Włączanie i konfigurowanie usługi Microsoft Defender for Storage za pomocą programu Azure PowerShell

Włącz usługę Defender for Storage na poziomie subskrypcji z cenami dla poszczególnych transakcji przy użyciu Set-AzSecurityPricing polecenia cmdlet :

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "10000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Jeśli nie podasz właściwości rozszerzenia dla polecenia cmdlet, zarówno skanowanie złośliwego oprogramowania, jak i odnajdywanie poufnych danych są domyślnie włączone.

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny limit skanowania złośliwego oprogramowania podczas przesyłania: dostosuj CapGBPerMonthPerStorageAccount właściwość do preferowanej wartości. Ten parametr ustawia limit maksymalnej ilości danych, które można skanować pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyłącz funkcję skanowania złośliwego oprogramowania podczas przesyłania lub wykrywania zagrożeń związanych z poufnymi danymi: zmień wartość isEnabled na False w właściwościach rozszerzenia OnUploadMalwareScanning i SensitiveDataDiscovery.
• Wyłącz cały plan usługi Defender for Storage: ustaw -PricingTier wartość właściwości na Free, oraz usuń właściwości -SubPlan i -Extension.

Aby uzyskać więcej informacji na temat polecenia cmdlet, zobacz dokumentację Set-AzSecurityPricingprogramu Azure PowerShell.

Włącz oraz skonfiguruj Defender dla Magazynu na poziomie konta magazynowego przy użyciu polecenia cmdlet Update-AzSecurityDefenderForStorage. W poniższym przykładzie zastąp wartości <SubscriptionId>, <ResourceGroupName> i <StorageAccountName> własnym identyfikatorem subskrypcji Azure, grupą zasobów i nazwą konta magazynowego.

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Po włączeniu usługi Defender for Storage na poziomie -OverrideSubscriptionLevelSetting subskrypcji parametr jest niezbędny do zastąpienia ustawień na poziomie subskrypcji. Jeśli nie używasz parametru zastąpienia, rozszerzenia są ustawiane zgodnie z ustawieniami na poziomie subskrypcji, niezależnie od wartości parametrów podanych w poleceniu cmdlet.

Dostosowując ten kod, możesz wykonywać następujące czynności:

• Zmodyfikuj miesięczny próg skanowania złośliwego oprogramowania: dostosuj -OnUploadCapGBPerMonth parametr do preferowanej wartości. Ten parametr określa limit maksymalnej ilości danych do skanowania pod kątem złośliwego oprogramowania każdego miesiąca na konto magazynu. Jeśli chcesz zezwolić na nieograniczone skanowanie, przypisz wartość -1. Domyślny limit wynosi 10 000 GB.
• Wyślij wyniki skanowania złośliwego oprogramowania do usługi Azure Event Grid: podaj identyfikator zasobu tematu usługi Event Grid w parametrze -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>".
• Wyłącz funkcję skanowania złośliwego oprogramowania podczas przesyłania lub wykrywania zagrożeń poufnych danych: ustaw odpowiednio -OnUploadIsEnabled:$false lub -SensitiveDataDiscoveryIsEnabled:$false.
• Wyłącz cały plan usługi Defender for Storage: Ustaw IsEnabled:$false, -OnUploadIsEnabled:$falsei -SensitiveDataDiscoveryIsEnabled:$false.

Aby uzyskać więcej informacji na temat polecenia cmdlet, zobacz dokumentację Update-AzSecurityDefenderForStorageReferprogramu Azure PowerShell.