惡意程式碼掃描的進階設定
惡意程式碼掃描可以設定為將掃描結果傳送至下列項目:
- 事件方格自訂主題 - 根據每個掃描結果進行近乎即時的自動回應。
- Log Analytics 工作區 - 用於將每個掃描結果儲存在集中式記錄存放庫中,以進行合規性和稽核。
深入了解如何設定惡意程式碼掃描結果的回應。
提示
建議您嘗試 Ninja 訓練指示 (實作教室),使用有關如何測試惡意程式碼掃描端對端的詳細逐步指示,以及設定掃描結果的回應,在適用於儲存體的 Defender 中嘗試惡意程式碼掃描。 這是「實驗室」專案的一部分,可協助客戶使用適用於雲端的 Microsoft Defender 來提升,並提供其功能的實際操作體驗。
設定惡意程式碼掃描的記錄
針對啟用惡意程式碼掃描啟用的每個儲存體帳戶,您可以定義 Log Analytics 工作區目的地,以將每個掃描結果儲存在容易查詢的集中式記錄存放庫中。
將掃描結果傳送至 Log Analytics 之前,建立 Log Analytics 工作區或使用現有的工作區。
若要設定 Log Analytics 目的地,請瀏覽至相關的儲存體帳戶,開啟 [適用於雲端的 Microsoft Defender] 索引標籤,然後選取要設定的設定。
您也可以使用 REST API 來執行此設定:
要求 URL:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
要求本文:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
注意
Azure 入口網站會列出來自與儲存體帳戶相同訂用帳戶的 Log Analytics 工作區。 REST API 可用來設定來自相同租用戶之不同訂用帳戶的 Log Analytics 工作區,如上所述。
掃描結果會記錄在名為 StorageMalwareScanningResults
的資料表中。 此資料表會在系統記錄第一次掃描結果時建立。
設定惡意程式碼掃描的事件方格
針對啟用惡意程式碼掃描的每個儲存體帳戶,您可以針對自動化目的,設定為使用事件方格事件傳送每個掃描結果。
若要設定用於傳送掃描結果的事件方格,您首先必須預先建立自訂主題。 如需指導,請參閱有關建立自訂主題的事件方格文件。 確保目的地事件方格自訂主題是在與您想要從中傳送掃描結果的儲存體帳戶所在的相同區域中建立。
若要設定事件方格自訂主題目的地,請移至相關的儲存體帳戶,開啟 [適用於雲端的 Microsoft Defender] 索引標籤,然後選取要設定的設定。
注意
設定事件方格自訂主題時,您應該將 [適用於儲存體的 Defender 訂用帳戶層級設定] 設定為 [開啟],以確定其會覆寫訂用帳戶層級設定。
注意
Azure 入口網站會列出來自與儲存體帳戶相同訂用帳戶的事件方格主題。 REST API 可用來設定來自相同租用戶之不同訂用帳戶的事件方格主題,如下所述。 您也可以使用 REST API 來執行此設定:
要求 URL:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
要求本文:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
覆寫適用於儲存體的 Defender 訂用帳戶層級設定
訂用帳戶層級設定會繼承訂用帳戶中每個儲存體帳戶上適用於儲存體的 Defender 設定。 使用適用於儲存體的覆寫 Defender 訂用帳戶層級設定,設定不同於訂用帳戶層級上所設定的個別儲存體帳戶的設定。
覆寫訂用帳戶的設定通常用於下列案例:
- 啟用/停用惡意程式碼掃描或資料敏感度威脅偵測功能。
- 設定惡意程式碼掃描的自訂設定。
- 停用特定儲存體帳戶上的適用於儲存體的 Microsoft Defender。
注意
建議您在整個訂用帳戶上啟用適用於儲存體的 Defender,以保護其中的所有現有和未來的儲存體帳戶。 不過,在某些情況下,您會想要從 Defender 保護中排除特定的儲存體帳戶。 如果您已決定排除,請遵循下列步驟來使用覆寫設定,然後停用相關的儲存體帳戶。 如果您使用適用於儲存體的 Defender (傳統),也可以排除儲存體帳戶。
Azure 入口網站
若要使用 Azure 入口網站設定與訂用帳戶層級上設定不同的個別儲存體帳戶設定:
登入 Azure 入口網站。
瀏覽至您想要設定自訂設定的儲存體帳戶。
在儲存體帳戶功能表中,於 [安全性 + 網路功能] 區段中,選取 [適用於雲端的 Microsoft Defender]。
在適用於儲存體的 Microsoft Defender 中選取 [設定]。
將 [覆寫適用於儲存體的 Defender 訂用帳戶層級設定] ([進階設定] 下) 的狀態設定為 [開啟]。 這可確保只會儲存此儲存體帳戶的設定,而且不會由訂用帳戶設定覆寫。
設定您想要變更的設定:
若要啟用惡意程式碼掃描或敏感性資料威脅偵測,請將狀態設定為 [開啟]。
若要修改惡意程式碼掃描的設定:
如果尚未啟用,請將 [上傳時進行惡意程式碼掃描] 切換為 [開啟]。
若要調整儲存體帳戶中惡意程式碼掃描的每月閾值,您可以修改名為 [設定每月掃描的 GB 限制] 的參數。 此參數會決定每個月用於掃描惡意程式碼的資料量上限,特別是針對每個儲存體帳戶。 如果您想要允許無限制的掃描,您可以取消核取此參數。 上限預設為 5,000 GB。
若要停用此儲存體帳戶上的適用於儲存體的 Defender,請將適用於儲存體的 Microsoft Defender 狀態設定為 [關閉]。
選取 [儲存]。
REST API
若要使用 REST API 設定與訂用帳戶層級上設定不同的個別儲存體帳戶設定:
使用此端點建立 PUT 要求。 將端點 URL 中的 subscriptionId、resourceGroupName 和 accountName 取代為您自己的 Azure 訂用帳戶識別碼、資源群組和儲存體帳戶名稱。
要求 URL:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
要求本文:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
若要啟用惡意程式碼掃描或敏感性資料威脅偵測,請在相關功能下將 isEnabled 的值設定為 true。
若要修改惡意程式碼掃描的設定,請編輯 onUpload 底下的相關欄位,確定 isEnabled 的值為 true。 如果您要允許無限制的掃描,請將 -1 值指派給 capGBPerMonth 參數。
若要停用此儲存體帳戶上的適用於儲存體的 Defender,請使用下列要求本文:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
請務必新增 overrideSubscriptionLevelSettings
參數,並其值設定為 true。 這可確保只會儲存此儲存體帳戶的設定,而且不會由訂用帳戶設定覆寫。
後續步驟
深入了解惡意程式碼掃描設定。