部署適用於儲存體的 Microsoft Defender

適用於儲存體的 Microsoft Defender 是一項 Azure 原生解決方案，可為儲存體帳戶中的威脅偵測和風險降低提供進階的情報層，這是透過 Microsoft 威脅情報、Microsoft Defender 反惡意程式碼軟體技術和敏感性資料探索推動。 透過 Azure Blob 儲存體、Azure 檔案儲存體和 Azure Data Lake Storage 服務的保護，其提供完整的警示套件、近乎即時的惡意程式碼掃描 (附加元件) 和敏感性資料威脅偵測 (無額外費用)，可允許使用快速偵測、分級及回應潛在的安全性威脅並提供內容資訊。 其有助於防止資料和工作負載受到三大影響：惡意檔案上傳、敏感性資料外流和資料損毀。

有了適用於儲存體的 Microsoft Defender，組織可以自訂其保護，並實施一致的安全性原則，方法是在訂用帳戶和儲存體帳戶上加以啟用，並具有細微控制和彈性。

提示

如果您目前使用適用於儲存體的 Microsoft Defender 傳統版，請考量移轉至新方案，其較傳統方案提供數個優點。

可用性

層面	詳細資料
版本狀態：	正式發行 (GA)
功能可用性：	- 活動監視 (安全性警示) - 正式發行 (GA) - 惡意程式碼掃描 - 正式發行 (GA) - 敏感性資料威脅偵測 (敏感性資料探索) – 預覽 若要深入了解，請參閱價格頁面。
必要的角色和權限：	針對在訂用帳戶和儲存體帳戶層級的惡意程式碼掃描和敏感性資料威脅偵測，您需要擁有者角色 (訂用帳戶擁有者/儲存體帳戶擁有者) 或具有對應資料動作的特定角色。 若要啟用活動監視，您需要「安全性系統管理員」權限。 深入了解必要的權限。
雲端：	Azure 商業雲* Azure Government (僅限傳統方案的活動監視支援) Azure China 21Vianet 已連線的 AWS 帳戶

*惡意程式碼掃描和敏感性資料威脅偵測不支援 Azure DNS 區域。

惡意程式碼掃描的必要條件

若要啟用和設定惡意程式碼掃描，您必須為擁有者角色 (例如訂用帳戶擁有者或儲存體帳戶擁有者) 或具有必要資料動作的特定角色。 深入了解必要的權限。

設定適用於儲存體的 Microsoft Defender

若要啟用和設定適用於儲存體的 Microsoft Defender，並確保獲得最大的保護和成本最佳化，可以使用下列設定選項：

• 在訂用帳戶和儲存體帳戶層級啟用/停用適用於儲存體的 Microsoft Defender。
• 啟用/停用惡意程式碼掃描或敏感性資料威脅偵測可設定的功能。
• 設定每月每個儲存體帳戶的惡意程式碼掃描每月上限 (「上限」)，以控制成本 (預設值為 5,000 GB)。
• 設定方法以設定惡意程式碼掃描結果的回應。
• 設定儲存惡意程式碼掃描結果記錄的方法。

提示

惡意程式碼掃描功能有進階設定，可協助安全性小組支援不同的工作流程和需求。

• 覆寫訂用帳戶層級設定，以使用與訂用帳戶層級所設定不同的自訂設定來設定特定儲存體帳戶。

有數種方法可以啟用和設定適用於儲存體的 Defender：使用 Azure 內建原則 (建議方法)，以程式設計方式使用基礎結構做為程式碼範本，包括 Terraform、Bicep 和 ARM 範本，使用 Azure 入口網站或直接使用 REST API。

建議透過原則啟用適用於儲存體的 Defender，因為其有助於大規模啟用，並可確保在定義範圍內 (例如整個管理群組) 的所有現有和未來的儲存體帳戶上套用一致的安全性原則。 這會根據組織定義的設定，使用適用於儲存體的 Defender 保護儲存體帳戶。

注意

若要防止移轉回舊版的傳統方案，請務必停用舊的適用於儲存體的 Defender 原則。 尋找並停用名為 Configure Azure Defender for Storage to be enabled、Azure Defender for Storage should be enabled 或 Configure Microsoft Defender for Storage to be enabled (per-storage account plan) 的原則，或拒絕使傳統方案無法停用得原則。

下一步

• 了解如何使用 Azure 內建原則大規模啟用和設定適用於儲存體的 Defender 方案。