Włączanie usługi Microsoft Defender for Storage (wersja klasyczna)

W tym artykule wyjaśniono, jak włączyć i skonfigurować usługę Microsoft Defender for Storage (klasyczną) w subskrypcjach przy użyciu różnych szablonów, takich jak program PowerShell, interfejs API REST i inne.

Możesz również uaktualnić do nowego planu usługi Microsoft Defender for Storage i korzystać z zaawansowanych funkcji zabezpieczeń, w tym skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych. Skorzystaj z przewidywalnej i szczegółowej struktury cenowej, która pobiera opłaty za konto magazynu, z dodatkowymi kosztami transakcji o dużej ilości. Ten nowy plan cenowy obejmuje również wszystkie nowe funkcje zabezpieczeń i wykrycia.

Usługa Microsoft Defender for Storage to natywna warstwa analizy zabezpieczeń platformy Azure, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Korzysta z zaawansowanych funkcji wykrywania zagrożeń i danych analizy zagrożeń w usłudze Microsoft Defender , aby zapewnić kontekstowe alerty zabezpieczeń. Te alerty obejmują kroki ograniczania wykrytych zagrożeń i zapobiegania przyszłym atakom.

Usługa Microsoft Defender for Storage stale analizuje transakcje usług Azure Blob Storage, Azure Data Lake Storage i Azure Files . W przypadku wykrycia potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Usługa Microsoft Defender for Cloud wyświetla alerty ze szczegółowymi informacjami o podejrzanych działaniach, odpowiednich krokach badaniach, akcjach korygowania i zaleceniach dotyczących zabezpieczeń.

Przeanalizowane dane telemetryczne usługi Azure Blob Storage obejmują typy operacji, takie jak Get Blob, Put Blob, Get Container ACL, List Blobs i Get Blob Properties. Przykłady analizowanych typów operacji usługi Azure Files obejmują pobieranie plików, tworzenie plików, wyświetlanie listy plików, pobieranie właściwości pliku i umieszczanie zakresu.

Usługa Defender for Storage klasyczna nie uzyskuje dostępu do danych konta usługi Storage i nie ma wpływu na jej wydajność.

Dowiedz się więcej o korzyściach, funkcjach i ograniczeniach usługi Defender for Storage. Więcej informacji na temat usługi Defender for Storage można również znaleźć w odcinku Defender for Storage z serii wideo Defender for Cloud in the Field.

Dostępność

Aspekt	Szczegóły
Stan wydania:	Ogólna dostępność
Cennik:	Opłaty za usługę Microsoft Defender for Storage są naliczane, jak pokazano w szczegółach cennika i w planach usługi Defender w witrynie Azure Portal
Typy chronionych magazynów:	Blob Storage (Standardowa/Premium StorageV2, blokowe obiekty blob) Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB) Azure Data Lake Storage Gen2 (konta w warstwie Standardowa/Premium z włączonymi hierarchicznymi przestrzeniami nazw)
Chmury:	Chmury komercyjne Azure Government (tylko dla planu transakcji) Platforma Microsoft Azure obsługiwana przez firmę 21Vianet Połączone konta platformy AWS

Konfigurowanie cen dla poszczególnych transakcji dla konta magazynu

Usługę Microsoft Defender for Storage można skonfigurować przy użyciu cen poszczególnych transakcji na kontach na kilka sposobów:

• Szablon usługi ARM
• Program PowerShell
• Interfejs wiersza polecenia platformy Azure

Szablon ARM

Aby włączyć usługę Microsoft Defender for Storage dla określonego konta magazynu z cenami dla poszczególnych transakcji przy użyciu szablonu usługi ARM, użyj przygotowanego szablonu platformy Azure.

Jeśli chcesz wyłączyć usługę Defender for Storage na koncie:

1. Zaloguj się w witrynie Azure Portal.
2. Przejdź do swojego konta usługi magazynowej.
3. W sekcji Zabezpieczenia + sieć w menu Konto usługi Storage wybierz pozycję Microsoft Defender dla Chmury.
4. Wybierz opcję Wyłącz.

PowerShell

Aby włączyć usługę Microsoft Defender dla magazynu dla określonego konta magazynu z cenami dla poszczególnych transakcji przy użyciu programu PowerShell:

1. Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.

2. Użyj polecenia cmdlet Connect-AzAccount, aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się na platformie Azure przy użyciu programu Azure PowerShell.

3. Włącz usługę Microsoft Defender for Storage dla żądanego konta magazynu przy użyciu polecenia cmdlet Enable-AzSecurityAdvancedThreatProtection.

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Zastąp <subscriptionId>, <resource-group> i <storage-account> odpowiednimi wartościami dla Twojego środowiska.

Jeśli chcesz wyłączyć cennik poszczególnych transakcji dla określonego konta magazynu, użyj Disable-AzSecurityAdvancedThreatProtection polecenia cmdlet :

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Dowiedz się więcej na temat korzystania z PowerShell z Microsoft Defender w chmurze.

CLI platformy Azure

Aby włączyć usługę Microsoft Defender dla magazynu dla określonego konta magazynu z cenami na transakcje przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Jeśli jeszcze go nie masz, zainstaluj interfejs wiersza polecenia platformy Azure.

2. az login Użyj polecenia , aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Włącz Microsoft Defender dla Storage dla swojej subskrypcji przy użyciu komendy az security atp storage update.

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Aby wyłączyć usługę Microsoft Defender for Storage (klasyczna) dla subskrypcji, użyj polecenia az security atp storage update.

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Dowiedz się więcej o poleceniu az security atp storage .

Wykluczanie konta magazynu z chronionej subskrypcji w ramach planu transakcji

Jeśli subskrypcja ma włączoną usługę Microsoft Defender for Storage , wszystkie bieżące i przyszłe konta usługi Azure Storage w tej subskrypcji są chronione. Określone konta magazynu można wykluczyć z ochrony usługi Defender for Storage przy użyciu portalu Azure, PowerShella lub Azure CLI.

Zalecamy włączenie usługi Defender for Storage w całej subskrypcji w celu ochrony wszystkich istniejących i przyszłych kont magazynu. Jednak w niektórych przypadkach użytkownicy chcą wykluczyć określone konta magazynowe z ochrony usługi Defender.

Wykluczenie kont przechowywania z chronionych subskrypcji wymaga:

1. Dodaj tag, aby zablokować dziedziczenie włączenia subskrypcji.
2. Wyłącz usługę Defender for Storage (klasyczną).

Wykluczanie ochrony konta usługi Azure Storage w subskrypcji z cennikiem poszczególnych transakcji

Aby wykluczyć konto usługi Azure Storage z usługi Microsoft Defender for Storage (wersja klasyczna), możesz użyć:

• PowerShell
• Azure CLI

Używanie programu PowerShell do wykluczania konta usługi Azure Storage

1. Jeśli nie masz zainstalowanego modułu Azure Az programu PowerShell, zainstaluj go, korzystając z instrukcji z dokumentacji programu Azure PowerShell.

2. Za pomocą uwierzytelnionego konta połącz się z platformą Azure za pomocą komendy Connect-AzAccount cmdlet, jak wyjaśniono w artykule Logowanie przy użyciu Azure PowerShell.

3. Zdefiniuj tag AzDefenderPlanAutoEnable na koncie magazynu za pomocą Update-AzTag polecenia cmdlet (zastąp wartość ResourceId identyfikatorem zasobu odpowiedniego konta magazynu):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Jeśli pominiesz ten etap, nieoznaczone zasoby będą nadal otrzymywać codzienne aktualizacje zgodnie z zasadami włączenia na poziomie subskrypcji. Te zasady ponownie włączają usługę Defender for Storage na koncie. Dowiedz się więcej o tagach w temacie Używanie tagów do organizowania zasobów platformy Azure i hierarchii zarządzania.

4. Wyłącz usługę Microsoft Defender for Storage dla odpowiedniego konta w odpowiedniej subskrypcji za Disable-AzSecurityAdvancedThreatProtection pomocą polecenia cmdlet (przy użyciu tego samego identyfikatora zasobu):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Dowiedz się więcej na temat tego polecenia cmdlet.

Używanie interfejsu wiersza polecenia platformy Azure do wykluczania konta usługi Azure Storage

1. Jeśli nie masz zainstalowanego interfejsu wiersza polecenia platformy Azure, zainstaluj go, korzystając z instrukcji z dokumentacji interfejsu wiersza polecenia platformy Azure.

2. Korzystając z uwierzytelnionego konta, połącz się z platformą Azure za pomocą polecenia login, jak wyjaśniono w temacie Logowanie do Azure przy użyciu CLI, i wprowadź swoje poświadczenia, gdy pojawi się monit.

   az login
   

3. Zdefiniuj tag AzDefenderPlanAutoEnable na koncie magazynu przy użyciu polecenia tag update (zastąp wartość ResourceId identyfikatorem zasobu danego konta magazynu).

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Jeśli pominiesz ten etap, nietagowane zasoby będą nadal otrzymywać codzienne aktualizacje z polityki włączania na poziomie subskrypcji. Te zasady ponownie włączają usługę Defender for Storage na koncie.

   Napiwek

   Dowiedz się więcej o tagach w narzędziu az tag.

4. Wyłącz usługę Microsoft Defender for Storage dla żądanego konta w odpowiedniej subskrypcji przy użyciu tego samego identyfikatora zasobu poleceniem security atp storage.

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Dowiedz się więcej o tym poleceniu.

Wyklucz konto usługi Azure Databricks Storage

Wyklucz aktywny obszar roboczy Databricks

Usługa Microsoft Defender for Storage może wykluczyć określone aktywne konta magazynu obszaru roboczego usługi Databricks, gdy plan jest już włączony w ramach subskrypcji.

Aby wykluczyć aktywny obszar roboczy Databricks:

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do Azure Databricks>Your Databricks workspace>Tagi.

3. W polu Nazwa wprowadź wartość AzDefenderPlanAutoEnable.

4. W polu Wartość wprowadź, off a następnie wybierz pozycję Zastosuj.

   

5. Przejdź do Microsoft Defender dla Chmury>Ustawienia środowiska>Your subscription.

6. Wyłącz plan usługi Defender for Storage na Wyłącz i wybierz Zapisz.

   

7. Włącz ponownie usługę Defender for Storage (klasyczną) przy użyciu jednej z obsługiwanych metod (nie można włączyć klasycznej usługi Defender for Storage w witrynie Azure Portal).

Tagi są dziedziczone przez konto magazynu w obszarze roboczym Databricks i powodują, że usługa Defender for Storage nie może zostać włączona.

Zapobieganie automatycznemu włączaniu na nowym koncie magazynowym obszaru roboczego w usłudze Databricks

Podczas tworzenia nowego obszaru roboczego usługi Databricks możesz dodać tag uniemożliwiający automatyczne włączenie konta usługi Microsoft Defender for Storage.

Aby zapobiec automatycznemu włączaniu na nowym koncie magazynu obszaru roboczego usługi Databricks:

1. Wykonaj następujące kroki , aby utworzyć nowy obszar roboczy usługi Azure Databricks.

2. Na karcie Tagi wprowadź tag o nazwie AzDefenderPlanAutoEnable.

3. Wprowadź wartość off.

   

4. Postępuj zgodnie z instrukcjami, aby utworzyć nowy obszar roboczy usługi Azure Databricks.

Konto usługi Microsoft Defender for Storage dziedziczy tag obszaru roboczego usługi Databricks, co uniemożliwia automatyczne włączenie usługi Defender for Storage.

Wyłączanie usługi Microsoft Defender for Storage (wersja klasyczna)

Wyłącz cennik rozliczania według transakcji dla subskrypcji

• Szablon narzędzia Terraform
• Szablon Bicep
• Szablon ARM
• PowerShell
• Interfejs wiersza polecenia platformy Azure
• Interfejs API REST

Szablon Terraform

Aby wyłączyć usługę Microsoft Defender for Storage (klasyczną) na poziomie subskrypcji z cenami dla poszczególnych transakcji przy użyciu szablonu programu Terraform, dodaj ten fragment kodu do szablonu z identyfikatorem subskrypcji jako wartością parent_id :

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Free"
    }
  })
}

Dowiedz się więcej o dokumentacji interfejsu AzAPI szablonu usługi ARM.

Szablon Bicep

Aby wyłączyć klasyczną wersję usługi Microsoft Defender for Storage na poziomie subskrypcji z cenami za każdą transakcję przy użyciu Bicep, dodaj następujący kod do szablonu Bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Free'
  }
}

Dowiedz się więcej o odniesieniu do interfejsu AzAPI szablonu Bicep.

Szablon ARM

Aby wyłączyć usługę Microsoft Defender for Storage (klasyczną) na poziomie subskrypcji z cenami dla poszczególnych transakcji przy użyciu szablonu usługi ARM, dodaj ten fragment kodu JSON do sekcji zasobów szablonu usługi ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Free",
  }
}

Dowiedz się więcej o odniesieniu do szablonu ARM AzAPI.

PowerShell

Aby wyłączyć usługę Microsoft Defender for Storage (klasyczną) na poziomie subskrypcji z cenami dla poszczególnych transakcji przy użyciu programu PowerShell:

1. Jeśli jeszcze go nie masz, zainstaluj moduł Azure Az programu PowerShell.

2. Użyj cmdletu Connect-AzAccount, aby zalogować się na konto Azure. Dowiedz się więcej na temat logowania się na platformie Azure przy użyciu programu Azure PowerShell. Wyłącz usługę Microsoft Defender do przechowywania dla subskrypcji za pomocą polecenia cmdlet Set-AzSecurityPricing

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Free"
   

Azure CLI

Aby wyłączyć usługę Microsoft Defender for Storage na poziomie subskrypcji z cenami dla poszczególnych transakcji przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Jeśli jeszcze go nie masz, zainstaluj interfejs wiersza polecenia platformy Azure.

2. az login Użyj polecenia , aby zalogować się do konta platformy Azure. Dowiedz się więcej na temat logowania się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Użyj tych poleceń, aby ustawić identyfikator subskrypcji i nazwę:

   az account set --subscription "<subscriptionId or name>"
   

   Zastąp <subscriptionId> identyfikatorem subskrypcji.

4. Aby wyłączyć usługę Microsoft Defender for Storage dla swojej subskrypcji, użyj polecenia az security pricing create:

   az security pricing create -n StorageAccounts --tier "free"
   

Aby wyłączyć plan, wartość właściwości -tier ustaw na free.

Dowiedz się więcej o poleceniu az security pricing create .

Interfejs API REST

Aby włączyć usługę Microsoft Defender for Storage na poziomie subskrypcji z cenami dla poszczególnych transakcji przy użyciu interfejsu API REST Microsoft Defender dla Chmury, utwórz żądanie PUT z tym punktem końcowym i treścią:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Zastąp {subscriptionId} swoim identyfikatorem subskrypcji.

Aby wyłączyć plan, ustaw wartość właściwości -pricingTier na Free i usuń parametr subPlan.

Dowiedz się więcej o aktualizowaniu planów usługi Defender przy użyciu interfejsu API REST w protokole HTTP, Java, Go i języku JavaScript.

Następne kroki

• Zapoznaj się z alertami dotyczącymi usługi Azure Storage
• Dowiedz się więcej o funkcjach i korzyściach usługi Defender for Storage
• Zapoznaj się z typowymi pytaniami dotyczącymi klasycznej usługi Defender for Storage.