你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用 Microsoft Defender for Cloud PowerShell 模块以编程方式保护Azure工作负荷。 借助 PowerShell,可以自动执行任务,并可避免手动任务中固有的人为错误。 对于涉及几十个订阅、数百乃至数千个资源的大规模部署,这一方法尤为有用,因为所有这些资源必须从一开始就得到保护。
使用 PowerShell 载入Microsoft Defender for Cloud可让你以编程方式自动载入和管理Azure资源并添加必要的安全控制。
本文提供了一个可在环境中修改和使用的示例 PowerShell 脚本,用于跨订阅推出Defender for Cloud。
在此示例中,我们将对 ID 为 <Subscription ID> 的订阅启用 Defender for Cloud,并通过启用 Microsoft Defender for Cloud 的高级安全功能,实现提供高级威胁防护和检测能力的建议设置应用。
启用 Microsoft Defender for Cloud 增强的安全性。
分配Defender for Cloud的 default 安全策略。
先决条件
运行 Defender for Cloud cmdlet 之前,应执行这些步骤:
以管理员身份运行 PowerShell。
在 PowerShell 中运行以下命令:
Set-ExecutionPolicy -ExecutionPolicy AllSignedInstall-Module -Name Az.Security -Force
使用 PowerShell 载入Defender for Cloud
请将订阅注册到 Defender for Cloud 资源提供程序:
Set-AzContext -Subscription "<Subscription ID>"Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'可选:设置订阅的覆盖范围级别(Microsoft Defender for Cloud增强的安全功能打开/关闭)。 这些功能在未定义的情况下处于关闭状态:
Set-AzContext -Subscription "<Subscription ID>"Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"可选:强烈建议为加入的订阅定义安全联系人详细信息,这些订阅将用作Defender for Cloud生成的警报和通知的收件人:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert分配默认的 Defender for Cloud 策略举措:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
已使用 PowerShell 成功载入Microsoft Defender for Cloud。
现在可以将这些 PowerShell cmdlet命令与自动化脚本结合使用,以便以编程方式遍历订阅和资源。 这可节省时间并减少人为错误的可能性。 可以使用此 sample 脚本作为参考。
另请参阅
若要详细了解如何使用 PowerShell 自动载入到Defender for Cloud,请参阅以下文章:
若要了解有关Defender for Cloud的详细信息,请参阅以下文章:
- 在 Microsoft Defender for Cloud 中设置安全策略。 了解如何为Azure订阅和资源组配置安全策略。
- 管理并响应 Microsoft Defender for Cloud 中的安全警报。 了解如何管理和响应安全警报。