Dela via

Avancerade konfigurationer för skanning av skadlig kod

  • Artikel

Genomsökning av skadlig kod kan konfigureras för att skicka genomsökningsresultat till följande:

  • Anpassat Event Grid-ämne – för automatiska svar i nära realtid baserat på varje genomsökningsresultat.
  • Log Analytics-arbetsyta – för att lagra varje genomsökning resulterar det i en centraliserad logglagringsplats för efterlevnad och granskning.

Läs mer om hur du konfigurerar svar för genomsökningsresultat för skadlig kod.

Dricks

Vi rekommenderar att du provar ninjaträningsinstruktionerna, ett praktiskt labb, för att prova genomsökning av skadlig kod i Defender for Storage med hjälp av detaljerade stegvisa instruktioner om hur du testar skanning av skadlig kod från slutpunkt till slutpunkt med att konfigurera svar på genomsökningsresultat. Det här är en del av labbprojektet som hjälper kunderna att bli upptrappade med Microsoft Defender för molnet och ger praktisk praktisk erfarenhet av dess funktioner.

Konfigurera loggning för skanning av skadlig kod

För varje lagringskonto som är aktiverat med genomsökning av skadlig kod kan du definiera ett Log Analytics-arbetsytemål för att lagra varje genomsökningsresultat i en centraliserad logglagringsplats som är lätt att fråga efter.

Skärmbild som visar var du konfigurerar ett Log Analytics-mål för genomsökningsloggen.

Innan du skickar genomsökningsresultat till Log Analytics skapar du en Log Analytics-arbetsyta eller använder en befintlig.

Om du vill konfigurera Log Analytics-målet går du till det relevanta lagringskontot, öppnar fliken Microsoft Defender för molnet och väljer de inställningar som ska konfigureras.

Den här konfigurationen kan även utföras med hjälp av REST API:

Begär URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Begärandetext:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Konfigurera Event Grid för skanning av skadlig kod

För varje lagringskonto som är aktiverat med genomsökning av skadlig kod kan du konfigurera att skicka varje genomsökningsresultat med hjälp av en Event Grid-händelse i automatiseringssyfte.

  1. För att konfigurera Event Grid för att skicka genomsökningsresultat måste du först skapa ett anpassat ämne i förväg. Mer information finns i Event Grid-dokumentationen om hur du skapar anpassade ämnen. Kontrollera att det anpassade event grid-målavsnittet skapas i samma region som lagringskontot som du vill skicka genomsökningsresultat från.

  2. Om du vill konfigurera händelserutnätets anpassade ämnesmål går du till det relevanta lagringskontot, öppnar fliken Microsoft Defender för molnet och väljer de inställningar som ska konfigureras.

Kommentar

När du anger ett anpassat Event Grid-ämne bör du ange Åsidosätt Inställningar på prenumerationsnivå för Defender för lagring till för att se till att det åsidosätter inställningarna på prenumerationsnivå.

Skärmbild som visar var du aktiverar ett Event Grid-mål för genomsökningsloggar.

Den här konfigurationen kan även utföras med hjälp av REST API:

Begär URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Begärandetext:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Åsidosätt inställningar på prenumerationsnivå för Defender för lagring

Inställningarna på prenumerationsnivå ärver Inställningar för Defender för lagring på varje lagringskonto i prenumerationen. Använd Inställningar på prenumerationsnivå för Åsidosätt Defender för lagring för att konfigurera inställningar för enskilda lagringskonton som skiljer sig från de som konfigurerats på prenumerationsnivå.

Att åsidosätta inställningarna för prenumerationerna används vanligtvis för följande scenarier:

  • Aktivera/inaktivera funktionen för identifiering av skadlig kod eller identifiering av hot mot datakänslighet.
  • Konfigurera anpassade inställningar för skanning av skadlig kod.
  • Inaktivera Microsoft Defender för Lagring på specifika lagringskonton.

Kommentar

Vi rekommenderar att du aktiverar Defender för Lagring i hela prenumerationen för att skydda alla befintliga och framtida lagringskonton i den. Det finns dock vissa fall där du vill exkludera specifika lagringskonton från Defender-skydd. Om du har valt att exkludera följer du stegen nedan för att använda åsidosättningsinställningen och inaktiverar sedan det relevanta lagringskontot. Om du använder Defender för lagring (klassisk) kan du även exkludera lagringskonton.

Azure Portal

Så här konfigurerar du inställningarna för enskilda lagringskonton som skiljer sig från de som konfigurerats på prenumerationsnivå med hjälp av Azure-portalen:

  1. Logga in på Azure-portalen.

  2. Gå till det lagringskonto som du vill konfigurera anpassade inställningar för.

  3. I menyn för lagringskonto går du till avsnittet Säkerhet + nätverk och väljer Microsoft Defender för molnet.

  4. Välj Inställningar i Microsoft Defender för Storage.

  5. Ange status för Åsidosätt Inställningar på prenumerationsnivå för Defender för lagring (under Avancerade inställningar) till . Detta säkerställer att inställningarna endast sparas för det här lagringskontot och inte överskrids av prenumerationsinställningarna.

  6. Konfigurera de inställningar som du vill ändra:

    1. Om du vill aktivera skanning av skadlig kod eller identifiering av känsligt datahot anger du statusen till .

    2. Så här ändrar du inställningar för genomsökning av skadlig kod:

      1. Växla genomsökning av skadlig kod vid uppladdning till om den inte redan är aktiverad.

      2. Om du vill justera det månatliga tröskelvärdet för skanning av skadlig kod i dina lagringskonton kan du ändra parametern med namnet Ange gränsen för GB som genomsöks per månad till önskat värde. Denna parameter avgör den maximala mängden data som kan genomsökas efter skadlig kod varje månad, särskilt för varje lagringskonto. Om du vill tillåta obegränsad genomsökning kan du avmarkera den här parametern. Som standard anges gränsen till 5 000 GB.

  7. Om du vill inaktivera Defender för lagring på det här lagringskontot anger du status för Microsoft Defender för Lagring till Av.

    Skärmbild som visar var du inaktiverar Defender for Storage i Azure-portalen.

    Välj Spara.

REST-API

Så här konfigurerar du inställningarna för enskilda lagringskonton som skiljer sig från de som konfigurerats på prenumerationsnivå med hjälp av REST API:

Skapa en PUT-begäran med denna slutpunkt. Ersätt subscriptionId, resourceGroupName och accountName i slutpunkts-URL:en med ditt eget Azure-prenumerations-ID, resursgrupp och namn på lagringskonton enligt vad som gäller.

Begär URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Begärandetext:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Om du vill aktivera skanning av skadlig kod eller identifiering av känsligt datahot anger du värdet isEnabled till true under relevanta funktioner.

  2. Om du vill ändra inställningarna för genomsökning av skadlig kod redigerar du de relevanta fälten under onUpload och kontrollerar att värdet för isEnabled är sant. Om du vill tillåta obegränsad genomsökning tilldelar du värdet -1 till parametern capGBPerMonth.

  3. Om du vill inaktivera Defender för Storage på dessa lagringskonton använder du följande begärandetext:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Se till att du lägger till parametern overrideSubscriptionLevelSettings och att dess värde är inställt på true. Detta säkerställer att inställningarna endast sparas för det här lagringskontot och inte överskrids av prenumerationsinställningarna.

Gå vidare

Läs mer om inställningar för genomsökning av skadlig kod.