybierz pozycję Wyłącz.
PowerShell
Aby włączyć Microsoft Defender dla magazynu dla określonego konta magazynu z cenami za transakcję przy użyciu programu PowerShell:
Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.
Użyj polecenia cmdlet Connect-AzAccount, aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu Azure PowerShell.
Włącz Microsoft Defender dla magazynu dla żądanego konta magazynu za pomocą
Enable-AzSecurityAdvancedThreatProtection
polecenia cmdlet:Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
Zastąp
<subscriptionId>
wartości ,<resource-group>
i<storage-account>
wartościami środowiska.
Jeśli chcesz wyłączyć ceny za transakcję dla określonego konta magazynu, użyj Disable-AzSecurityAdvancedThreatProtection
polecenia cmdlet:
Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
Dowiedz się więcej o korzystaniu z programu PowerShell z Microsoft Defender for Cloud.
Interfejs wiersza polecenia platformy Azure
Aby włączyć Microsoft Defender dla usługi Storage dla określonego konta magazynu z cenami na transakcję przy użyciu interfejsu wiersza polecenia platformy Azure:
Jeśli jeszcze go nie masz, zainstaluj interfejs wiersza polecenia platformy Azure.
Użyj polecenia ,
az login
aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.Włącz Microsoft Defender dla usługi Storage dla subskrypcji za
az security atp storage update
pomocą polecenia :az security atp storage update \ --resource-group <resource-group> \ --storage-account <storage-account> \ --is-enabled true
Porada
Możesz użyć az security atp storage show
polecenia , aby sprawdzić, czy usługa Defender for Storage jest włączona na koncie.
Aby wyłączyć Microsoft Defender dla usługi Storage dla subskrypcji, użyj az security atp storage update
polecenia :
az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false
Dowiedz się więcej na temat polecenia az security atp storage .
Wykluczanie konta magazynu z chronionej subskrypcji w ramach planu transakcji
Po włączeniu Microsoft Defender dla usługi Storage w ramach subskrypcji dla cen poszczególnych transakcji wszystkie bieżące i przyszłe konta usługi Azure Storage w tej subskrypcji są chronione. Określone konta magazynu można wykluczyć z ochrony usługi Defender for Storage przy użyciu Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Zalecamy włączenie usługi Defender for Storage w całej subskrypcji w celu ochrony wszystkich istniejących i przyszłych kont magazynu. Istnieją jednak przypadki, w których użytkownicy chcą wykluczyć określone konta magazynu z ochrony usługi Defender.
Wykluczenie kont magazynu z chronionych subskrypcji wymaga:
- Dodaj tag, aby zablokować dziedziczenie włączania subskrypcji.
- Wyłącz usługę Defender for Storage (klasyczną).
Uwaga
Rozważ uaktualnienie do nowego planu usługi Defender for Storage, jeśli masz konta magazynu, które chcesz wykluczyć z klasycznego planu usługi Defender for Storage. Nie tylko zaoszczędzisz na kosztach kont z dużą liczbą transakcji, ale uzyskasz również dostęp do rozszerzonych funkcji zabezpieczeń. Dowiedz się więcej o korzyściach związanych z migracją do nowego planu.
Wykluczone konta magazynu w klasycznym programie Defender for Storage nie są automatycznie wykluczane podczas migracji do nowego planu.
Wykluczanie ochrony konta usługi Azure Storage w subskrypcji przy użyciu cen poszczególnych transakcji
Aby wykluczyć konto usługi Azure Storage z Microsoft Defender dla usługi Storage (wersja klasyczna), możesz użyć:
Wykluczanie konta usługi Azure Storage przy użyciu programu PowerShell
Jeśli nie masz zainstalowanego modułu Azure Az programu PowerShell, zainstaluj go, korzystając z instrukcji z dokumentacji Azure PowerShell.
Za pomocą uwierzytelnionego konta nawiąż połączenie z platformą Azure za
Connect-AzAccount
pomocą polecenia cmdlet , jak wyjaśniono w temacie Logowanie przy użyciu Azure PowerShell.Zdefiniuj tag AzDefenderPlanAutoEnable na koncie magazynu za
Update-AzTag
pomocą polecenia cmdlet (zastąp wartość ResourceId identyfikatorem zasobu odpowiedniego konta magazynu):Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
Jeśli pominiesz ten etap, zasoby bez tagów będą nadal otrzymywać codzienne aktualizacje z zasad włączania poziomu subskrypcji. Te zasady ponownie włączają usługę Defender for Storage na koncie. Dowiedz się więcej o tagach w temacie Używanie tagów do organizowania zasobów platformy Azure i hierarchii zarządzania.
Wyłącz Microsoft Defender dla magazynu dla żądanego konta w odpowiedniej subskrypcji za
Disable-AzSecurityAdvancedThreatProtection
pomocą polecenia cmdlet (przy użyciu tego samego identyfikatora zasobu):Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
Wykluczanie konta usługi Azure Storage przy użyciu interfejsu wiersza polecenia platformy Azure
Jeśli nie masz zainstalowanego interfejsu wiersza polecenia platformy Azure, zainstaluj go, korzystając z instrukcji z dokumentacji interfejsu wiersza polecenia platformy Azure.
Korzystając z uwierzytelnionego konta, połącz się z platformą Azure za pomocą polecenia opisanego
login
w temacie Logowanie za pomocą interfejsu wiersza polecenia platformy Azure i wprowadź poświadczenia konta po wyświetleniu monitu:az login
Zdefiniuj tag AzDefenderPlanAutoEnable na koncie
tag update
magazynu za pomocą polecenia (zastąp identyfikator zasobu odpowiednim kontem magazynu):az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
Jeśli pominiesz ten etap, zasoby bez tagów będą nadal otrzymywać codzienne aktualizacje z zasad włączania poziomu subskrypcji. Te zasady ponownie włączają usługę Defender for Storage na koncie.
Porada
Dowiedz się więcej o tagach w elemecie az tag.
Wyłącz Microsoft Defender dla magazynu dla żądanego konta w odpowiedniej subskrypcji za
security atp storage
pomocą polecenia (przy użyciu tego samego identyfikatora zasobu):az security atp storage update --resource-group MyResourceGroup --storage-account MyStorageAccount --is-enabled false
Wykluczanie konta usługi Azure Databricks Storage
Wykluczanie aktywnego obszaru roboczego usługi Databricks
Microsoft Defender dla usługi Storage może wykluczyć określone aktywne konta magazynu obszaru roboczego usługi Databricks, gdy plan jest już włączony w ramach subskrypcji.
Aby wykluczyć aktywny obszar roboczy usługi Databricks:
Zaloguj się w witrynie Azure Portal.
Przejdź dopozycji Tagiusługi Azure Databricks>
Your Databricks workspace
>.W polu Nazwa wprowadź wartość
AzDefenderPlanAutoEnable
.W polu Wartość wprowadź
off
, a następnie wybierz pozycję Zastosuj.Przejdź do Microsoft Defenderustawień>
Your subscription
środowiska chmury>.Wyłącz plan usługi Defender for Storage i wybierz pozycję Zapisz.
Włącz ponownie usługę Defender for Storage (klasyczną) przy użyciu jednej z obsługiwanych metod (nie można włączyć klasycznej usługi Defender for Storage z poziomu Azure Portal).
Tagi są dziedziczone przez konto magazynu obszaru roboczego usługi Databricks i uniemożliwiają włączenie usługi Defender for Storage.
Uwaga
Tagi nie można dodać bezpośrednio do konta usługi Databricks Storage ani zarządzanej grupy zasobów.
Zapobieganie automatycznemu publikowaniu na nowym koncie magazynu obszaru roboczego usługi Databricks
Podczas tworzenia nowego obszaru roboczego usługi Databricks możesz dodać tag uniemożliwiający automatyczne włączenie Microsoft Defender dla konta usługi Storage.
Aby zapobiec automatycznemu włączaniu na nowym koncie magazynu obszaru roboczego usługi Databricks:
Wykonaj następujące kroki , aby utworzyć nowy obszar roboczy usługi Azure Databricks.
Na karcie Tagi wprowadź tag o nazwie
AzDefenderPlanAutoEnable
.Wprowadź wartość
off
.Postępuj zgodnie z instrukcjami, aby utworzyć nowy obszar roboczy usługi Azure Databricks.
Microsoft Defender dla konta usługi Storage dziedziczy tag obszaru roboczego usługi Databricks, co uniemożliwia automatyczne włączenie usługi Defender for Storage.
Następne kroki
- Zapoznaj się z alertami dotyczącymi usługi Azure Storage
- Dowiedz się więcej o funkcjach i korzyściach usługi Defender for Storage
- Zapoznaj się z typowymi pytaniami dotyczącymi klasycznej usługi Defender for Storage.