Aktivera och konfigurera med infrastruktur som kodmallar

Vi rekommenderar att du aktiverar Defender för Lagring på prenumerationsnivå. Detta säkerställer att alla lagringskonton i prenumerationen skyddas, inklusive framtida konton.

Dricks

Du kan alltid konfigurera specifika lagringskonton med anpassade konfigurationer som skiljer sig från de inställningar som konfigurerats på prenumerationsnivå (åsidosätt inställningar på prenumerationsnivå).

Aktivera i en prenumeration

Terraform-mall

Om du vill aktivera och konfigurera Microsoft Defender för Lagring på prenumerationsnivå med Terraform kan du använda följande kodfragment:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Ändra det månatliga taket för skanning av skadlig kod:

Om du vill ändra det månatliga taket för skanning av skadlig kod per lagringskonto justerar du parametern CapGBPerMonthPerStorageAccount till önskat värde. Den här parametern anger ett tak för de maximala data som kan genomsökas efter skadlig kod varje månad per lagringskonto. Om du vill tillåta obegränsad genomsökning tilldelar du värdet "-1". Standardgränsen anges till 5 000 GB.

Inaktivera funktioner:

Om du vill inaktivera genomsökningen av skadlig kod vid uppladdning eller funktioner för identifiering av känsliga datahot kan du ta bort motsvarande tilläggsblock från Terraform-koden.

Inaktivera hela Defender for Storage-planen:

Om du vill inaktivera hela Defender for Storage-planen anger du egenskapsvärdet tier till "Kostnadsfri" och tar bort subPlan egenskaperna och extension .

Läs mer om resursen azurerm_security_center_subscription_pricing genom att läsa dokumentationen om azurerm_security_center_subscription_pricing. Dessutom hittar du omfattande information om Terraform-providern för Azure i dokumentationen för Terraform AzureRM-providern.

Bicep-mall

Om du vill aktivera och konfigurera Microsoft Defender för Lagring på prenumerationsnivå med Bicep kontrollerar du att ditt målomfång är inställt på prenumeration och lägger till följande i Bicep-mallen:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Ändra det månatliga taket för skanning av skadlig kod:

Om du vill ändra det månatliga taket för skanning av skadlig kod per lagringskonto justerar du parametern CapGBPerMonthPerStorageAccount till önskat värde. Den här parametern anger ett tak för de maximala data som kan genomsökas efter skadlig kod varje månad per lagringskonto. Om du vill tillåta obegränsad genomsökning tilldelar du värdet -1. Standardgränsen anges till 5 000 GB.

Inaktivera funktioner:

Om du vill inaktivera genomsökning av skadlig kod vid uppladdning eller funktioner för identifiering av känsligt datahot kan du ändra värdet till False under identifiering av isEnabled känsliga data.

Inaktivera hela Defender for Storage-planen:

Om du vill inaktivera hela Defender for Storage-planen anger du egenskapsvärdet pricingTier Till Kostnadsfri och tar bort subPlan egenskaperna och extensions .

Läs mer om Bicep-mallen i Microsofts dokumentation om säkerhet/priser.

Azure Resource Manager-mall

Om du vill aktivera och konfigurera Microsoft Defender för Lagring på prenumerationsnivå med hjälp av en ARM-mall (Azure Resource Manager) lägger du till det här JSON-kodfragmentet i resursavsnittet i ARM-mallen:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Ändra det månatliga taket för skanning av skadlig kod:

Om du vill ändra det månatliga tröskelvärdet för skanning av skadlig kod i dina lagringskonton justerar du helt enkelt parametern CapGBPerMonthPerStorageAccount till önskat värde. Den här parametern anger ett tak för de maximala data som kan genomsökas efter skadlig kod varje månad, per lagringskonto. Om du vill tillåta obegränsad genomsökning tilldelar du värdet -1. Standardgränsen anges till 5 000 GB.

Inaktivera funktioner:

Om du vill inaktivera genomsökning av skadlig kod vid uppladdning eller funktioner för identifiering av känsliga datahot kan du ändra värdet till False under identifiering av isEnabled känsliga data.

Inaktivera hela Defender for Storage-planen:

Om du vill inaktivera hela Defender-planen anger du egenskapsvärdet pricingTier Till Kostnadsfri och tar bort subPlan egenskaperna och extension .

Läs mer om ARM-mallen i dokumentationen microsoft.security/pricings.

Aktivera på ett lagringskonto

Terraform-mall – lagringskonto

Om du vill aktivera och konfigurera Microsoft Defender för Lagring på lagringskontonivå med Terraform importerar du AzAPI-providern och använder följande kodfragment:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

Kommentar

Den azapi_resource_action som används här är en åtgärd som är specifik för konfigurationen av Microsoft Defender för Storage. Den skiljer sig från de vanliga resursdeklarationerna i Terraform och används för att utföra specifika åtgärder på resursen, till exempel att aktivera eller inaktivera funktioner.

Ändra det månatliga taket för skanning av skadlig kod:

Om du vill ändra det månatliga tröskelvärdet för skanning av skadlig kod i dina lagringskonton justerar du helt enkelt parametern capGBPerMonth till önskat värde. Den här parametern anger ett tak för de maximala data som kan genomsökas efter skadlig kod varje månad, per lagringskonto. Om du vill tillåta obegränsad genomsökning tilldelar du värdet "-1". Standardgränsen anges till 5 000 GB.

Inaktivera funktioner:

Om du vill inaktivera genomsökningen av skadlig kod vid uppladdning eller funktioner för identifiering av känsliga datahot kan du ändra isEnabled värdet till False under avsnitten malwareScanning eller sensitiveDataDiscovery egenskaperna.

Inaktivera hela Defender for Storage-planen:

Om du vill inaktivera hela Defender for Storage-planen för lagringskontot kan du använda följande kodfragment:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

Du kan ändra värdet overrideSubscriptionLevelSettings för till True för att inaktivera Defender for Storage-planen för lagringskontot under prenumerationer med Defender för lagring aktiverat på prenumerationsnivå. Om du vill ha vissa funktioner aktiverade kan du ändra egenskaperna i enlighet med detta. Läs mer om dokumentationen för Microsoft.Security/defenderForStorage Inställningar API för ytterligare anpassning och kontroll över lagringskontots säkerhetsinställningar. Dessutom hittar du omfattande information om Terraform-providern för Azure i dokumentationen för Terraform AzureRM-providern.

Bicep-mall – lagringskonto

Om du vill aktivera och konfigurera Microsoft Defender för lagring på lagringskontonivå med Bicep lägger du till följande i Bicep-mallen:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

Ändra det månatliga taket för skanning av skadlig kod:

Om du vill ändra det månatliga tröskelvärdet för skanning av skadlig kod i dina lagringskonton justerar capGBPerMonth parameter du helt enkelt till önskat värde. Den här parametern anger ett tak för de maximala data som kan genomsökas efter skadlig kod varje månad, per lagringskonto. Om du vill tillåta obegränsad genomsökning tilldelar du värdet -1. Standardgränsen anges till 5 000 GB.

Inaktivera funktioner:

Om du vill inaktivera genomsökning av skadlig kod vid uppladdning eller funktioner för identifiering av känsliga datahot kan du ändra isEnabled värdet till False under avsnitten malwareScanning eller sensitiveDataDiscovery egenskaperna.

Inaktivera hela Defender for Storage-planen:

Om du vill inaktivera hela Defender-planen för lagringskontot anger du egenskapsvärdet isEnabled till False och tar bort avsnitten malwareScanning och sensitiveDataDiscovery från egenskaperna.

Läs mer om dokumentationen om Microsoft.Security/DefenderForStorage Inställningar API.

Dricks

Genomsökning av skadlig kod kan konfigureras för att skicka genomsökningsresultat till följande:
Anpassat Event Grid-ämne – för automatiska svar i nära realtid baserat på varje genomsökningsresultat. Läs mer om hur du konfigurerar genomsökning av skadlig kod för att skicka genomsökningshändelser till ett anpassat Event Grid-ämne.
Log Analytics-arbetsyta – för att lagra varje genomsökning resulterar det i en centraliserad logglagringsplats för efterlevnad och granskning. Läs mer om hur du konfigurerar genomsökning av skadlig kod för att skicka genomsökningsresultat till en Log Analytics-arbetsyta.

Läs mer om hur du konfigurerar svar för genomsökningsresultat för skadlig kod.

ARM-mall – lagringskonto

Om du vill aktivera och konfigurera Microsoft Defender för lagring på lagringskontonivå med hjälp av en ARM-mall lägger du till det här JSON-kodfragmentet i resursavsnittet i ARM-mallen:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Ändra det månatliga taket för skanning av skadlig kod:

Om du vill ändra det månatliga tröskelvärdet för skanning av skadlig kod i dina lagringskonton justerar du helt enkelt parametern capGBPerMonth till önskat värde. Den här parametern anger ett tak för de maximala data som kan genomsökas efter skadlig kod varje månad, per lagringskonto. Om du vill tillåta obegränsad genomsökning tilldelar du värdet "-1". Standardgränsen anges till 5 000 GB.

Inaktivera funktioner:

Om du vill inaktivera genomsökningen av skadlig kod vid uppladdning eller funktioner för identifiering av känsliga datahot kan du ändra isEnabled värdet till False under avsnitten malwareScanning eller sensitiveDataDiscovery egenskaperna.

Inaktivera hela Defender for Storage-planen:

Om du vill inaktivera hela Defender-planen för lagringskontot anger du egenskapsvärdet isEnabled till False och tar bort avsnitten malwareScanning och sensitiveDataDiscovery från egenskaperna.

Nästa steg

Läs mer om dokumentationen för Microsoft.Security/DefenderForStorage Inställningar API.