Aracılığıyla paylaş

Kötü amaçlı yazılım taraması için gelişmiş yapılandırmalar

  • Makale

Kötü Amaçlı Yazılım Tarama, tarama sonuçlarını aşağıdakilere gönderecek şekilde yapılandırılabilir:

  • Event Grid özel konusu - her tarama sonucuna göre neredeyse gerçek zamanlı otomatik yanıt için.
  • Log Analytics çalışma alanı : Her tarama sonucunu uyumluluk ve denetim için merkezi bir günlük deposunda depolamak için.

Kötü amaçlı yazılım tarama sonuçları için yanıtı ayarlama hakkında daha fazla bilgi edinin.

İpucu

Depolama için Defender'da kötü amaçlı yazılım taramasını denemek için, tarama sonuçlarına yanıtları ayarlayarak kötü amaçlı yazılım taramasını uçtan uca test etme hakkındaki ayrıntılı adım adım yönergeleri kullanarak uygulamalı bir laboratuvar olan Ninja eğitim yönergelerini denemenizi öneririz. Bu, müşterilerin Bulut için Microsoft Defender geliştirmelerine yardımcı olan ve özellikleriyle uygulamalı pratik deneyim sağlayan 'laboratuvarlar' projesinin bir parçasıdır.

Kötü amaçlı yazılım taraması için günlüğe kaydetmeyi ayarlama

Kötü amaçlı yazılım taramasıyla etkinleştirilen her depolama hesabı için, her tarama sonucunu sorgulaması kolay bir merkezi günlük deposunda depolamak için bir Log Analytics çalışma alanı hedefi tanımlayabilirsiniz.

Tarama günlüğü için Log Analytics hedefinin yapılandırıldığı yeri gösteren ekran görüntüsü.

Tarama sonuçlarını Log Analytics'e göndermeden önce bir Log Analytics çalışma alanı oluşturun veya mevcut bir çalışma alanını kullanın.

Log Analytics hedefini yapılandırmak için ilgili depolama hesabına gidin, Bulut için Microsoft Defender sekmesini açın ve yapılandırılan ayarları seçin.

Bu yapılandırma REST API kullanılarak da gerçekleştirilebilir:

İstek URL'si:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

İstek Gövdesi:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Kötü amaçlı yazılım taraması için Event Grid'i ayarlama

Kötü amaçlı yazılım taramasıyla etkinleştirilen her depolama hesabı için, otomasyon amacıyla bir Event Grid olayı kullanarak her tarama sonucunu gönderecek şekilde yapılandırabilirsiniz.

  1. Event Grid'i tarama sonuçlarını gönderecek şekilde yapılandırmak için önce önceden özel bir konu oluşturmanız gerekir. Yönergeler için özel konular oluşturmaya ilişkin Event Grid belgelerine bakın. Hedef Event Grid özel konusunun, tarama sonuçlarını göndermek istediğiniz depolama hesabıyla aynı bölgede oluşturulduğundan emin olun.

  2. Event Grid özel konu hedefini yapılandırmak için ilgili depolama hesabına gidin, Bulut için Microsoft Defender sekmesini açın ve yapılandırılan ayarları seçin.

Not

Event Grid özel konusunu ayarladığınızda, abonelik düzeyi ayarlarını geçersiz kıldığından emin olmak için Depolama abonelik düzeyi ayarlarıiçin Defender'ı Geçersiz Kıl seçeneğini Açık olarak ayarlamanız gerekir.

Tarama günlükleri için Event Grid hedefinin nerede etkinleştirildiğini gösteren ekran görüntüsü.

Bu yapılandırma REST API kullanılarak da gerçekleştirilebilir:

İstek URL'si:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

İstek Gövdesi:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Depolama abonelik düzeyi ayarları için Defender'ı geçersiz kılma

Abonelik düzeyi ayarları, abonelikteki her depolama hesabında Depolama için Defender ayarlarını devralır. Tek tek depolama hesaplarının ayarlarını abonelik düzeyinde yapılandırılan hesaplardan farklı yapılandırmak için Depolama abonelik düzeyi ayarları için Defender'ı Geçersiz Kıl'ı kullanın.

Aboneliklerin ayarlarını geçersiz kılma işlemi genellikle aşağıdaki senaryolar için kullanılır:

  • Kötü Amaçlı Yazılım Tarama veya Veri duyarlılığı tehdit algılama özelliklerini etkinleştirin/devre dışı bırakın.
  • Kötü Amaçlı Yazılım Taraması için özel ayarları yapılandırın.
  • Belirli depolama hesaplarında Depolama için Microsoft Defender'ı devre dışı bırakın.

Not

Mevcut ve gelecekteki tüm depolama hesaplarını korumak için aboneliğin tamamında Depolama için Defender'ı etkinleştirmenizi öneririz. Ancak bazı durumlarda belirli depolama hesaplarını Defender korumasının dışında tutmak isteyebilirsiniz. Dışlamaya karar verdiyseniz, geçersiz kılma ayarını kullanmak için aşağıdaki adımları izleyin ve ardından ilgili depolama hesabını devre dışı bırakın. Depolama için Defender kullanıyorsanız (klasik), depolama hesaplarını da hariç tutabilirsiniz.

Azure portal

Azure portalını kullanarak abonelik düzeyinde yapılandırılanlardan farklı tek tek depolama hesaplarının ayarlarını yapılandırmak için:

  1. Azure Portal’ında oturum açın.

  2. Özel ayarları yapılandırmak istediğiniz depolama hesabınıza gidin.

  3. Depolama hesabı menüsündeki Güvenlik + ağ bölümünde Bulut için Microsoft Defender'ı seçin.

  4. Depolama için Microsoft Defender'da Ayarlar'ı seçin.

  5. Depolama abonelik düzeyi ayarları için Defender'ı Geçersiz Kıl (Gelişmiş ayarlar'ın altında) durumunu Açık olarak ayarlayın. Bunu yapmak, ayarların yalnızca bu depolama hesabı için kaydedilmesini ve abonelik ayarları tarafından kullanılmamasını sağlar.

  6. Değiştirmek istediğiniz ayarları yapılandırın:

    1. Kötü amaçlı yazılım taramasını veya hassas veri tehdidi algılamayı etkinleştirmek için durumu Açık olarak ayarlayın.

    2. Kötü amaçlı yazılım tarama ayarlarını değiştirmek için:

      1. Önceden etkinleştirilmemişse Karşıya yüklenen kötü amaçlı yazılım taramasınıAçık olarak değiştirin.

      2. Depolama hesaplarınızda kötü amaçlı yazılım taraması için aylık eşiği ayarlamak için Aylık taranan GB sınırını ayarla adlı parametreyi istediğiniz değerle değiştirebilirsiniz. Bu parametre her ay, özellikle de her depolama hesabı için, kötü amaçlı yazılım taraması yapılabilecek maksimum veri miktarını belirler. Sınırsız taramaya izin vermek istiyorsanız bu parametrenin işaretini kaldırabilirsiniz. Varsayılan sınır 5.000 GB olarak ayarlanır.

  7. Bu depolama hesabında Depolama için Defender'ı devre dışı bırakmak için Depolama için Microsoft Defender'ın durumunu Kapalı olarak ayarlayın.

    Azure portalında Depolama için Defender'ın nerede kapatıldığını gösteren ekran görüntüsü.

    Kaydet'i seçin.

REST API

REST API kullanarak abonelik düzeyinde yapılandırılanlardan farklı tek tek depolama hesaplarının ayarlarını yapılandırmak için:

Bu uç nokta ile bir PUT isteği oluşturun. Uç nokta URL'sindeki subscriptionId, resourceGroupName ve accountName değerlerini uygun şekilde kendi Azure abonelik kimliğiniz, kaynak grubu ve depolama hesabı adlarınızla değiştirin.

İstek URL'si:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

İstek Gövdesi:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Kötü amaçlı yazılım taramasını veya hassas veri tehdidi algılamayı etkinleştirmek için , ilgili özellikler altında isEnabled değerini true olarak ayarlayın.

  2. Kötü amaçlı yazılım tarama ayarlarını değiştirmek için onUpload altındaki ilgili alanları düzenleyin, isEnabled değerinin true olduğundan emin olun. Sınırsız taramaya izin vermek istiyorsanız - 1 değerini capGBPerMonth parametresine atayın.

  3. Bu depolama hesaplarında Depolama için Defender'ı devre dışı bırakmak için aşağıdaki istek gövdesini kullanın:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

parametresini overrideSubscriptionLevelSettings eklediğinizden ve değerinin true olarak ayarlandığından emin olun. Bunu yapmak, ayarların yalnızca bu depolama hesabı için kaydedilmesini ve abonelik ayarları tarafından kullanılmamasını sağlar.

Sonraki adım

Kötü amaçlı yazılım tarama ayarları hakkında daha fazla bilgi edinin.