Расширенные конфигурации для сканирования вредоносных программ

  • Статья

Сканирование вредоносных программ можно настроить для отправки результатов сканирования следующим образом:

  • Настраиваемый раздел сетки событий — для автоматического ответа почти в режиме реального времени на основе каждого результата сканирования.
  • Рабочая область Log Analytics — для хранения каждого результата сканирования в централизованном репозитории журналов для соответствия требованиям и аудита.

Узнайте больше о настройке ответа на результаты сканирования вредоносных программ.

Совет

Мы рекомендуем попробовать инструкции по обучению Ninja, практические лаборатории, чтобы попробовать проверку вредоносных программ в Defender для служба хранилища, используя подробные пошаговые инструкции по тестированию вредоносных программ для проверки сквозных результатов с настройкой ответов на сканирование результатов. Это часть проекта "лабораторий", который помогает клиентам приступить к работе с Microsoft Defender для облака и предоставляет практический опыт работы с ее возможностями.

Настройка ведения журнала для сканирования вредоносных программ

Для каждой учетной записи хранения, включенной с помощью сканирования вредоносных программ, можно определить назначение рабочей области Log Analytics для хранения каждого результата проверки в централизованном репозитории журналов, который легко запрашивать.

Снимок экрана: настройка назначения Log Analytics для журнала сканирования.

Перед отправкой результатов сканирования в Log Analytics создайте рабочую область Log Analytics или используйте существующую.

Чтобы настроить назначение Log Analytics, перейдите к соответствующей учетной записи хранения, откройте вкладку Microsoft Defender для облака и выберите параметры для настройки.

Эту конфигурацию можно выполнить с помощью REST API, а также:

Запрос URL-адреса:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Запрос текста.

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Настройка сетки событий для сканирования вредоносных программ

Для каждой учетной записи хранения, включенной с помощью сканирования вредоносных программ, можно настроить отправку каждого результата сканирования с помощью события Сетки событий для автоматизации.

  1. Чтобы настроить сетку событий для отправки результатов сканирования, сначала необходимо заранее создать пользовательский раздел. Ознакомьтесь с документацией по службе "Сетка событий" по созданию пользовательских разделов для получения рекомендаций. Убедитесь, что пользовательский раздел сетки событий назначения создается в том же регионе, что и учетная запись хранения, из которой требуется отправить результаты сканирования.

  2. Чтобы настроить назначение настраиваемого раздела сетки событий, перейдите к соответствующей учетной записи хранения, откройте вкладку Microsoft Defender для облака и выберите параметры для настройки.

Примечание.

При настройке настраиваемого раздела Сетки событий необходимо задать параметр Override Defender для служба хранилища параметров уровня подписки, чтобы убедиться, что он переопределяет параметры уровня подписки.

Снимок экрана, на котором показано, где включить назначение сетки событий для журналов сканирования.

Эту конфигурацию можно выполнить с помощью REST API, а также:

Запрос URL-адреса:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Запрос текста.

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Переопределение параметров Defender для служба хранилища уровня подписки

Параметры уровня подписки наследуют параметры Defender для служба хранилища параметров для каждой учетной записи хранения в подписке. Используйте Override Defender для служба хранилища параметров уровня подписки, чтобы настроить параметры для отдельных учетных записей хранения, отличных от настроенных на уровне подписки.

Переопределение параметров подписок обычно используется для следующих сценариев:

  • Включите или отключите функцию сканирования вредоносных программ или функции обнаружения угроз конфиденциальности данных.
  • Настройте настраиваемые параметры для сканирования вредоносных программ.
  • Отключите Microsoft Defender для служба хранилища в определенных учетных записях хранения.

Примечание.

Рекомендуется включить Defender для служба хранилища всей подписки для защиты всех существующих и будущих учетных записей хранения. Однако в некоторых случаях требуется исключить определенные учетные записи хранения из защиты Defender. Если вы решили исключить, выполните приведенные ниже действия, чтобы использовать параметр переопределения, а затем отключить соответствующую учетную запись хранения. Если вы используете Defender для служба хранилища (классическая версия), вы также можете исключить учетные записи хранения.

Портал Azure

Чтобы настроить параметры отдельных учетных записей хранения, отличных от настроенных на уровне подписки, с помощью портал Azure:

  1. Войдите на портал Azure.

  2. Перейдите к учетной записи хранения, для которой хотите изменить пользовательские настройки.

  3. В меню учетной записи хранения в разделе "Безопасность и сеть" выберите Microsoft Defender для облака.

  4. Выберите Параметры в Microsoft Defender для служба хранилища.

  5. Задайте для параметра "Дополнительно" состояние Override Defender для служба хранилища параметров уровня подписки (в разделе "Дополнительные параметры") значение "Вкл.". Это гарантирует, что настройки сохранятся только для этой учетной записи хранения и их не переопределят настройки подписки.

  6. Настройте параметры, которые нужно изменить:

    1. Чтобы включить сканирование вредоносных программ или обнаружение угроз конфиденциальных данных, задайте для состояния "Вкл.

    2. Чтобы изменить настройки сканирования на наличие вредоносного ПО:

      1. Переключите проверкувредоносных программ в режим "Вкл.", если она еще не включена.

      2. Чтобы настроить ежемесячное пороговое значение для сканирования вредоносных программ в учетных записях хранения, можно изменить параметр с именем Set limit of GB scanned в месяц в нужное значение. Этот параметр определяет максимальный объем данных, который можно просканировать на наличие вредоносного ПО в месяц, в частности для каждой учетной записи хранения. Если вы не хотите устанавливать ограничение, деактивируйте этот параметр. По умолчанию задано ограничение 5000 ГБ.

  7. Чтобы отключить Defender для служба хранилища в этой учетной записи хранения, задайте состояние Microsoft Defender для служба хранилища отключено.

    Снимок экрана: место отключения Defender для служба хранилища в портал Azure.

    Выберите Сохранить.

REST API

Чтобы настроить параметры отдельных учетных записей хранения, отличных от параметров, настроенных на уровне подписки, с помощью REST API:

Создайте запрос PUT с этой конечной точкой. Замените значения в URL-адресе конечной точки: вместо subscriptionId укажите собственный идентификатор подписки Azure, вместо resourceGroupName — имя группы ресурсов, а вместо accountName — имя учетной записи хранения.

Запрос URL-адреса:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Запрос текста.

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Чтобы включить обнаружение угроз для сканирования вредоносных программ или конфиденциальных данных, задайте значение isEnabled значение true в соответствии с соответствующими функциями.

  2. Чтобы изменить параметры сканирования вредоносных программ, измените соответствующие поля в onUpload, убедитесь, что значение isEnabled имеет значение true. Если требуется разрешить неограниченное сканирование, назначьте значение -1 параметру capGBPerMonth.

  3. Чтобы отключить Defender для службы хранилища в этой учетной записи хранения, используйте такой текст запроса:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Убедитесь, что вы добавили параметр overrideSubscriptionLevelSettings и его значение имеет значение true. Это гарантирует, что настройки сохранятся только для этой учетной записи хранения и их не переопределят настройки подписки.

Следующий шаг

Дополнительные сведения о параметрах сканирования вредоносных программ.