Поделиться через


Расширенные конфигурации для сканирования вредоносных программ

Сканирование вредоносных программ можно настроить для отправки результатов сканирования следующим образом:

  • Настраиваемый раздел сетки событий — для автоматического ответа почти в режиме реального времени на основе каждого результата сканирования.
  • Рабочая область Log Analytics — для хранения каждого результата сканирования в централизованном репозитории журналов для соответствия требованиям и аудита.

Узнайте больше о настройке ответа на результаты сканирования вредоносных программ.

Совет

Мы рекомендуем попробовать инструкции по обучению Ninja, практические лаборатории, чтобы попробовать сканирование вредоносных программ в Defender для хранилища, используя подробные пошаговые инструкции по тестированию вредоносных программ для проверки сквозного сканирования с настройкой ответов на сканирование результатов. Это часть проекта "лабораторий", который помогает клиентам приступить к работе с Microsoft Defender для облака и предоставляет практический опыт работы с ее возможностями.

Настройка ведения журнала для сканирования вредоносных программ

Для каждой учетной записи хранения, включенной с помощью сканирования вредоносных программ, можно определить назначение рабочей области Log Analytics для хранения каждого результата проверки в централизованном репозитории журналов, который легко запрашивать.

Перед отправкой результатов сканирования в Log Analytics создайте рабочую область Log Analytics или используйте существующую.

Чтобы настроить назначение Log Analytics, перейдите к соответствующей учетной записи хранения, откройте вкладку Microsoft Defender для облака и выберите параметры для настройки.

Снимок экрана: настройка назначения Log Analytics для журнала сканирования.

Эту конфигурацию можно выполнить с помощью REST API, а также:

Запрос URL-адреса:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Запрос текста.

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Примечание.

В портал Azure перечислены рабочие области Log Analytics из той же подписки, что и учетная запись хранения. REST API можно использовать для настройки рабочей области Log Analytics из другой подписки одного клиента, как описано выше. Результаты сканирования записываются в таблицу с именем StorageMalwareScanningResults. Эта таблица создается при записи первого результата сканирования.

Настройка сетки событий для сканирования вредоносных программ

Для каждой учетной записи хранения, включенной с помощью сканирования вредоносных программ, можно настроить отправку каждого результата сканирования с помощью события Сетки событий для автоматизации.

  1. Чтобы настроить сетку событий для отправки результатов сканирования, сначала необходимо заранее создать пользовательский раздел. Ознакомьтесь с документацией по службе "Сетка событий" по созданию пользовательских разделов для получения рекомендаций. Убедитесь, что пользовательский раздел сетки событий назначения создается в том же регионе, что и учетная запись хранения, из которой требуется отправить результаты сканирования.

  2. Чтобы настроить назначение настраиваемого раздела сетки событий, перейдите к соответствующей учетной записи хранения, откройте вкладку Microsoft Defender для облака и выберите параметры для настройки.

Примечание.

При настройке настраиваемого раздела Сетки событий необходимо задать для параметра Override Defender для подписки хранилища значение "Вкл .", чтобы убедиться, что он переопределяет параметры уровня подписки.

Снимок экрана, на котором показано, где включить назначение сетки событий для журналов сканирования.

Примечание.

В портал Azure перечислены разделы сетки событий из той же подписки, что и учетная запись хранения. REST API можно использовать для настройки раздела сетки событий из другой подписки одного клиента, как описано ниже. Эту конфигурацию можно выполнить с помощью REST API, а также:

Запрос URL-адреса:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Запрос текста.

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Переопределение параметров уровня подписки в Defender для хранилища

Параметры уровня подписки наследуют параметры Defender для хранения для каждой учетной записи хранения в подписке. Используйте параметры уровня подписки в Переопределении Defender для хранилища, чтобы настроить параметры для отдельных учетных записей хранения, отличных от настроенных на уровне подписки.

Переопределение параметров подписок обычно используется для следующих сценариев:

  • Включите или отключите функцию сканирования вредоносных программ или функции обнаружения угроз конфиденциальности данных.
  • Настройте настраиваемые параметры для сканирования вредоносных программ.
  • Отключите Microsoft Defender для хранения в определенных учетных записях хранения.

Примечание.

Рекомендуется включить Defender для хранилища во всей подписке для защиты всех существующих и будущих учетных записей хранения. Однако в некоторых случаях требуется исключить определенные учетные записи хранения из защиты Defender. Если вы решили исключить, выполните приведенные ниже действия, чтобы использовать параметр переопределения, а затем отключить соответствующую учетную запись хранения. Если вы используете Defender для хранения (классическая модель), вы также можете исключить учетные записи хранения.

Портал Azure

Чтобы настроить параметры отдельных учетных записей хранения, отличных от настроенных на уровне подписки, с помощью портал Azure:

  1. Войдите на портал Azure.

  2. Перейдите к учетной записи хранения, для которой хотите изменить пользовательские настройки.

  3. В меню учетной записи хранения в разделе "Безопасность и сеть" выберите Microsoft Defender для облака.

  4. Выберите параметры в Microsoft Defender для хранилища.

  5. Задайте для параметра "Переопределение Защитника для хранилища" на уровне подписки (в разделе "Дополнительные параметры") значение "Вкл.". Это гарантирует, что настройки сохранятся только для этой учетной записи хранения и их не переопределят настройки подписки.

  6. Настройте параметры, которые нужно изменить:

    1. Чтобы включить сканирование вредоносных программ или обнаружение угроз конфиденциальных данных, задайте для состояния "Вкл.

    2. Чтобы изменить настройки сканирования на наличие вредоносного ПО:

      1. Переключите проверку вредоносных программ в режим "Вкл.", если она еще не включена.

      2. Чтобы настроить ежемесячное пороговое значение для сканирования вредоносных программ в учетных записях хранения, можно изменить параметр с именем Set limit of GB scanned в месяц в нужное значение. Этот параметр определяет максимальный объем данных, который можно просканировать на наличие вредоносного ПО в месяц, в частности для каждой учетной записи хранения. Если вы не хотите устанавливать ограничение, деактивируйте этот параметр. По умолчанию задано ограничение 5000 ГБ.

  7. Чтобы отключить Defender для хранения в этой учетной записи хранения, установите для microsoft Defender значение Off.

    Снимок экрана: место отключения Defender для хранилища в портал Azure.

    Выберите Сохранить.

REST API

Чтобы настроить параметры отдельных учетных записей хранения, отличных от параметров, настроенных на уровне подписки, с помощью REST API:

Создайте запрос PUT с этой конечной точкой. Замените значения в URL-адресе конечной точки: вместо subscriptionId укажите собственный идентификатор подписки Azure, вместо resourceGroupName — имя группы ресурсов, а вместо accountName — имя учетной записи хранения.

Запрос URL-адреса:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Запрос текста.

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}
  1. Чтобы включить обнаружение угроз для сканирования вредоносных программ или конфиденциальных данных, задайте значение isEnabled значение true в соответствии с соответствующими функциями.

  2. Чтобы изменить параметры сканирования вредоносных программ, измените соответствующие поля в onUpload, убедитесь, что значение isEnabled имеет значение true. Если требуется разрешить неограниченное сканирование, назначьте значение -1 параметру capGBPerMonth.

  3. Чтобы отключить Defender для службы хранилища в этой учетной записи хранения, используйте такой текст запроса:

    {
        "properties": {
            "isEnabled": false,
            "overrideSubscriptionLevelSettings": true
        }
    }
    

Убедитесь, что вы добавили параметр overrideSubscriptionLevelSettings и его значение имеет значение true. Это гарантирует, что настройки сохранятся только для этой учетной записи хранения и их не переопределят настройки подписки.

Следующий шаг

Дополнительные сведения о параметрах сканирования вредоносных программ.