Habilitar e configurar o Microsoft Defender para Armazenamento com o Azure PowerShell

É recomendável habilitar o Microsoft Defender para Armazenamento no nível da assinatura. Isso ajuda a garantir que todas as contas de armazenamento atualmente na assinatura estejam protegidas. A proteção para contas de armazenamento criadas depois de habilitar o Defender para Armazenamento no nível da assinatura é iniciada até 24 horas após a criação.

Dica

Você sempre pode definir contas de armazenamento específicas com configurações personalizadas que diferem das configurações configuradas no nível da assinatura. Ou seja, você pode substituir as configurações no nível da assinatura.

Configurar o Azure PowerShell

Antes de trabalhar com o Azure PowerShell, execute as seguintes etapas:

Se você ainda não o tiver, instale o módulo do Az PowerShell.
Use o cmdlet Connect-AzAccount para entrar na conta do Azure. Saiba mais sobre como entrar no Azure usando o Azure PowerShell.
Use os comandos a seguir para registrar sua assinatura no provedor de recursos do Microsoft Defender para Nuvem. Substitua <subscriptionId> por sua ID da assinatura.
```
Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
```

Habilitar e configurar o Defender para Armazenamento

Habilitar em uma assinatura
Habilitar em uma conta de armazenamento

Habilite o Defender para Armazenamento no nível da assinatura com preços por transação usando o cmdlet Set-AzSecurityPricing:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "10000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Se você não fornecer propriedades de extensão para o cmdlet, a verificação de malware e a descoberta de dados confidenciais serão habilitadas por padrão.

Ao personalizar este código, você pode:

Modifique o limite mensal para verificação de malware no upload: ajuste a propriedade CapGBPerMonthPerStorageAccount para o seu valor preferido. Esse parâmetro define um limite nos dados máximos que podem ser verificados quanto a malware a cada mês, por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é de 10.000 GB.
Desabilite todo o plano Defender para Armazenamento: defina o valor da -PricingTier propriedade para Free, e remova as propriedades -SubPlan e -Extension.

Dica

Você pode usar o cmdlet GetAzSecurityPricing para ver todos os planos do Defender para Nuvem que estão habilitados para a assinatura.

Para obter mais informações sobre o Set-AzSecurityPricing cmdlet, consulte a referência do Azure PowerShell.

Habilite e configure o Defender para Armazenamento no nível da conta de armazenamento usando o Update-AzSecurityDefenderForStorage cmdlet. No exemplo a seguir, substitua os valores <SubscriptionId>, <ResourceGroupName> e <StorageAccountName> pelos seus próprios ID de assinatura do Azure, grupo de recursos e nome da conta de armazenamento.

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Com o Defender para Armazenamento habilitado no nível da assinatura, o parâmetro -OverrideSubscriptionLevelSetting é necessário para substituir as configurações no nível da assinatura. Se você não usar o parâmetro de substituição, as extensões serão definidas de acordo com as configurações de nível de assinatura, independentemente dos valores de parâmetro fornecidos no cmdlet.

Ao personalizar este código, você pode:

Modifique o limite mensal para verificação de malware: ajuste o -OnUploadCapGBPerMonth parâmetro ao seu valor preferencial. Esse parâmetro define um limite para o máximo de dados a serem verificados em busca de malware a cada mês, por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é de 10.000 GB.
Enviar resultados de verificação de malware para a Grade de Eventos do Azure: forneça a ID de recurso do tópico da Grade de Eventos no parâmetro -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>".
Desative a verificação de malware ao efetuar upload ou a detecção de ameaças de dados confidenciais: Defina -OnUploadIsEnabled:$false ou -SensitiveDataDiscoveryIsEnabled:$false, respectivamente.
Desabilitar todo o plano do Defender para Armazenamento: defina IsEnabled:$false, -OnUploadIsEnabled:$false e -SensitiveDataDiscoveryIsEnabled:$false.

Dica

Você pode usar o Get-AzSecurityDefenderForStorage cmdlet para ver as configurações do Defender para Armazenamento para uma conta de armazenamento.

Para obter mais informações sobre o Update-AzSecurityDefenderForStorageRefer cmdlet, consulte a referência do Azure PowerShell.

Dica

Você pode configurar a verificação de malware para enviar resultados de verificação para:

Tópico personalizado do Event Grid: para resposta automática em tempo quase real com base em cada resultado de análise.
Workspace do Log Analytics: para armazenar todos os resultados de varredura em um repositório de log centralizado para conformidade e auditoria.

Saiba mais sobre como configurar uma resposta para resultados de verificação de malware.

Saiba como habilitar e configurar o plano do Defender para Armazenamento em escala usando uma política interna do Azure.
Saiba mais sobre como usar o PowerShell com o Defender para Nuvem.

Comentários

Esta página foi útil?

Last updated on 2025-10-30

Compartilhar via

Habilitar e configurar o Microsoft Defender para Armazenamento com o Azure PowerShell

Configurar o Azure PowerShell

Habilitar e configurar o Defender para Armazenamento

Conteúdo relacionado

Comentários

Recursos adicionais