Включение Microsoft Defender для хранилища (классическая модель)

В этой статье объясняется, как включить и настроить Microsoft Defender для хранилища (классическая модель) в подписках с помощью различных шаблонов, таких как PowerShell, REST API и другие.

Вы также можете выполнить обновление до нового Microsoft Defender для плана хранилища и использовать расширенные возможности безопасности, включая сканирование вредоносных программ и обнаружение угроз для конфиденциальных данных. Используйте более предсказуемую и детализированную структуру ценообразования, которая взимает плату за каждую учетную запись хранения, а также дополнительные затраты на транзакции большого объема. Этот новый тарифный план также охватывает все новые функции безопасности и обнаружения.

Примечание

Если вы используете Defender для хранилища (классическая модель) с ценами на каждую транзакцию или учетную запись хранения, вам потребуется перейти на новый план Defender для хранилища, чтобы получить доступ к этим функциям и ценам. Узнайте о переходе на новый план Defender для хранилища.

Microsoft Defender для хранилища — это собственный уровень аналитики безопасности Azure, позволяющий обнаруживать необычные и потенциально опасные попытки доступа к вашим учетным записям хранения или их использования. Это решение использует расширенные возможности обнаружения угроз и данные анализа угроз Майкрософт, предлагая на их основе контекстных оповещения о безопасности. Эти оповещения также включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.

Microsoft Defender для службы хранилища постоянно анализирует транзакции служб Хранилище BLOB-объектов Azure, Azure Data Lake Storage и Файлы Azure. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Оповещения отображаются в Microsoft Defender для облака с подробными сведениями о подозрительных действиях, соответствующими действиями по расследованию, действиями по исправлению и рекомендациями по безопасности.

Анализируемые данные телеметрии Хранилища BLOB-объектов Azure включают такие типы операций, как получение BLOB-объекта, размещение BLOB-объекта, получение ACL контейнера, получение списка BLOB-объектови получение свойств BLOB-объекта. Примеры анализируемых типов операций службы Файлов Azure включают получение файла, создание файла, получение списка файлов, получение свойств файлаи размещение диапазона.

Классический Defender для хранилища не обращается к данным учетной записи хранения и не влияет на ее производительность.

Узнайте больше о преимуществах, функциях и ограничениях Defender для хранилища. Вы также можете узнать больше о Defender для хранилища в серии видеоматериалов Defender для облака в полевых условиях.

Доступность

Аспект	Сведения
Состояние выпуска:	Общедоступная версия
Цены	плата за Microsoft Defender для службы хранилища взимается, как показано в сведениях о ценах и в планах Defender в портал Azure
Типы защищенного хранилища:	Хранилище BLOB-объектов (класса Standard/Premium StorageV2, блочные BLOB-объекты) Файлы Azure (через REST API и SMB) Azure Data Lake Storage 2-го поколения (учетные записи Standard/Premium с включенными иерархическими пространствами имен)
Облако.	Коммерческие облака Azure для государственных организаций (только для плана транзакций) Microsoft Azure под управлением 21Vianet Подключенные учетные записи AWS.

Настройка Microsoft Defender для хранилища (классическая модель)

Настройка цен на каждую транзакцию для подписки

Для цен на Defender для хранилища на транзакцию рекомендуется включить Defender для хранилища для каждой подписки, чтобы защитить все существующие и новые учетные записи хранения. Если вы хотите защитить только определенные учетные записи, настройте Defender для хранилища для каждой учетной записи.

Настроить Microsoft Defender для хранилища в подписках можно несколькими способами:

• Шаблон Terraform
• Шаблон Bicep
• Шаблон ARM
• PowerShell
• Azure CLI
• REST API

Шаблон Terraform

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами за транзакцию с помощью шаблона Terraform, добавьте в шаблон следующий фрагмент кода с идентификатором подписки в parent_id качестве значения:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Чтобы отключить план, задайте pricingTier для свойства значение Free и удалите subPlan свойство .

Дополнительные сведения о шаблоне ARM в справочнике по AzAPI.

Шаблон Bicep

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакции с помощью Bicep, добавьте в шаблон Bicep следующее:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Чтобы отключить план, задайте pricingTier для свойства значение Free и удалите subPlan свойство .

Дополнительные сведения см. в справочнике по AzAPI шаблона Bicep.

Шаблон ARM

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами за транзакцию с помощью шаблона ARM, добавьте этот фрагмент JSON в раздел ресурсов шаблона ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Чтобы отключить план, задайте pricingTier для свойства значение Free и удалите subPlan свойство .

Дополнительные сведения о шаблоне ARM в справочнике по AzAPI.

PowerShell

Чтобы включить Microsoft Defender для хранилища на уровне подписки с ценами на транзакцию с помощью PowerShell:

1. Если у вас его еще нет, установите модуль Azure Az PowerShell.

2. Connect-AzAccount Используйте командлет , чтобы войти в учетную запись Azure. Узнайте больше о входе в Azure с помощью Azure PowerShell.

3. Используйте следующие команды, чтобы зарегистрировать подписку на Microsoft Defender для поставщика облачных ресурсов:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Замените <subscriptionId> идентификатором своей подписки.

4. Включите Microsoft Defender для службы хранилища для подписки с помощью командлета Set-AzSecurityPricing :

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Совет

Вы можете использовать GetAzSecurityPricing (Az_Security), чтобы просмотреть все планы Defender для облака, которые включены для подписки.

Чтобы отключить план, задайте -PricingTier для свойства значение Free.

Узнайте больше об использовании PowerShell с Microsoft Defender для облака.

Azure CLI

Чтобы включить Microsoft Defender для службы хранилища на уровне подписки с ценами за транзакцию с помощью Azure CLI:

1. Если у вас его еще нет, установите Azure CLI.

2. Выполните команду , az login чтобы войти в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure CLI.

3. Используйте следующие команды, чтобы задать идентификатор и имя подписки:

   az account set --subscription "<subscriptionId or name>"
   

   Замените <subscriptionId> идентификатором своей подписки.

4. Включите Microsoft Defender для службы хранилища для подписки с помощью az security pricing create команды :

   az security pricing create -n StorageAccounts --tier "standard"
   

Совет

С помощью az security pricing show команды можно просмотреть все планы Defender для облака, включенные для подписки.

Чтобы отключить план, задайте -tier для свойства значение free.

Дополнительные сведения о команде az security pricing create .

REST API

Чтобы включить Microsoft Defender для службы хранилища на уровне подписки с ценами за транзакцию с помощью Microsoft Defender для облачного REST API, создайте запрос PUT с этой конечной точкой и текстом:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Замените {subscriptionId} идентификатором своей подписки.

Чтобы отключить план, задайте -pricingTier для свойства значение Free и удалите subPlan параметр .

Узнайте больше об обновлении планов Defender с помощью REST API в HTTP, Java, Go и JavaScript.

Настройка цен на каждую транзакцию для учетной записи хранения

Вы можете настроить Microsoft Defender для хранилища с ценами на транзакцию в учетных записях несколькими способами.

• Шаблон ARM
• PowerShell
• Azure CLI

Шаблон ARM

Чтобы включить Microsoft Defender для службы хранилища для определенной учетной записи хранения с ценами на транзакции с помощью шаблона ARM, используйте подготовленный шаблон Azure.

Если вы хотите отключить Defender для хранилища в учетной записи, выполните следующие действия.

1. Войдите на портал Azure.
2. Войдите в свою учетную запись хранения.
3. В разделе Безопасность и сеть в меню Учетная запись хранения выберите Microsoft Defender для облака.
4. Выберите Отключить.

PowerShell

Чтобы включить Microsoft Defender для службы хранилища для определенной учетной записи хранения с расценкой за транзакцию с помощью PowerShell:

1. Если у вас его еще нет, установите модуль Azure Az PowerShell.

2. Используйте командлет Connect-AzAccount для входа в учетную запись Azure. Узнайте больше о входе в Azure с помощью Azure PowerShell.

3. Включите Microsoft Defender для службы хранилища для нужной учетной записи хранения с помощью командлета Enable-AzSecurityAdvancedThreatProtection :

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Замените <subscriptionId>, <resource-group>и <storage-account> значениями для вашей среды.

Если вы хотите отключить цены на транзакции для определенной учетной записи хранения, используйте Disable-AzSecurityAdvancedThreatProtection командлет :

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Дополнительные сведения об использовании PowerShell с Microsoft Defender для облака.

Azure CLI

Чтобы включить Microsoft Defender для службы хранилища для определенной учетной записи хранения с расценкой за транзакцию с помощью Azure CLI, выполните указанные действия.

1. Если у вас его еще нет, установите Azure CLI.

2. Используйте команду , az login чтобы войти в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure CLI.

3. Включите Microsoft Defender для службы хранилища для подписки с помощью az security atp storage update команды :

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Совет

Вы можете использовать команду , az security atp storage show чтобы узнать, включен ли Defender для хранилища в учетной записи.

Чтобы отключить Microsoft Defender для службы хранилища для подписки, используйте az security atp storage update команду :

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Дополнительные сведения о команде az security atp storage .

Исключение учетной записи хранения из защищенной подписки в плане транзакции

При включении Microsoft Defender для службы хранилища в подписке по ценам за транзакцию все текущие и будущие учетные записи хранения Azure в этой подписке будут защищены. Вы можете исключить определенные учетные записи хранения из защиты Defender для хранилища с помощью портал Azure, PowerShell или Azure CLI.

Мы рекомендуем включить Defender для хранилища во всей подписке, чтобы защитить все существующие и будущие учетные записи хранения в ней. Однако в некоторых случаях пользователи хотят исключить определенные учетные записи хранения из защиты Defender.

Для исключения учетных записей хранения из защищенных подписок необходимо:

1. Добавьте тег, чтобы заблокировать наследование включения подписки.
2. Отключите Defender для хранилища (классический).

Примечание

Рассмотрите возможность обновления до нового плана Defender для хранилища, если у вас есть учетные записи хранения, которые вы хотите исключить из классического плана Defender для хранилища. Вы не только сэкономите затраты на учетные записи с большим количеством транзакций, но и получите доступ к расширенным функциям безопасности. Узнайте больше о преимуществах перехода на новый план.

Исключенные учетные записи хранения в классической версии Defender для хранилища не исключаются автоматически при переходе на новый план.

Исключение защиты учетной записи хранения Azure в подписке с расценкой за транзакцию

Чтобы исключить учетную запись хранения Azure из Microsoft Defender для службы хранилища (классическая версия), можно использовать:

• PowerShell
• Azure CLI

Исключение учетной записи службы хранилища Azure с помощью PowerShell

1. Если модуль Azure Az PowerShell не установлен, установите его, следуя инструкциям в документации по Azure PowerShell.

2. Используя проверенную учетную запись, подключитесь к Azure с помощью командлета Connect-AzAccount, как описано в статье Вход с помощью Azure PowerShell.

3. Определите тег AzDefenderPlanAutoEnable в учетной записи хранения с помощью командлета Update-AzTag (замените ResourceId на идентификатор ресурса соответствующей учетной записи хранения):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Если пропустить этот этап, ваши ресурсы без поддержки по-прежнему будут получать ежедневные обновления из политики включения уровня подписки. Эта политика снова включает Defender для хранилища в учетной записи. Дополнительные сведения о тегах см. в статье Использование тегов для упорядочения ресурсов Azure и создания иерархии управления.

4. Отключите Microsoft Defender для хранилища для нужной учетной записи в соответствующей подписке с помощью командлета Disable-AzSecurityAdvancedThreatProtection (используя тот же идентификатор ресурса):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Дополнительные сведения об этом командлете.

Исключение учетной записи службы хранилища Azure с помощью Azure CLI

1. Если интерфейс Azure CLI не установлен, установите его, следуя инструкциям из документации по Azure CLI.

2. Используя не проверенную учетную запись, подключитесь к Azure с помощью команды login, как описано в статье Вход с помощью Azure CLI, и введите учетные данные при появлении запроса:

   az login
   

3. Определите тег AzDefenderPlanAutoEnable в учетной записи хранения с помощью команды tag update (замените ResourceId на идентификатор ресурса соответствующей учетной записи хранения):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Если пропустить этот этап, ваши ресурсы без поддержки по-прежнему будут получать ежедневные обновления из политики включения уровня подписки. Эта политика снова включает Defender для хранилища в учетной записи.

   Совет

   Дополнительные сведения о тегах см. в описании az tag.

4. Отключите Microsoft Defender для хранилища для нужной учетной записи в соответствующей подписке с помощью команды security atp storage (используя тот же идентификатор ресурса):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Дополнительные сведения об этой команде.

Исключение учетной записи хранения Azure Databricks

Исключение активной рабочей области Databricks

В Microsoft Defender для хранилища можно исключить определенные активные учетные записи хранения рабочих областей Databricks, если план уже включен в подписке.

Исключение активной рабочей области Databricks

1. Войдите на портал Azure.

2. Выберите Azure Databricks>Your Databricks workspace>Теги.

3. В поле Имя введите AzDefenderPlanAutoEnable.

4. В поле Значение введите off и нажмите кнопку Применить.

   

5. Перейдите к разделу Microsoft Defender для облака>Параметры среды>Your subscription.

6. Установите для плана Defender для хранилища значение Выкл . и нажмите кнопку Сохранить.

   

7. Повторно включите Defender для хранилища (классический) с помощью одного из поддерживаемых методов (вы не можете включить Классический Defender для хранилища из портал Azure).

Теги наследуются учетной записью хранения рабочей области Databricks и не позволяют включить Defender для хранилища.

Примечание

Теги нельзя добавлять непосредственно в учетную запись хранения Databricks или в ее управляемую группу ресурсов.

Предотвращение автоматической синхронизации в новой учетной записи хранения рабочей области Databricks

При создании рабочей области Databricks вы можете добавить тег, который не позволяет автоматически включить Microsoft Defender для учетной записи хранения.

Блокирование автоматического включения в новой учетной записи хранения рабочей области Databricks

1. Выполните эти действия, чтобы создать рабочую область Azure Databricks.

2. На вкладке "Теги" введите тег с именем AzDefenderPlanAutoEnable.

3. Введите значение off.

   

4. Следуйте дальнейшим инструкциям, чтобы создать рабочую область Azure Databricks.

Microsoft Defender для учетной записи хранения наследует тег рабочей области Databricks, что предотвращает автоматическое включение Defender для хранилища.

Дальнейшие действия

• Ознакомьтесь с оповещениями для службы хранилища Azure.
• Узнайте о функциях и преимуществах Defender для хранилища
• Ознакомьтесь с распространенными вопросами о классической версии Defender для хранилища.