Habilitar e configurar o Microsoft Defender for Storage com o Azure PowerShell

Habilite o Defender for Storage no nível de assinatura com preços por transação usando o Set-AzSecurityPricing cmdlet:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "10000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Se você não fornecer propriedades de extensão para o cmdlet, a verificação de malware e a descoberta de dados confidenciais serão habilitadas por padrão.

Ao personalizar esse código, você pode:

• Modifique o limite mensal para a verificação de malware durante o carregamento: ajuste a CapGBPerMonthPerStorageAccount propriedade ao seu valor preferido. Este parâmetro define um limite máximo de dados que podem ser verificados em busca de malware a cada mês, por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é de 10.000 GB.
• Desative a verificação de malware durante o upload ou a funcionalidade de deteção de ameaças de dados confidenciais: altere o isEnabled valor para False nas OnUploadMalwareScanning propriedades de extensão SensitiveDataDiscovery.
• Desative o plano completo do Defender para Armazenamento: Defina o valor da propriedade -PricingTier como Free e remova as propriedades -SubPlan e -Extension.

Para obter mais informações sobre o Set-AzSecurityPricing cmdlet, consulte a referência do Azure PowerShell.

Habilite e configure o Defender for Storage no nível da conta de armazenamento usando o Update-AzSecurityDefenderForStorage cmdlet. No exemplo a seguir, substitua os valores <SubscriptionId>, <ResourceGroupName> e <StorageAccountName> pelos seus próprios ID de Subscrição do Azure, grupo de recursos e nome da conta de armazenamento.

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Com o Defender for Storage habilitado no nível de assinatura, o -OverrideSubscriptionLevelSetting parâmetro é necessário para substituir as configurações no nível de assinatura. Se você não usar o parâmetro override, as extensões serão definidas de acordo com as configurações de nível de assinatura, independentemente dos valores de parâmetro fornecidos no cmdlet.

Ao personalizar esse código, você pode:

• Modifique o limite mensal para verificação de malware: ajuste o -OnUploadCapGBPerMonth parâmetro ao seu valor preferido. Este parâmetro define um limite para o máximo de dados a serem verificados em busca de malware a cada mês, por conta de armazenamento. Se você quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é de 10.000 GB.
• Enviar resultados da verificação de malware para a Grade de Eventos do Azure: forneça a ID de recurso do tópico Grade de Eventos no parâmetro -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>".
• Desative a verificação de malware ao carregar ou o recurso de deteção de ameaças de dados confidenciais: Definir -OnUploadIsEnabled:$false ou -SensitiveDataDiscoveryIsEnabled:$false, respectivamente.
• Desative todo o plano do Defender for Storage: defina IsEnabled:$false, -OnUploadIsEnabled:$falsee -SensitiveDataDiscoveryIsEnabled:$false.

Para obter mais informações sobre o Update-AzSecurityDefenderForStorageRefer cmdlet, consulte a referência do Azure PowerShell.