Włączanie i konfigurowanie usługi Defender for Storage przy użyciu szablonów IaC

Szablon narzędzia Terraform

Aby włączyć i skonfigurować usługę Defender for Storage na poziomie subskrypcji przy użyciu programu Terraform, możesz użyć następującego fragmentu kodu:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "10000"
      BlobScanResultsOptions = "BlobIndexTags"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania: dostosuj CapGBPerMonthPerStorageAccount parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyłącz funkcję skanowania złośliwego oprogramowania lub wykrywania zagrożeń poufnych danych: usuń odpowiedni blok rozszerzenia z kodu programu Terraform.
• Wyłącz cały plan usługi Defender for Storage: ustaw tier wartość właściwości na "Free", oraz usuń właściwości subPlan i extension.

Aby dowiedzieć się więcej o zasobie azurerm_security_center_subscription_pricing , zapoznaj się z dokumentacją programu Terraform. Szczegółowe informacje na temat dostawcy narzędzia Terraform dla platformy Azure można również znaleźć w dokumentacji modułu AzureRM programu Terraform.

Szablon Bicep

Aby włączyć i skonfigurować usługę Defender for Storage na poziomie subskrypcji za pomocą Bicep, upewnij się, że zakres docelowy jest ustawiony na subscription. Dodaj następujący kod do szablonu Bicep:

targetScope = 'subscription'

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '10000'
          BlobScanResultsOptions: 'BlobIndexTags'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania: dostosuj CapGBPerMonthPerStorageAccount parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyłącz funkcję skanowania złośliwego oprogramowania podczas przesyłania lub wykrywania zagrożeń dla poufnych danych: zmień isEnabled wartość na False w obszarze SensitiveDataDiscovery.
• Wyłącz cały plan usługi Defender for Storage: ustaw pricingTier wartość właściwości na Free, oraz usuń właściwości subPlan i extensions.

Dowiedz się więcej o szablonie Bicep w dokumentacji cennika Microsoft.Security.

Szablon usługi Azure Resource Manager

Aby włączyć i skonfigurować usługę Defender for Storage na poziomie subskrypcji przy użyciu szablonu usługi Azure Resource Manager (szablon usługi ARM), dodaj ten fragment kodu JSON do resources sekcji szablonu usługi ARM:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "10000",
                    "BlobScanResultsOptions": "BlobIndexTags"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania: dostosuj CapGBPerMonthPerStorageAccount parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyłącz funkcję skanowania złośliwego oprogramowania podczas przesyłania lub wykrywania zagrożeń dla poufnych danych: zmień isEnabled wartość na False w obszarze SensitiveDataDiscovery.
• Wyłącz cały plan usługi Defender for Storage: ustaw pricingTier wartość właściwości na Free, oraz usuń właściwości subPlan i extension.

Dowiedz się więcej o szablonie ARM w dokumentacji cen Microsoft.Security.

Szablon narzędzia Terraform

Aby włączyć i skonfigurować usługę Defender for Storage na poziomie konta magazynu przy użyciu narzędzia Terraform, zaimportuj dostawcę AzAPI i użyj następującego fragmentu kodu:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 10000
          blobScanResultsOptions = BlobIndexTags
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

W tym kodzie azapi_resource_action jest akcją specyficzną dla konfiguracji usługi Defender for Storage. Różni się on od typowych deklaracji zasobów w narzędziu Terraform. Służy do wykonywania określonych akcji na zasobie, takich jak włączanie lub wyłączanie funkcji.

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania: dostosuj capGBPerMonth parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.

• Wyłącz funkcję skanowania złośliwego oprogramowania przy przesyłaniu lub wykrywania zagrożeń związanych z poufnymi danymi: zmień wartość isEnabled na False w sekcji własności malwareScanning lub sensitiveDataDiscovery.

• Wyłącz cały plan usługi Defender for Storage: Użyj następującego fragmentu kodu:

  resource "azurerm_storage_account" "example" { ... }
  
  resource "azapi_resource_action" "disable_defender_for_Storage" {
    type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
    resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
    method      = "PUT"
  
    body = jsonencode({
      properties = {
        isEnabled = false
        overrideSubscriptionLevelSettings = false
      }
    })
  }
  

  Jeśli chcesz wyłączyć plan usługi Defender for Storage dla konta magazynu w ramach subskrypcji z włączoną usługą Defender for Storage na poziomie subskrypcji, możesz zmienić wartość overrideSubscriptionLevelSettings na True. Jeśli chcesz zachować włączone niektóre funkcje, możesz odpowiednio zmodyfikować właściwości.

Aby uzyskać dalsze dostosowywanie i kontrolę nad ustawieniami zabezpieczeń konta magazynu, zobacz dokumentację interfejsu API Microsoft.Security/defenderForStorageSettings. Szczegółowe informacje na temat dostawcy narzędzia Terraform dla platformy Azure można również znaleźć w dokumentacji modułu AzureRM programu Terraform.

Szablon Bicep

Aby włączyć i skonfigurować usługę Defender for Storage na poziomie konta magazynu przy użyciu aplikacji Bicep, dodaj następujący kod do szablonu Bicep:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 10000
        blobScanResultsOptions: BlobIndexTags
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania: dostosuj capGBPerMonth parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyłącz funkcję skanowania złośliwego oprogramowania przy przesyłaniu lub wykrywania zagrożeń związanych z poufnymi danymi: zmień wartość isEnabled na False w sekcji własności malwareScanning lub sensitiveDataDiscovery.
• Wyłącz cały plan usługi Defender for Storage: ustaw isEnabled wartość właściwości na False, a następnie usuń sekcje malwareScanning i sensitiveDataDiscovery z właściwości.

Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API Microsoft.Security/DefenderForStorageSettings.

szablon usługi ARM

Aby włączyć i skonfigurować usługę Defender for Storage na poziomie konta magazynu przy użyciu szablonu usługi Azure Resource Manager (szablon usługi ARM), dodaj ten fragment kodu JSON do resources sekcji szablonu usługi ARM:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 10000,
                "blobScanResultsOptions": BlobIndexTags
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania: dostosuj capGBPerMonth parametr do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyłącz funkcję skanowania złośliwego oprogramowania przy przesyłaniu lub wykrywania zagrożeń związanych z poufnymi danymi: zmień wartość isEnabled na False w sekcji własności malwareScanning lub sensitiveDataDiscovery.
• Wyłącz cały plan usługi Defender for Storage: ustaw isEnabled wartość właściwości na False, a następnie usuń sekcje malwareScanning i sensitiveDataDiscovery z właściwości.