Aktivera Microsoft Defender för Lagring (klassisk)

Den här artikeln beskriver hur du kan aktivera och konfigurera Microsoft Defender för lagring (klassisk) i dina prenumerationer med hjälp av olika mallar som PowerShell, REST API och andra.

Du kan också uppgradera till den nya Microsoft Defender for Storage-planen och använda avancerade säkerhetsfunktioner, inklusive skanning av skadlig kod och identifiering av känsliga datahot. Dra nytta av en mer förutsägbar och detaljerad prisstruktur som debiterar per lagringskonto, med extra kostnader för transaktioner med stora volymer. Den här nya prisplanen omfattar även alla nya säkerhetsfunktioner och identifieringar.

Kommentar

Om du använder Defender för lagring (klassisk) med priser per transaktion eller per lagring måste du migrera till den nya Defender for Storage-planen för att få åtkomst till dessa funktioner och priser. Lär dig mer om att migrera till den nya Defender for Storage-planen.

Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina lagringskonton. Den använder avancerade funktioner för hotidentifiering och Microsoft Threat Intelligence-data för att tillhandahålla kontextuella säkerhetsaviseringar. Dessa aviseringar innehåller också steg för att minimera de identifierade hoten och förhindra framtida attacker.

Microsoft Defender för Storage analyserar kontinuerligt transaktionerna för Azure Blob Storage, Azure Data Lake Storage och Azure Files-tjänster . När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Aviseringar visas i Microsoft Defender för molnet med information om misstänkt aktivitet, lämpliga undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.

Analyserad telemetri för Azure Blob Storage innehåller åtgärdstyper som Get Blob, Put Blob, Get Container ACL, List Blobs och Get Blob Properties. Exempel på analyserade Azure Files-åtgärdstyper är Hämta fil, Skapa fil, Listfiler, Hämta filegenskaper och Put Range.

Defender for Storage-klassikern har inte åtkomst till lagringskontodata och påverkar inte dess prestanda.

Läs mer om fördelarna, funktionerna och begränsningarna i Defender for Storage. Du kan också lära dig mer om Defender för lagring i avsnittet Defender för lagring i videoserien Defender för molnet i fältet.

Tillgänglighet

Aspekt	Details
Versionstillstånd:	Allmän tillgänglighet (GA)
Prissättning:	Microsoft Defender för Storage faktureras enligt prisinformationen och i Defender-abonnemangen i Azure-portalen
Skyddade lagringstyper:	Blob Storage (Standard/Premium StorageV2, Block Blobs) Azure Files (via REST API och SMB) Azure Data Lake Storage Gen2 (Standard-/Premium-konton med hierarkiska namnområden aktiverade)
Moln:	Kommersiella moln Azure Government (endast för per transaktionsplan) Microsoft Azure drivs av 21Vianet Anslutna AWS-konton

Konfigurera Microsoft Defender för Storage (klassisk)

Konfigurera priser per transaktion för en prenumeration

För priser för Defender för lagring per transaktion rekommenderar vi att du aktiverar Defender för Lagring för varje prenumeration så att alla befintliga och nya lagringskonton skyddas. Om du bara vill skydda specifika konton konfigurerar du Defender för lagring för varje konto.

Du kan konfigurera Microsoft Defender för Storage på dina prenumerationer på flera sätt:

• Terraform-mall
• Bicep-mall
• ARM-mall
• PowerShell
• Azure CLI
• REST-API

Terraform-mall

Om du vill aktivera Microsoft Defender för Lagring på prenumerationsnivå med priser per transaktion med hjälp av en Terraform-mall lägger du till det här kodfragmentet i mallen med ditt prenumerations-ID som parent_id värde:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Om du vill inaktivera planen anger du egenskapsvärdet pricingTier till Free och tar bort egenskapen subPlan .

Läs mer om AZAPI-referensen för ARM-mallen.

Bicep-mall

Om du vill aktivera Microsoft Defender för Lagring på prenumerationsnivå med priser per transaktion med Bicep lägger du till följande i Bicep-mallen:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Om du vill inaktivera planen anger du egenskapsvärdet pricingTier till Free och tar bort egenskapen subPlan .

Läs mer om AzAPI-referensen för Bicep-mallen.

ARM-mall

Om du vill aktivera Microsoft Defender för Lagring på prenumerationsnivå med priser per transaktion med hjälp av en ARM-mall lägger du till det här JSON-kodfragmentet i resursavsnittet i ARM-mallen:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Om du vill inaktivera planen anger du egenskapsvärdet pricingTier till Free och tar bort egenskapen subPlan .

Läs mer om AZAPI-referensen för ARM-mallen.

PowerShell

Så här aktiverar du Microsoft Defender för Storage på prenumerationsnivå med priser per transaktion med hjälp av PowerShell:

1. Om du inte redan har den installerar du Azure Az PowerShell-modulen.

2. Använd cmdleten Connect-AzAccount för att logga in på ditt Azure-konto. Läs mer om att logga in på Azure med Azure PowerShell.

3. Använd dessa kommandon för att registrera din prenumeration på Microsoft Defender för molnresursprovidern:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Ersätt <subscriptionId> med ditt prenumerations-ID.

4. Aktivera Microsoft Defender för Storage för din prenumeration med cmdleten Set-AzSecurityPricing :

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Dricks

Du kan använda GetAzSecurityPricing (Az_Security) för att se alla Defender for Cloud-planer som är aktiverade för prenumerationen.

Om du vill inaktivera planen anger du egenskapsvärdet -PricingTier till Free.

Läs mer om hur du använder PowerShell med Microsoft Defender för molnet.

Azure CLI

Så här aktiverar du Microsoft Defender för Storage på prenumerationsnivå med priser per transaktion med Hjälp av Azure CLI:

1. Om du inte redan har det installerar du Azure CLI.

2. az login Använd kommandot för att logga in på ditt Azure-konto. Läs mer om att logga in på Azure med Azure CLI.

3. Använd dessa kommandon för att ange prenumerations-ID och namn:

   az account set --subscription "<subscriptionId or name>"
   

   Ersätt <subscriptionId> med ditt prenumerations-ID.

4. Aktivera Microsoft Defender för Storage för din prenumeration med az security pricing create kommandot :

   az security pricing create -n StorageAccounts --tier "standard"
   

Dricks

Du kan använda az security pricing show kommandot för att se alla Defender for Cloud-planer som är aktiverade för prenumerationen.

Om du vill inaktivera planen anger du egenskapsvärdet -tier till free.

Läs mer om kommandot az security pricing create .

REST-API

Om du vill aktivera Microsoft Defender för Storage på prenumerationsnivå med priser per transaktion med hjälp av REST-API:et för Microsoft Defender för molnet skapar du en PUT-begäran med den här slutpunkten och brödtexten:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Ersätt {subscriptionId} med ditt prenumerations-ID.

Om du vill inaktivera planen anger du egenskapsvärdet -pricingTier till Free och tar bort parametern subPlan .

Läs mer om uppdatering av Defender-planer med REST-API :et i HTTP, Java, Go och JavaScript.

Konfigurera priser per transaktion för ett lagringskonto

Du kan konfigurera Microsoft Defender för Storage med priser per transaktion på dina konton på flera sätt:

• ARM-mall
• PowerShell
• Azure CLI

ARM-mall

Om du vill aktivera Microsoft Defender för Storage för ett specifikt lagringskonto med priser per transaktion med hjälp av en ARM-mall använder du den förberedda Azure-mallen.

Om du vill inaktivera Defender för lagring på kontot:

1. Logga in på Azure-portalen.
2. Navigera till ditt lagringskonto.
3. I avsnittet Säkerhet + nätverk i menyn Lagringskonto väljer du Microsoft Defender för molnet.
4. Välj Inaktivera.

PowerShell

Så här aktiverar du Microsoft Defender för Storage för ett specifikt lagringskonto med priser per transaktion med hjälp av PowerShell:

1. Om du inte redan har den installerar du Azure Az PowerShell-modulen.

2. Använd cmdleten Connect-AzAccount för att logga in på ditt Azure-konto. Läs mer om att logga in på Azure med Azure PowerShell.

3. Aktivera Microsoft Defender för Storage för önskat lagringskonto med cmdleten Enable-AzSecurityAdvancedThreatProtection :

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Ersätt <subscriptionId>, <resource-group>och <storage-account> med värdena för din miljö.

Om du vill inaktivera priser per transaktion för ett visst lagringskonto använder du cmdleten Disable-AzSecurityAdvancedThreatProtection :

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Läs mer om hur du använder PowerShell med Microsoft Defender för molnet.

Azure CLI

Så här aktiverar du Microsoft Defender för Storage för ett specifikt lagringskonto med priser per transaktion med Hjälp av Azure CLI:

1. Om du inte redan har det installerar du Azure CLI.

2. az login Använd kommandot för att logga in på ditt Azure-konto. Läs mer om att logga in på Azure med Azure CLI.

3. Aktivera Microsoft Defender för Storage för din prenumeration med az security atp storage update kommandot :

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Dricks

Du kan använda az security atp storage show kommandot för att se om Defender for Storage är aktiverat för ett konto.

Om du vill inaktivera Microsoft Defender för Storage för din prenumeration använder du az security atp storage update kommandot:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Läs mer om kommandot az security atp storage .

Undanta ett lagringskonto från en skyddad prenumeration i planen per transaktion

När du aktiverar Microsoft Defender för Lagring för en prenumeration för priser per transaktion skyddas alla aktuella och framtida Azure Storage-konton i den prenumerationen. Du kan exkludera specifika lagringskonton från Defender for Storage-skydd med hjälp av Azure-portalen, PowerShell eller Azure CLI.

Vi rekommenderar att du aktiverar Defender för Lagring i hela prenumerationen för att skydda alla befintliga och framtida lagringskonton i den. Det finns dock vissa fall där personer vill exkludera specifika lagringskonton från Defender-skydd.

Om du undantar lagringskonton från skyddade prenumerationer måste du:

1. Lägg till en tagg för att blockera ärvning av prenumerationsaktiveringen.
2. Inaktivera Defender för Lagring (klassisk).

Kommentar

Överväg att uppgradera till den nya Defender for Storage-planen om du har lagringskonton som du vill exkludera från den klassiska Defender for Storage-planen. Du kommer inte bara att spara på kostnaderna för transaktionsintensiva konton, utan du får också åtkomst till förbättrade säkerhetsfunktioner. Läs mer om fördelarna med att migrera till den nya planen.

Exkluderade lagringskonton i den klassiska Defender for Storage-modellen utesluts inte automatiskt när du migrerar till den nya planen.

Undanta ett Azure Storage-kontoskydd för en prenumeration med priser per transaktion

Om du vill exkludera ett Azure Storage-konto från Microsoft Defender for Storage (klassisk) kan du använda:

• PowerShell
• Azure CLI

Använda PowerShell för att exkludera ett Azure Storage-konto

1. Om du inte har installerat Azure Az PowerShell-modulen installerar du den med hjälp av anvisningarna i Azure PowerShell-dokumentationen.

2. Använd ett autentiserat konto och anslut till Azure med cmdleten, enligt beskrivningen Connect-AzAccount i Logga in med Azure PowerShell.

3. Definiera taggen AzDefenderPlanAutoEnable på lagringskontot med cmdleten Update-AzTag (ersätt ResourceId med resurs-ID:t för det relevanta lagringskontot):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Om du hoppar över det här steget fortsätter dina otaggade resurser att ta emot dagliga uppdateringar från principen för aktivering på prenumerationsnivå. Den principen aktiverar Defender för Lagring igen på kontot. Läs mer om taggar i Använda taggar för att organisera dina Azure-resurser och hanteringshierarki.

4. Inaktivera Microsoft Defender för Storage för önskat konto för den relevanta prenumerationen med cmdleten Disable-AzSecurityAdvancedThreatProtection (med samma resurs-ID):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Läs mer om den här cmdleten.

Använda Azure CLI för att exkludera ett Azure Storage-konto

1. Om du inte har Installerat Azure CLI installerar du det med hjälp av anvisningarna i Azure CLI-dokumentationen.

2. Använd ett autentiserat konto och anslut till Azure med kommandot enligt beskrivningen login i Logga in med Azure CLI och ange dina kontoautentiseringsuppgifter när du uppmanas att göra följande:

   az login
   

3. Definiera taggen AzDefenderPlanAutoEnable på lagringskontot med tag update kommandot (ersätt ResourceId med resurs-ID:t för det relevanta lagringskontot):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Om du hoppar över det här steget fortsätter dina otaggade resurser att ta emot dagliga uppdateringar från principen för aktivering på prenumerationsnivå. Den principen aktiverar Defender för Lagring igen på kontot.

   Dricks

   Läs mer om taggar i az tag.

4. Inaktivera Microsoft Defender för Storage för önskat konto för den relevanta prenumerationen security atp storage med kommandot (med samma resurs-ID):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Läs mer om det här kommandot.

Exkludera ett Azure Databricks Storage-konto

Exkludera en aktiv Databricks-arbetsyta

Microsoft Defender för Storage kan exkludera specifika aktiva Databricks-lagringskonton för arbetsytor när planen redan är aktiverad för en prenumeration.

Så här exkluderar du en aktiv Databricks-arbetsyta:

1. Logga in på Azure-portalen.

2. Gå till Azure Databricks-taggarYour Databricks workspace>>.

3. I fältet Namn anger du AzDefenderPlanAutoEnable.

4. I fältet Värde anger du off och väljer sedan Använd.

   

5. Gå till Inställningar>Your subscription för Microsoft Defender för molnmiljö.>

6. Inaktivera Defender for Storage-planen och välj Spara.

   

7. Återaktivera Defender för lagring (klassisk) med någon av de metoder som stöds (du kan inte aktivera Klassisk Defender för lagring från Azure-portalen).

Taggarna ärvs av Lagringskontot för Databricks-arbetsytan och förhindrar att Defender for Storage aktiveras.

Kommentar

Taggar kan inte läggas till direkt i Databricks Storage-kontot eller dess hanterade resursgrupp.

Förhindra automatisk inaktivering av ett nytt Databricks-arbetsytelagringskonto

När du skapar en ny Databricks-arbetsyta kan du lägga till en tagg som förhindrar att ditt Microsoft Defender för Lagring-konto aktiveras automatiskt.

Så här förhindrar du automatisk aktivering på ett nytt Databricks-lagringskonto för arbetsytor:

1. Följ de här stegen för att skapa en ny Azure Databricks-arbetsyta.

2. På fliken Taggar anger du en tagg med namnet AzDefenderPlanAutoEnable.

3. Ange värdet off.

   

4. Fortsätt att följa anvisningarna för att skapa din nya Azure Databricks-arbetsyta.

Microsoft Defender for Storage-kontot ärver taggen för Databricks-arbetsytan, vilket förhindrar att Defender för Lagring aktiveras automatiskt.

Nästa steg

• Kolla in aviseringarna för Azure Storage
• Lär dig mer om funktionerna och fördelarna med Defender for Storage
• Läs vanliga frågor om klassiska Defender for Storage-enheter.