Habilitación y configuración de Microsoft Defender para Storage con Azure PowerShell

Habilite Defender para Storage en el nivel de suscripción con los precios por transacción usando el cmdlet Set-AzSecurityPricing:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "10000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Si no proporciona propiedades de extensión para el cmdlet, el examen de malware y la detección de datos confidenciales están habilitados de forma predeterminada.

Al personalizar este código, puede:

• Modificar el umbral mensual para el análisis de malware durante la carga: ajuste la propiedad de CapGBPerMonthPerStorageAccount con el valor que prefiera. Este parámetro establece un límite en los datos máximos que se pueden examinar para malware cada mes, por cuenta de almacenamiento. Si desea permitir el examen ilimitado, asigne el valor -1. El límite predeterminado es de 10 000 GB.
• Desactive la función de análisis de malware al cargar o detección de amenazas de datos sensibles: cambie el valor de isEnabled a False en las propiedades de la extensión OnUploadMalwareScanning y SensitiveDataDiscovery.
• Deshabilitar el plan completo de Defender para Storage: establezca el valor de propiedad de -PricingTier en Free y quite las propiedades -SubPlan y -Extension.

Para más información sobre el Set-AzSecurityPricing cmdlet, consulte la referencia de Azure PowerShell.

Habilite y configure Defender for Storage en el nivel de cuenta de almacenamiento mediante el Update-AzSecurityDefenderForStorage cmdlet . En el ejemplo siguiente, reemplace los <SubscriptionId>valores , <ResourceGroupName>y <StorageAccountName> por su propio identificador de suscripción de Azure, el grupo de recursos y el nombre de la cuenta de almacenamiento.

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Con Defender for Storage habilitado en el nivel de suscripción, el parámetro -OverrideSubscriptionLevelSetting es necesario para invalidar la configuración en el nivel de suscripción. Si no usa el parámetro override, las extensiones se establecen según la configuración de nivel de suscripción, independientemente de los valores de parámetro que proporcione en el cmdlet.

Al personalizar este código, puede:

• Modifique el umbral mensual para el examen de malware: ajuste el -OnUploadCapGBPerMonth parámetro a su valor preferido. Este parámetro establece un límite en el número máximo de datos que se van a analizar en busca de malware cada mes, por cuenta de almacenamiento. Si desea permitir el examen ilimitado, asigne el valor -1. El límite predeterminado es de 10 000 GB.
• Envío de resultados del examen de malware a Azure Event Grid: proporcione el identificador de recurso del tema de Event Grid en el parámetro -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>".
• Desactive la función de análisis de malware al cargar o de detección de amenazas de datos confidenciales: establezca -OnUploadIsEnabled:$false o -SensitiveDataDiscoveryIsEnabled:$false, respectivamente.
• Desactiva todo el plan de Defender para almacenamiento: establezca IsEnabled:$false, -OnUploadIsEnabled:$false, y -SensitiveDataDiscoveryIsEnabled:$false.

Para más información sobre el Update-AzSecurityDefenderForStorageRefer cmdlet, consulte la referencia de Azure PowerShell.