部署 Microsoft Defender for Storage
Microsoft Defender for Storage 是一种 Azure 原生解决方案,提供高级智能层,用于存储帐户中的威胁检测和缓解,由 Microsoft 威胁智能、Microsoft Defender 反恶意软件技术和敏感数据发现提供支持。 借助对 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 服务的保护,它提供了一个全面的警报套件、准实时恶意软件扫描(加载项)和敏感数据威胁检测(无额外费用),允许通过上下文信息快速检测、会审和响应潜在安全威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。
借助 Microsoft Defender for Storage,组织可以自定义防护并强制实施一致的安全策略,方法是在具有精细控制和灵活性的订阅和存储帐户上启用该策略。
提示
如果已启用 Defender for Storage(经典版),但想要范围新的安全功能和定价,则需要迁移到新的定价计划。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 功能可用性: | - 活动监视(安全警报)- 正式发布 (GA) - 恶意软件扫描 - 正式发布 (GA) - 敏感数据威胁检测(敏感数据发现) - 预览版 查看定价页面了解更多信息。 |
| 所需角色和权限: | 对于订阅和存储帐户级别的恶意软件扫描和敏感数据威胁检测,需要所有者角色(订阅所有者/存储帐户所有者)或具有相应数据操作的特定角色。 若要启用活动监视,需要“安全管理员”权限。 详细了解所需权限。 |
| 云: |  Azure 商业云* Azure 政府(仅在经典计划中提供活动监视支持)Azure 中国世纪互联 连接的 AWS 帐户 |
恶意软件扫描和敏感数据威胁检测不支持 Azure 域名系统 (DNS) 区域。
恶意软件扫描的先决条件
要启用和配置恶意软件扫描,必须具有所有者角色(如订阅所有者或存储帐户所有者)或具有必要数据操作的特定角色。
安装并配置 Microsoft Defender for Storage
若要启用和配置 Microsoft Defender for Storage 并确保实现最大的保护和成本优化,可以使用以下配置选项:
- 在订阅和存储帐户级别启用/禁用 Microsoft Defender for Storage。
- 启用/禁用恶意软件扫描或敏感数据威胁检测可配置功能。
- 对每月每个存储帐户的恶意软件扫描设置每月上限(“上限”),以控制成本(默认值为 5,000GB)。
- 配置用于设置对恶意软件扫描结果的响应的方法。
- 配置用于保存恶意软件扫描结果日志的方法。
重要
恶意软件扫描功能具有高级配置,可帮助安全团队支持不同的工作流和要求。
- 替代订阅级设置,以使用自定义配置(与在订阅级别配置的设置不同)来配置特定存储帐户
可通过多种方式来启用和配置 Defender for Storage:使用 Azure 内置策略(建议的方法),以编程方式使用基础结构即代码模板(包括 Terraform、Bicep 和 Azure 资源管理器 [ARM] 模板)、使用 Azure 门户或直接使用 REST API。
建议通过策略启用 Defender for Storage,因为它有助于大规模启用,并确保在定义范围(例如整个管理组)内的所有现有和将来的存储帐户中应用一致的安全策略。 这会根据组织的定义配置,使用 Defender for Storage 保护存储帐户。
注意
若要防止迁移回旧版经典计划,请确保禁用旧的 Defender for Storage 策略。 查找并禁用名为 Configure Azure Defender for Storage to be enabled、应启用 Azure Defender for Storage,或 Configure Microsoft Defender for Storage to be enabled (per-storage account plan) 的策略,或拒绝阻止禁用经典计划的策略。