Włączanie Microsoft Defender dla usługi Storage (wersja klasyczna)

  • Artykuł

W tym artykule wyjaśniono, jak włączyć i skonfigurować Microsoft Defender dla usługi Storage (klasycznej) w subskrypcjach przy użyciu różnych szablonów, takich jak program PowerShell, interfejs API REST i inne.

Możesz również uaktualnić do nowego Microsoft Defender planu magazynu i korzystać z zaawansowanych funkcji zabezpieczeń, w tym skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych. Skorzystaj z bardziej przewidywalnej i szczegółowej struktury cenowej, która pobiera opłaty za konto magazynu, z dodatkowymi kosztami transakcji o dużej ilości. Ten nowy plan cenowy obejmuje również wszystkie nowe funkcje zabezpieczeń i wykrycia.

Uwaga

Jeśli używasz usługi Defender for Storage (klasycznej) z cenami poszczególnych transakcji lub kont magazynu, musisz przeprowadzić migrację do nowego planu usługi Defender for Storage, aby uzyskać dostęp do tych funkcji i cen. Dowiedz się więcej o migracji do nowego planu usługi Defender for Storage.

Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Używa ona zaawansowanych funkcji wykrywania zagrożeń i danych usługi Microsoft Threat Intelligence w celu zapewnienia kontekstowych alertów zabezpieczeń. Te alerty obejmują również kroki ograniczania wykrytych zagrożeń i zapobiegania przyszłym atakom.

Microsoft Defender dla usługi Storage stale analizuje transakcje usług Azure Blob Storage, Azure Data Lake Storage i Azure Files. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Alerty są wyświetlane w Microsoft Defender dla chmury ze szczegółami podejrzanego działania, odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.

Przeanalizowane dane telemetryczne Azure Blob Storage obejmują typy operacji, takie jak Get Blob, Put Blob, Get Container ACL, List Blobs i Get Blob Properties. Przykłady analizowanych typów operacji Azure Files obejmują pobieranie plików, tworzenie plików, wyświetlanie listy plików, pobieranie właściwości pliku i umieszczanie zakresu.

Usługa Defender for Storage klasyczna nie uzyskuje dostępu do danych konta magazynu i nie ma wpływu na jej wydajność.

Dowiedz się więcej o korzyściach, funkcjach i ograniczeniach usługi Defender for Storage. Więcej informacji na temat usługi Defender for Storage można również dowiedzieć się w odcinku defender for Storage w usłudze Defender for Cloud w serii filmów wideo Field.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Ceny: Microsoft Defender dla usługi Storage jest rozliczana, jak pokazano w szczegółach cennika i w planach usługi Defender w Azure Portal
Chronione typy magazynów: Blob Storage (magazyn w warstwie Standardowa/Premium StorageV2, blokowe obiekty blob)
Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB)
Azure Data Lake Storage Gen2 (konta w warstwie Standardowa/Premium z włączonymi hierarchicznymi przestrzeniami nazw)
Chmury: Chmury komercyjne
Azure Government (tylko dla planu transakcji)
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
Połączone konta platformy AWS

Konfigurowanie Microsoft Defender dla usługi Storage (wersja klasyczna)

Konfigurowanie cen poszczególnych transakcji dla subskrypcji

W przypadku cennika usługi Defender for Storage za transakcję zalecamy włączenie usługi Defender for Storage dla każdej subskrypcji, aby wszystkie istniejące i nowe konta magazynu są chronione. Jeśli chcesz chronić tylko określone konta, skonfiguruj usługę Defender dla magazynu dla każdego konta.

Możesz skonfigurować Microsoft Defender dla usługi Storage w ramach subskrypcji na kilka sposobów:

Szablon narzędzia Terraform

Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu szablonu programu Terraform, dodaj ten fragment kodu do szablonu z identyfikatorem subskrypcji jako wartościąparent_id:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Aby wyłączyć plan, ustaw pricingTier wartość właściwości na Free i usuń subPlan właściwość.

Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu usługi ARM.

Szablon Bicep

Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu usługi Bicep, dodaj następujący kod do szablonu Bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Aby wyłączyć plan, ustaw pricingTier wartość właściwości na Free i usuń subPlan właściwość.

Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu Bicep.

Szablon ARM

Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu szablonu usługi ARM, dodaj ten fragment kodu JSON do sekcji zasobów szablonu usługi ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Aby wyłączyć plan, ustaw pricingTier wartość właściwości na Free i usuń subPlan właściwość.

Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu usługi ARM.

PowerShell

Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu programu PowerShell:

  1. Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.

  2. Connect-AzAccount Użyj polecenia cmdlet , aby zalogować się do konta platformy Azure. Dowiedz się więcej o logowaniu się na platformę Azure przy użyciu Azure PowerShell.

  3. Użyj tych poleceń, aby zarejestrować subskrypcję w Microsoft Defender dla dostawcy zasobów w chmurze:

    Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

    Zastąp <subscriptionId> element identyfikatorem subskrypcji.

  4. Włącz Microsoft Defender dla usługi Storage dla subskrypcji za Set-AzSecurityPricing pomocą polecenia cmdlet :

    Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"

Porada

Możesz użyć GetAzSecurityPricing (Az_Security), aby wyświetlić wszystkie plany usługi Defender for Cloud, które są włączone dla subskrypcji.

Aby wyłączyć plan, ustaw -PricingTier wartość właściwości na Free.

Dowiedz się więcej na temat korzystania z programu PowerShell z Microsoft Defender for Cloud.

Interfejs wiersza polecenia platformy Azure

Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu interfejsu wiersza polecenia platformy Azure:

  1. Jeśli jeszcze go nie masz, zainstaluj interfejs wiersza polecenia platformy Azure.

  2. az login Użyj polecenia , aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  3. Użyj tych poleceń, aby ustawić identyfikator subskrypcji i nazwę:

    az account set --subscription "<subscriptionId or name>"

    Zastąp <subscriptionId> element identyfikatorem subskrypcji.

  4. Włącz Microsoft Defender dla usługi Storage dla subskrypcji za az security pricing create pomocą polecenia :

    az security pricing create -n StorageAccounts --tier "standard"

Porada

Możesz użyć az security pricing show polecenia , aby wyświetlić wszystkie plany usługi Defender for Cloud, które są włączone dla subskrypcji.

Aby wyłączyć plan, ustaw -tier wartość właściwości na free.

Dowiedz się więcej o poleceniu az security pricing create .

Interfejs API REST

Aby włączyć Microsoft Defender dla usługi Storage na poziomie subskrypcji z cenami za transakcję przy użyciu Microsoft Defender dla interfejsu API REST chmury, utwórz żądanie PUT z tym punktem końcowym i treścią:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Zastąp {subscriptionId} element identyfikatorem subskrypcji.

Aby wyłączyć plan, ustaw -pricingTier wartość właściwości na Free i usuń subPlan parametr .

Dowiedz się więcej o aktualizowaniu planów usługi Defender za pomocą interfejsu API REST w językach HTTP, Java, Go i JavaScript.

Konfigurowanie cen poszczególnych transakcji dla konta magazynu

Na kilka sposobów można skonfigurować Microsoft Defender dla usługi Storage przy użyciu cen poszczególnych transakcji na kontach:

Szablon ARM

Aby włączyć Microsoft Defender dla magazynu dla określonego konta magazynu z cenami za transakcję przy użyciu szablonu usługi ARM, użyj przygotowanego szablonu platformy Azure.

Jeśli chcesz wyłączyć usługę Defender for Storage na koncie:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do konta magazynu.
  3. W sekcji Zabezpieczenia i sieć w menu Konto magazynu wybierz pozycję Microsoft Defender dla chmury.
  4. Wybierz pozycję Wyłącz.

PowerShell

Aby włączyć Microsoft Defender dla magazynu dla określonego konta magazynu z cenami za transakcję przy użyciu programu PowerShell:

  1. Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.

  2. Użyj polecenia cmdlet Connect-AzAccount, aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu Azure PowerShell.

  3. Włącz Microsoft Defender dla magazynu dla żądanego konta magazynu za pomocą Enable-AzSecurityAdvancedThreatProtection polecenia cmdlet:

    Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

    Zastąp <subscriptionId>wartości , <resource-group>i <storage-account> wartościami środowiska.

Jeśli chcesz wyłączyć ceny za transakcję dla określonego konta magazynu, użyj Disable-AzSecurityAdvancedThreatProtection polecenia cmdlet:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Dowiedz się więcej o korzystaniu z programu PowerShell z Microsoft Defender for Cloud.

Interfejs wiersza polecenia platformy Azure

Aby włączyć Microsoft Defender dla usługi Storage dla określonego konta magazynu z cenami na transakcję przy użyciu interfejsu wiersza polecenia platformy Azure:

  1. Jeśli jeszcze go nie masz, zainstaluj interfejs wiersza polecenia platformy Azure.

  2. Użyj polecenia , az login aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  3. Włącz Microsoft Defender dla usługi Storage dla subskrypcji za az security atp storage update pomocą polecenia :

    az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled true

Porada

Możesz użyć az security atp storage show polecenia , aby sprawdzić, czy usługa Defender for Storage jest włączona na koncie.

Aby wyłączyć Microsoft Defender dla usługi Storage dla subskrypcji, użyj az security atp storage update polecenia :

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Dowiedz się więcej na temat polecenia az security atp storage .

Wykluczanie konta magazynu z chronionej subskrypcji w ramach planu transakcji

Po włączeniu Microsoft Defender dla usługi Storage w ramach subskrypcji dla cen poszczególnych transakcji wszystkie bieżące i przyszłe konta usługi Azure Storage w tej subskrypcji są chronione. Określone konta magazynu można wykluczyć z ochrony usługi Defender for Storage przy użyciu Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Zalecamy włączenie usługi Defender for Storage w całej subskrypcji w celu ochrony wszystkich istniejących i przyszłych kont magazynu. Istnieją jednak przypadki, w których użytkownicy chcą wykluczyć określone konta magazynu z ochrony usługi Defender.

Wykluczenie kont magazynu z chronionych subskrypcji wymaga:

  1. Dodaj tag, aby zablokować dziedziczenie włączania subskrypcji.
  2. Wyłącz usługę Defender for Storage (klasyczną).

Uwaga

Rozważ uaktualnienie do nowego planu usługi Defender for Storage, jeśli masz konta magazynu, które chcesz wykluczyć z klasycznego planu usługi Defender for Storage. Nie tylko zaoszczędzisz na kosztach kont z dużą liczbą transakcji, ale uzyskasz również dostęp do rozszerzonych funkcji zabezpieczeń. Dowiedz się więcej o korzyściach związanych z migracją do nowego planu.

Wykluczone konta magazynu w klasycznym programie Defender for Storage nie są automatycznie wykluczane podczas migracji do nowego planu.

Wykluczanie ochrony konta usługi Azure Storage w subskrypcji przy użyciu cen poszczególnych transakcji

Aby wykluczyć konto usługi Azure Storage z Microsoft Defender dla usługi Storage (wersja klasyczna), możesz użyć:

Wykluczanie konta usługi Azure Storage przy użyciu programu PowerShell

  1. Jeśli nie masz zainstalowanego modułu Azure Az programu PowerShell, zainstaluj go, korzystając z instrukcji z dokumentacji Azure PowerShell.

  2. Za pomocą uwierzytelnionego konta nawiąż połączenie z platformą Azure za Connect-AzAccount pomocą polecenia cmdlet , jak wyjaśniono w temacie Logowanie przy użyciu Azure PowerShell.

  3. Zdefiniuj tag AzDefenderPlanAutoEnable na koncie magazynu za Update-AzTag pomocą polecenia cmdlet (zastąp wartość ResourceId identyfikatorem zasobu odpowiedniego konta magazynu):

    Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge

    Jeśli pominiesz ten etap, zasoby bez tagów będą nadal otrzymywać codzienne aktualizacje z zasad włączania poziomu subskrypcji. Te zasady ponownie włączają usługę Defender for Storage na koncie. Dowiedz się więcej o tagach w temacie Używanie tagów do organizowania zasobów platformy Azure i hierarchii zarządzania.

  4. Wyłącz Microsoft Defender dla magazynu dla żądanego konta w odpowiedniej subskrypcji za Disable-AzSecurityAdvancedThreatProtection pomocą polecenia cmdlet (przy użyciu tego samego identyfikatora zasobu):

    Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>

    Dowiedz się więcej na temat tego polecenia cmdlet.

Wykluczanie konta usługi Azure Storage przy użyciu interfejsu wiersza polecenia platformy Azure

  1. Jeśli nie masz zainstalowanego interfejsu wiersza polecenia platformy Azure, zainstaluj go, korzystając z instrukcji z dokumentacji interfejsu wiersza polecenia platformy Azure.

  2. Korzystając z uwierzytelnionego konta, połącz się z platformą Azure za pomocą polecenia opisanego login w temacie Logowanie za pomocą interfejsu wiersza polecenia platformy Azure i wprowadź poświadczenia konta po wyświetleniu monitu:

    az login

  3. Zdefiniuj tag AzDefenderPlanAutoEnable na koncie tag update magazynu za pomocą polecenia (zastąp identyfikator zasobu odpowiednim kontem magazynu):

    az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off

    Jeśli pominiesz ten etap, zasoby bez tagów będą nadal otrzymywać codzienne aktualizacje z zasad włączania poziomu subskrypcji. Te zasady ponownie włączają usługę Defender for Storage na koncie.

    Porada

    Dowiedz się więcej o tagach w elemecie az tag.

  4. Wyłącz Microsoft Defender dla magazynu dla żądanego konta w odpowiedniej subskrypcji za security atp storage pomocą polecenia (przy użyciu tego samego identyfikatora zasobu):

    az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false

    Dowiedz się więcej o tym poleceniu.

Wykluczanie konta usługi Azure Databricks Storage

Wykluczanie aktywnego obszaru roboczego usługi Databricks

Microsoft Defender dla usługi Storage może wykluczyć określone aktywne konta magazynu obszaru roboczego usługi Databricks, gdy plan jest już włączony w ramach subskrypcji.

Aby wykluczyć aktywny obszar roboczy usługi Databricks:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź dopozycji Tagiusługi Azure Databricks>Your Databricks workspace>.

  3. W polu Nazwa wprowadź wartość AzDefenderPlanAutoEnable.

  4. W polu Wartość wprowadź off , a następnie wybierz pozycję Zastosuj.

    Zrzut ekranu przedstawiający lokalizację i sposób stosowania tagu do konta usługi Azure Databricks.

  5. Przejdź do Microsoft Defenderustawień>Your subscription środowiska chmury>.

  6. Wyłącz plan usługi Defender for Storage i wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający sposób wyłączania planu usługi Defender for Storage.

  7. Włącz ponownie usługę Defender for Storage (klasyczną) przy użyciu jednej z obsługiwanych metod (nie można włączyć klasycznej usługi Defender for Storage z poziomu Azure Portal).

Tagi są dziedziczone przez konto magazynu obszaru roboczego usługi Databricks i uniemożliwiają włączenie usługi Defender for Storage.

Uwaga

Tagi nie można dodać bezpośrednio do konta usługi Databricks Storage ani zarządzanej grupy zasobów.

Zapobieganie automatycznemu publikowaniu na nowym koncie magazynu obszaru roboczego usługi Databricks

Podczas tworzenia nowego obszaru roboczego usługi Databricks możesz dodać tag uniemożliwiający automatyczne włączenie Microsoft Defender dla konta usługi Storage.

Aby zapobiec automatycznemu włączaniu na nowym koncie magazynu obszaru roboczego usługi Databricks:

  1. Wykonaj następujące kroki , aby utworzyć nowy obszar roboczy usługi Azure Databricks.

  2. Na karcie Tagi wprowadź tag o nazwie AzDefenderPlanAutoEnable.

  3. Wprowadź wartość off.

    Zrzut ekranu przedstawiający sposób tworzenia tagu w obszarze roboczym usługi Databricks.

  4. Postępuj zgodnie z instrukcjami, aby utworzyć nowy obszar roboczy usługi Azure Databricks.

Microsoft Defender dla konta usługi Storage dziedziczy tag obszaru roboczego usługi Databricks, co uniemożliwia automatyczne włączenie usługi Defender for Storage.

Następne kroki