你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署 Microsoft Defender for Storage
Microsoft Defender for Storage 是一种 Azure 原生解决方案,提供高级智能层(用于存储帐户中的威胁检测和缓解),由 Microsoft 威胁智能、Microsoft Defender 反恶意软件技术和敏感数据发现提供支持。 借助对 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 服务的保护,它提供了一个全面的警报套件、准实时恶意软件扫描(加载项)和敏感数据威胁检测(无额外费用),允许通过上下文信息快速检测、会审和响应潜在安全威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。
借助 Microsoft Defender for Storage,组织可以自定义防护并强制实施一致的安全策略,方法是在具有精细控制和灵活性的订阅和存储帐户上启用该策略。
提示
如果你当前使用的是 Microsoft Defender for Storage 经典版,请考虑迁移到新计划,它与经典计划相比具有多项优势。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 功能可用性: | - 活动监视(安全警报)- 正式发布 (GA) - 恶意软件扫描 - 正式发布 (GA) - 敏感数据威胁检测(敏感数据发现) - 预览版 查看定价页面了解更多信息。 |
| 所需角色和权限: | 对于订阅和存储帐户级别的恶意软件扫描和敏感数据威胁检测,需要所有者角色(订阅所有者/存储帐户所有者)或具有相应数据操作的特定角色。 若要启用活动监视,需要“安全管理员”权限。 详细了解所需权限。 |
| 云: |  Azure 商业云* Azure 政府(仅在经典计划中提供活动监视支持)Azure 中国世纪互联 连接的 AWS 帐户 |
* 恶意软件扫描和敏感数据威胁检测不支持 Azure DNS 区域。
恶意软件扫描的先决条件
要启用和配置恶意软件扫描,必须具有所有者角色(如订阅所有者或存储帐户所有者)或具有必要数据操作的特定角色。 详细了解所需权限。
安装并配置 Microsoft Defender for Storage
若要启用和配置 Microsoft Defender for Storage 并确保实现最大的保护和成本优化,可以使用以下配置选项:
- 在订阅和存储帐户级别启用/禁用 Microsoft Defender for Storage。
- 启用/禁用恶意软件扫描或敏感数据威胁检测可配置功能。
- 对每月每个存储帐户的恶意软件扫描设置每月上限(“上限”),以控制成本(默认值为 5,000GB)。
- 配置用于设置对恶意软件扫描结果的响应的方法。
- 配置用于保存恶意软件扫描结果日志的方法。
提示
恶意软件扫描功能具有高级配置,可帮助安全团队支持不同的工作流和要求。
可通过多种方式启用并配置 Defender for Storage:使用 Azure 内置策略(推荐的方法)、以编程方式使用基础结构即代码模板(包括 Terraform、 Bicep 和 ARM 模板)、使用 Azure 门户、使用 PowerShell 或直接使用 REST API。
建议通过策略启用 Defender for Storage,因为它有助于大规模启用,并确保在定义范围(例如整个管理组)内的所有现有和将来的存储帐户中应用一致的安全策略。 这会根据组织的定义配置,使用 Defender for Storage 保护存储帐户。
注意
若要防止迁移回旧版经典计划,请确保禁用旧的 Defender for Storage 策略。 查找并禁用名为 Configure Azure Defender for Storage to be enabled、Azure Defender for Storage should be enabled 或 Configure Microsoft Defender for Storage to be enabled (per-storage account plan) 的策略,或拒绝会阻止禁用经典计划的策略。