IaC 템플릿을 사용하여 Storage용 Defender 사용 및 구성

Terraform 템플릿

Terraform을 사용하여 구독 수준에서 Storage용 Defender를 사용하도록 설정하고 구성하려면 다음 코드 조각을 사용할 수 있습니다.

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "10000"
      BlobScanResultsOptions = "BlobIndexTags"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

이 코드를 사용자 지정하면 다음을 수행할 수 있습니다.

• 맬웨어 검사에 대한 월별 한도 수정: 매개 변수를 CapGBPerMonthPerStorageAccount 원하는 값으로 조정합니다. 이 매개 변수는 스토리지 계정당 매월 맬웨어를 검사할 수 있는 최대 데이터의 한도를 설정합니다. 무제한 검사를 허용하려면 값을 -1할당합니다. 기본 제한은 10,000GB입니다.
• 업로드 중인 맬웨어 검색 또는 중요한 데이터 위협 검색 기능을 해제합니다. Terraform 코드에서 해당 확장 블록을 제거합니다.
• Defender for Storage 계획 전체를 비활성화합니다: tier 속성 값을 "Free"로 설정하고, subPlan 및 extension 속성을 제거합니다.

리소스에 대한 azurerm_security_center_subscription_pricing 자세한 내용은 해당 Terraform 설명서를 참조하세요. Terraform AzureRM 설명서에서 Azure용 Terraform 공급자에 대한 포괄적인 세부 정보를 찾을 수도 있습니다.

Bicep 템플릿

Bicep을 사용하여 구독 수준에서 Storage용 Defender를 사용하도록 설정하고 구성하려면 대상 범위가 .로 설정되어 있는지 확인합니다subscription. Bicep 템플릿에 다음 코드를 추가합니다.

targetScope = 'subscription'

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '10000'
          BlobScanResultsOptions: 'BlobIndexTags'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

이 코드를 사용자 지정하면 다음을 수행할 수 있습니다.

• 맬웨어 검사에 대한 월별 한도 수정: 매개 변수를 CapGBPerMonthPerStorageAccount 원하는 값으로 조정합니다. 이 매개 변수는 스토리지 계정당 매월 맬웨어를 검사할 수 있는 최대 데이터의 한도를 설정합니다. 무제한 검사를 허용하려면 값을 -1할당합니다. 기본 제한은 10,000GB입니다.
• 업로드 시 맬웨어 검색 또는 중요 데이터 위협 탐지 기능을 끄기: isEnabled 아래의 값을 False에서 SensitiveDataDiscovery로 변경합니다.
• Defender for Storage 계획 전체를 비활성화합니다: pricingTier 속성 값을 Free로 설정하고, subPlan 및 extensions 속성을 제거합니다.

Microsoft.Security 가격 책정 설명서에서 Bicep 템플릿에 대해 자세히 알아봅니다.

Azure Resource Manager 템플릿

ARM 템플릿(Azure Resource Manager 템플릿)을 사용하여 구독 수준에서 Defender for Storage를 사용하도록 설정하고 구성하려면 ARM 템플릿 섹션에 resources 다음 JSON 코드 조각을 추가합니다.

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "10000",
                    "BlobScanResultsOptions": "BlobIndexTags"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

이 코드를 사용자 지정하면 다음을 수행할 수 있습니다.

• 맬웨어 검사에 대한 월별 한도 수정: 매개 변수를 CapGBPerMonthPerStorageAccount 원하는 값으로 조정합니다. 이 매개 변수는 스토리지 계정당 매월 맬웨어를 검사할 수 있는 최대 데이터의 한도를 설정합니다. 무제한 검사를 허용하려면 값을 -1할당합니다. 기본 제한은 10,000GB입니다.
• 업로드 시 맬웨어 검색 또는 중요 데이터 위협 탐지 기능을 끄기: isEnabled 아래의 값을 False에서 SensitiveDataDiscovery로 변경합니다.
• Defender for Storage 계획 전체를 비활성화합니다: pricingTier 속성 값을 Free로 설정하고, subPlan 및 extension 속성을 제거합니다.

Microsoft.Security 가격 책정 설명서에서 ARM 템플릿에 대해 자세히 알아봅니다.

Terraform 템플릿

Terraform을 사용하여 스토리지 계정 수준에서 Storage용 Defender를 사용하도록 설정하고 구성하려면 AzAPI 공급자 를 가져오고 다음 코드 조각을 사용합니다.

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 10000
          blobScanResultsOptions = BlobIndexTags
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

이 코드에서 azapi_resource_action 은 Storage용 Defender의 구성에 특정된 작업입니다. Terraform의 일반적인 리소스 선언과 다릅니다. 리소스에 대한 특정 작업(예: 기능 사용 또는 사용 안 함)을 수행하는 데 사용됩니다.

이 코드를 사용자 지정하면 다음을 수행할 수 있습니다.

• 맬웨어 검사에 대한 월별 한도 수정: 매개 변수를 capGBPerMonth 원하는 값으로 조정합니다. 이 매개 변수는 스토리지 계정당 매월 맬웨어를 검사할 수 있는 최대 데이터의 한도를 설정합니다. 무제한 검사를 허용하려면 값을 -1할당합니다. 기본 제한은 10,000GB입니다.

• 업로드 시 맬웨어 스캔 또는 민감한 데이터 위협 탐지 기능 비활성화: isEnabled 또는 False 속성의 섹션에서 값을 malwareScanning로 변경하십시오.

• 전체 Defender for Storage 플랜을 비활성화합니다: 다음 코드 조각을 사용합니다.

  resource "azurerm_storage_account" "example" { ... }
  
  resource "azapi_resource_action" "disable_defender_for_Storage" {
    type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
    resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
    method      = "PUT"
  
    body = jsonencode({
      properties = {
        isEnabled = false
        overrideSubscriptionLevelSettings = false
      }
    })
  }
  

  구독 수준에서 Defender for Storage를 사용하도록 설정된 구독에서 스토리지 계정에 대한 Defender for Storage 계획을 사용하지 않도록 설정하려면 값을 overrideSubscriptionLevelSettingsTrue로 변경할 수 있습니다. 일부 기능을 사용하도록 설정하려면 그에 따라 속성을 수정하면 됩니다.

스토리지 계정의 보안 설정에 대한 추가 사용자 지정 및 제어는 Microsoft.Security/defenderForStorageSettings API 설명서를 참조하세요. Terraform AzureRM 설명서에서 Azure용 Terraform 공급자에 대한 포괄적인 세부 정보를 찾을 수도 있습니다.

Bicep 템플릿

Bicep을 사용하여 스토리지 계정 수준에서 Storage용 Defender를 사용하도록 설정하고 구성하려면 Bicep 템플릿에 다음 코드를 추가합니다.

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 10000
        blobScanResultsOptions: BlobIndexTags
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

이 코드를 사용자 지정하면 다음을 수행할 수 있습니다.

• 맬웨어 검사에 대한 월별 한도 수정: 매개 변수를 capGBPerMonth 원하는 값으로 조정합니다. 이 매개 변수는 스토리지 계정당 매월 맬웨어를 검사할 수 있는 최대 데이터의 한도를 설정합니다. 무제한 검사를 허용하려면 값을 -1할당합니다. 기본 제한은 10,000GB입니다.
• 업로드 시 맬웨어 스캔 또는 민감한 데이터 위협 탐지 기능 비활성화: isEnabled 또는 False 속성의 섹션에서 값을 malwareScanning로 변경하십시오.
• 전체 Defender for Storage 계획을 사용하지 않도록 설정합니다: isEnabled 속성 값을 False로 설정하고, 속성에서 malwareScanning 및 sensitiveDataDiscovery 섹션을 제거합니다.

자세한 내용은 Microsoft.Security/DefenderForStorageSettings API 설명서를 참조하세요.

ARM template

ARM 템플릿(Azure Resource Manager 템플릿)을 사용하여 스토리지 계정 수준에서 Storage용 Defender를 사용하도록 설정하고 구성하려면 ARM 템플릿 섹션에 resources 다음 JSON 코드 조각을 추가합니다.

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 10000,
                "blobScanResultsOptions": BlobIndexTags
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

이 코드를 사용자 지정하면 다음을 수행할 수 있습니다.

• 맬웨어 검사에 대한 월별 한도 수정: 매개 변수를 capGBPerMonth 원하는 값으로 조정합니다. 이 매개 변수는 스토리지 계정당 매월 맬웨어를 검사할 수 있는 최대 데이터의 한도를 설정합니다. 무제한 검사를 허용하려면 값을 -1할당합니다. 기본 제한은 10,000GB입니다.
• 업로드 시 맬웨어 스캔 또는 민감한 데이터 위협 탐지 기능 비활성화: isEnabled 또는 False 속성의 섹션에서 값을 malwareScanning로 변경하십시오.
• 전체 Defender for Storage 계획을 사용하지 않도록 설정합니다: isEnabled 속성 값을 False로 설정하고, 속성에서 malwareScanning 및 sensitiveDataDiscovery 섹션을 제거합니다.