你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Microsoft Defender for Storage（经典版）

项目
08/01/2023

本文介绍了如何使用各种模板（如 PowerShell、REST API 等）启用和配置订阅上的 Microsoft Defender for Storage（经典版）。

你还可以升级到新的 Microsoft Defender for Storage 计划，并使用高级安全功能，包括恶意软件扫描和敏感数据威胁检测。受益于按存储帐户收费的更可预测且更加精细的定价结构，但高数据量事务额外收费。这一新定价计划还包括所有新的安全功能和检测。

注意

如果使用的是按事务或按存储帐户定价的 Defender for Storage（经典版），则需要迁移到新的 Defender for Storage 计划才能使用这些功能和定价。了解有关迁移到新的 Defender for Storage 计划的信息。

用于存储的 Microsoft Defender 是 Azure 原生安全智能层，用于检测试图访问或利用你的存储帐户的异常或可能有害的企图。它使用高级威胁检测功能和 Microsoft 威胁智能数据来提供上下文安全警报。这些警报还包括用于缓解检测到的威胁并防止未来攻击的步骤。

Microsoft Defender for Storage 持续分析 Azure Blob 存储、Azure Data Lake Storage 和 Azure 文件存储服务的事务。当检测到潜在的恶意活动时，将生成安全警报。 Microsoft Defender for Cloud 中会显示警报，其中包含可疑活动的详细信息、适当的调查步骤、补救措施和安全建议。

分析的 Azure Blob 存储遥测操作类型包括“获取 blob”、“放置 Blob”、“获取容器 ACL”、“列出 blob”和“获取 Blob 属性”等。分析的 Azure 文件存储操作类型的示例包括“获取文件”、“创建文件”、“列出文件”、“获取文件属性”和“放置范围”。

Defender for Storage 经典版不会访问存储帐户数据，也不会影响其性能。

详细了解 Defender for Storage 的优势、功能和限制。还可以在 Defender for Cloud 实际应用视频系列的 Defender for Storage 事件中了解有关 Defender for Storage 的详细信息。

可用性

方面	详细信息
发布状态：	正式发布版 (GA)
定价：	Microsoft Defender for Storage 的计费显示在 Azure 门户的定价详细信息和 Defender 计划页面中
受保护的存储类型：	Blob 存储（标准/高级存储 V2、块 Blob） Azure 文件存储（REST API 和 SMB） Azure Data Lake Storage Gen2（启用了分层命名空间的标准/高级帐户）
云：	商用云 Azure 政府（仅适用于按事务计划）由世纪互联运营的 Microsoft Azure 连接的 AWS 帐户

设置 Microsoft Defender for Storage（经典版）

为订阅设置按事务定价

对于 Defender for Storage 按事务定价，建议为每个订阅启用 Defender for Storage，以便保护所有现有和新的存储帐户。如果只想保护特定帐户，请为每个帐户配置 Defender for Storage。

可以通过多种方式在订阅上配置 Microsoft Defender for Storage：

Terraform 模板
Bicep 模板
ARM 模板
PowerShell
Azure CLI
REST API

Terraform 模板

若要使用 Terraform 模板在订阅级别启用 Microsoft Defender for Storage 按事务定价，请将此代码片段添加到模板中，并将订阅 ID 用作 parent_id 值：

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

若要禁用该计划，请将 pricingTier 属性值设置为 Free 并删除 subPlan 属性。

详细了解 ARM 模板 AzAPI 参考。

Bicep 模板

若要使用 Bicep 在订阅级别启用 Microsoft Defender for Storage 按事务定价，请将以下内容添加到 Bicep 模板：

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

若要禁用该计划，请将 pricingTier 属性值设置为 Free 并删除 subPlan 属性。

详细了解 Bicep 模板 AzAPI 参考。

ARM 模板

若要使用 ARM 模板在订阅级别启用 Microsoft Defender for Storage 按事务定价，请将以下 JSON 代码片段添加到 ARM 模板的资源部分：

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

若要禁用该计划，请将 pricingTier 属性值设置为 Free 并删除 subPlan 属性。

详细了解 ARM 模板 AzAPI 参考。

PowerShell

使用 PowerShell 在订阅级别启用 Microsoft Defender for Storage 按事务定价：

如果尚未安装，请安装 Azure Az PowerShell 模块。
使用 Connect-AzAccount cmdlet 登录到 Azure 帐户。详细了解如何使用 Azure PowerShell 登录 Azure。
使用以下命令将订阅注册到 Microsoft Defender for Cloud 资源提供程序：
```
Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
```
将 <subscriptionId> 替换为订阅 ID。
使用 Set-AzSecurityPricing cmdlet 为订阅启用 Microsoft Defender for Storage：
```
Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
```

提示

可以使用 GetAzSecurityPricing (Az_Security) 查看为订阅启用的所有 Defender for Cloud 计划。

若要禁用该计划，请将 -PricingTier 属性值设置为 Free。

详细了解如何将 PowerShell 与 Microsoft Defender for Cloud 配合使用。

Azure CLI

使用 Azure CLI 在订阅级别启用 Microsoft Defender for Storage 按事务定价：

如果尚未安装，请安装 Azure CLI。
使用 az login 命令登录到 Azure 帐户。详细了解如何使用 Azure CLI 登录 Azure。
使用以下命令设置订阅 ID 和名称：
```
az account set --subscription "<subscriptionId or name>"
```
将 <subscriptionId> 替换为订阅 ID。
使用 az security pricing create 命令为订阅启用 Microsoft Defender for Storage：
```
az security pricing create -n StorageAccounts --tier "standard"
```

提示

可以使用 az security pricing show 命令查看为订阅启用的所有 Defender for Cloud 计划。

若要禁用该计划，请将 -tier 属性值设置为 free。

详细了解 az security pricing create 命令。

REST API

若要使用 Microsoft Defender for Cloud REST API 在订阅级别启用 Microsoft Defender for Storage 按事务定价，请使用此终结点和正文创建 PUT 请求：

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

将 {subscriptionId} 替换为订阅 ID。

若要禁用该计划，请将 -pricingTier 属性值设置为 Free 并删除 subPlan 参数。

详细了解如何在 HTTP、Java、Go 和 JavaScript 中使用 REST API 更新 Defender 计划。

为存储帐户设置按事务定价

可以通过多种方式在帐户上配置 Microsoft Defender for Storage 按事务定价：

ARM 模板
PowerShell
Azure CLI

ARM 模板

若要使用 ARM 模板为特定存储帐户启用 Microsoft Defender for Storage 按事务定价，请使用准备好的 Azure 模板。

如果要在帐户上禁用 Defender for Storage，请执行以下操作：

登录到 Azure 门户。
导航到存储帐户。
在存储帐户菜单的“安全性 + 网络”部分，选择“Microsoft Defender for Cloud”。
选择“禁用”。

PowerShell

使用 PowerShell 为特定存储帐户启用 Microsoft Defender for Storage 按事务定价：

如果尚未安装，请安装 Azure Az PowerShell 模块。
使用 Connect-AzAccount cmdlet 登录到 Azure 帐户。详细了解如何使用 Azure PowerShell 登录 Azure。
使用 Enable-AzSecurityAdvancedThreatProtection cmdlet 为所需的存储帐户启用 Microsoft Defender for Storage：
```
Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
```
将 <subscriptionId>、<resource-group> 和 <storage-account> 替换为你的环境的值。

如果要为特定存储帐户禁用按事务定价，请使用 Disable-AzSecurityAdvancedThreatProtection cmdlet：

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

详细了解如何将 PowerShell 与 Microsoft Defender for Cloud 配合使用。

Azure CLI

使用 Azure CLI 为特定存储帐户启用 Microsoft Defender for Storage 按事务定价：

如果尚未安装，请安装 Azure CLI。
使用 az login 命令登录到 Azure 帐户。详细了解如何使用 Azure CLI 登录 Azure。

使用 az security atp storage update 命令为订阅启用 Microsoft Defender for Storage：

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled true

提示

可以使用 az security atp storage show 命令查看是否在帐户上启用了 Defender for Storage。

若要为订阅禁用 Microsoft Defender for Storage，请使用 az security atp storage update 命令：

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

详细了解 az security atp storage 命令。

从每事务计划的受保护订阅中排除存储帐户

在每事务定价的订阅上启用 Microsoft Defender for Storage 时，该订阅中的所有当前和未来 Azure 存储帐户都受到保护。可以使用 Azure 门户、PowerShell 或 Azure CLI 从 Defender for Storage 保护中排除特定的存储帐户。

建议在整个订阅上启用 Defender for Storage，以保护其中的所有现有和将来的存储帐户。但是，在某些情况下，需要从 Defender 保护中排除特定的存储帐户。

从受保护的订阅中排除存储帐户需要执行以下操作：

添加标记以阻止继承订阅启用。
禁用 Defender for Storage（经典版）。

注意

如果您有不想加入 Defender for Storage 经典版计划的存储帐户，请考虑升级到新的 Defender for Storage 计划。这不仅可以节省事务密集型帐户的成本，还可以访问增强的安全功能。详细了解迁移到新计划的好处。

迁移到新计划时，不会自动排除 Defender for Storage 经典版中已排除的存储帐户。

对每事务定价的订阅排除 Azure 存储帐户保护

若要在 Microsoft Defender for Storage（经典版）中排除 Azure 存储帐户，可以使用：

PowerShell
Azure CLI

使用 PowerShell 排除 Azure 存储帐户

如果未安装 Azure Az PowerShell 模块，请按照 Azure PowerShell 文档中的说明安装它。
使用经过身份验证的帐户，使用 Connect-AzAccount cmdlet 连接到Azure，如使用 Azure PowerShell 登录中所述。
使用 Update-AzTag cmdlet 在存储帐户上定义 AzDefenderPlanAutoEnable 标记（将 ResourceId 替换为相关存储帐户的资源 ID）：
```
Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
```
如果跳过此阶段，则未标记的资源会继续从订阅级别启用策略接收每日更新。该策略会在该帐户上再次启用 Defender for Storage。请参阅使用标记整理 Azure 资源和管理层次结构，详细了解标记。
使用 Disable-AzSecurityAdvancedThreatProtection cmdlet（使用相同的资源 ID）为相关订阅上的所需帐户禁用 Microsoft Defender for Storage：
```
Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
```
详细了解此 cmdlet。

使用 Azure CLI 排除 Azure 存储帐户

如果尚未安装 Azure CLI，请按照 Azure CLI 文档中的说明安装它。
使用经过身份验证的帐户和 login 命令连接到 Azure（如使用 Azure CLI 登录中所述），在系统提示时输入帐户凭据：
```
az login
```
使用 tag update 命令在存储帐户上定义 AzDefenderPlanAutoEnable 标记（将 ResourceId 替换为相关存储帐户的资源 ID）：
```
az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
```
如果跳过此阶段，则未标记的资源会继续从订阅级别启用策略接收每日更新。该策略会在该帐户上再次启用 Defender for Storage。

提示

详细了解 az tag 中的标记。
使用 security atp storage 命令（使用相同的资源 ID）为相关订阅上的所需帐户禁用 Microsoft Defender for Storage：
```
az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
```
详细了解此命令。

排除 Azure Databricks 存储帐户

排除活动的 Databricks 工作区

如果已在订阅上启用计划，则 Microsoft Defender for Storage 可以排除特定的活动 Databricks 工作区存储帐户。

排除活动的 Databricks 工作区：

登录 Azure 门户。
导航到 Azure Databricks >Your Databricks workspace>“标签”。
在“名称”字段中，输入 AzDefenderPlanAutoEnable。
在“值”字段中输入 off，然后选择“应用”。
导航到 Microsoft Defender for Cloud >“环境设置”>Your subscription。
将 Defender for Storage 计划设置为“关闭”，然后选择“保存”。
使用支持的方法之一重新启用 Defender for Storage（经典版）（无法从 Azure 门户启用 Defender for Storage 经典版）。

标记由 Databricks 工作区的存储帐户继承，并阻止启用 Defender for Storage。

注意

不能将标记直接添加到 Databricks 存储帐户或其受管理资源组。

阻止在新的 Databricks 工作区存储帐户上自动启用

当你创建新的 Databricks 工作区时，你可以添加一个标记，该标记会阻止自动启用你的 Microsoft Defender for Storage 帐户。

要阻止在新的 Databricks 工作区存储帐户上自动启用：

按照这些步骤创建新的 Azure Databricks 工作区。
在“标记”选项卡中，输入名为 AzDefenderPlanAutoEnable 的标记。
输入值 off。
继续按照说明创建新的 Azure Databricks 工作区。

Microsoft Defender for Storage 帐户会继承 Databricks 工作区的标记，这会阻止自动启用 Defender for Storage。

后续步骤

查看 Azure 存储警报
了解 Defender for Storage 的功能和优势
查看 Defender for Storage 经典版的常见问题。

启用 Microsoft Defender for Storage（经典版）

可用性

设置 Microsoft Defender for Storage（经典版）

为订阅设置按事务定价

Terraform 模板

Bicep 模板

ARM 模板

PowerShell

Azure CLI

REST API

为存储帐户设置按事务定价

ARM 模板

PowerShell

Azure CLI

从每事务计划的受保护订阅中排除存储帐户

对每事务定价的订阅排除 Azure 存储帐户保护

使用 PowerShell 排除 Azure 存储帐户

使用 Azure CLI 排除 Azure 存储帐户

排除 Azure Databricks 存储帐户

排除活动的 Databricks 工作区

阻止在新的 Databricks 工作区存储帐户上自动启用

后续步骤

其他资源