Включение и настройка с помощью шаблонов кода инфраструктуры
Рекомендуется включить Defender для служба хранилища на уровне подписки. Это гарантирует защиту всех учетных записей хранения в подписке, включая будущие.
Совет
Вы всегда можете настроить определенные учетные записи хранения с пользовательскими конфигурациями, которые отличаются от параметров, настроенных на уровне подписки (переопределение параметров уровня подписки).
Шаблон Terraform
Чтобы включить и настроить Microsoft Defender для служба хранилища на уровне подписки с помощью Terraform, можно использовать следующий фрагмент кода:
resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
tier = "Standard"
resource_type = "StorageAccounts"
subplan = "DefenderForStorageV2"
extension {
name = "OnUploadMalwareScanning"
additional_extension_properties = {
CapGBPerMonthPerStorageAccount = "5000"
}
}
extension {
name = "SensitiveDataDiscovery"
}
}
Изменение ежемесячного ограничения для сканирования вредоносных программ:
Чтобы изменить ежемесячное ограничение для сканирования вредоносных программ для каждой учетной записи хранения, измените параметр на CapGBPerMonthPerStorageAccount предпочитаемое значение. Этот параметр задает ограничение на максимальные данные, которые можно сканировать для вредоносных программ каждый месяц на учетную запись хранения. Если требуется разрешить неограниченное сканирование, назначьте значение "-1". Ограничение по умолчанию равно 5000 ГБ.
Отключение функций:
Если вы хотите отключить функцию обнаружения угроз для проверки вредоносных программ при отправке или обнаружения конфиденциальных данных, можно удалить соответствующий блок расширения из кода Terraform.
Отключение всего плана Defender для служба хранилища:
Чтобы отключить весь план Defender для служба хранилища, задайте tier для свойства значение "Бесплатный" и удалите subPlan свойства и extension свойства.
Дополнительные сведения о ресурсе azurerm_security_center_subscription_pricing см . в документации по azurerm_security_center_subscription_pricing. Кроме того, вы можете найти подробные сведения о поставщике Terraform для Azure в документации по поставщику AzureRM Terraform.
Шаблон Bicep
Чтобы включить и настроить Microsoft Defender для служба хранилища на уровне подписки с помощью Bicep, убедитесь, что для целевого область задана подписка, и добавьте в шаблон Bicep следующую команду:
resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
name: 'StorageAccounts'
properties: {
pricingTier: 'Standard'
subPlan: 'DefenderForStorageV2'
extensions: [
{
name: 'OnUploadMalwareScanning'
isEnabled: 'True'
additionalExtensionProperties: {
CapGBPerMonthPerStorageAccount: '5000'
}
}
{
name: 'SensitiveDataDiscovery'
isEnabled: 'True'
}
]
}
}
Изменение ежемесячного ограничения для сканирования вредоносных программ:
Чтобы изменить ежемесячное ограничение для сканирования вредоносных программ для каждой учетной записи хранения, измените параметр на CapGBPerMonthPerStorageAccount предпочитаемое значение. Этот параметр задает ограничение на максимальные данные, которые можно сканировать для вредоносных программ каждый месяц на учетную запись хранения. Если вы хотите разрешить неограниченное сканирование, назначьте значение -1. Ограничение по умолчанию равно 5000 ГБ.
Отключение функций:
Если вы хотите отключить функцию обнаружения вредоносных программ при отправке или обнаружения угроз конфиденциальных данных, можно изменить isEnabled значение false при обнаружении конфиденциальных данных.
Отключение всего плана Defender для служба хранилища:
Чтобы отключить весь план Defender для служба хранилища, задайте pricingTier для свойства значение Free и удалите subPlanextensions свойства.
Дополнительные сведения о шаблоне Bicep см. в документации по безопасности и ценам Майкрософт.
Шаблон Azure Resource Manager
Чтобы включить и настроить Microsoft Defender для служба хранилища на уровне подписки с помощью шаблона ARM (Azure Resource Manager), добавьте этот фрагмент JSON в раздел ресурсов шаблона ARM:
{
"type": "Microsoft.Security/pricings",
"apiVersion": "2023-01-01",
"name": "StorageAccounts",
"properties": {
"pricingTier": "Standard",
"subPlan": "DefenderForStorageV2",
"extensions": [
{
"name": "OnUploadMalwareScanning",
"isEnabled": "True",
"additionalExtensionProperties": {
"CapGBPerMonthPerStorageAccount": "5000"
}
},
{
"name": "SensitiveDataDiscovery",
"isEnabled": "True"
}
]
}
}
Изменение ежемесячного ограничения для сканирования вредоносных программ:
Чтобы изменить ежемесячное пороговое значение для сканирования вредоносных программ в учетных записях хранения, просто измените параметр на CapGBPerMonthPerStorageAccount предпочитаемое значение. Этот параметр задает ограничение на максимальные данные, которые можно сканировать для вредоносных программ каждый месяц на учетную запись хранения. Если вы хотите разрешить неограниченное сканирование, назначьте значение -1. Ограничение по умолчанию равно 5000 ГБ.
Отключение функций:
Если вы хотите отключить функцию обнаружения угроз для проверки вредоносных программ при отправке или обнаружения конфиденциальных данных, можно изменить isEnabled значение false при обнаружении конфиденциальных данных.
Отключение всего плана Defender для служба хранилища:
Чтобы отключить весь план Defender, задайте pricingTier для свойства значение Free и удалите subPlan свойства.extension
Дополнительные сведения о шаблоне ARM см. в документации по Microsoft.Security/Pricings.
Следующие шаги
Дополнительные сведения о документации по API Microsoft.Security/DefenderFor служба хранилища Параметры.