你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
建议在订阅级别启用 Microsoft Defender for Storage。 这样做有助于确保订阅中当前的所有存储帐户都受到保护。 在您已在订阅级别启用 Defender for Storage 后创建的新存储帐户,其保护将在创建后最多 24 小时内开始。
提示
始终可以使用与订阅级别配置的设置不同的自定义设置 来配置特定的存储帐户 。 也就是说,可以替代订阅级设置。
若要使用 REST API 在订阅级别启用和配置 Defender for Storage,请使用以下终结点创建请求 PUT 。 将 subscriptionId 终结点 URL 中的值替换为自己的 Azure 订阅 ID。
PUT
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2024-01-01
添加以下请求正文:
{
"properties": {
"extensions": [
{
"name": "OnUploadMalwareScanning",
"isEnabled": "True",
"additionalExtensionProperties": {
"CapGBPerMonthPerStorageAccount": "10000",
"BlobScanResultsOptions": "BlobIndexTags"/"None"
"AutomatedResponse": "BlobSoftDelete"/"None"
}
},
{
"name": "SensitiveDataDiscovery",
"isEnabled": "True"
}
],
"subPlan": "DefenderForStorageV2",
"pricingTier": "Standard"
}
}
通过自定义此代码,可以:
-
修改恶意软件扫描的每月阈值:将
CapGBPerMonthPerStorageAccount参数调整为首选值。 此参数设置每个存储帐户每月可扫描恶意软件的最大数据上限。 如果要允许无限制的扫描,请分配该值-1。 默认限制为 10,000 GB。 -
关闭上传时的恶意软件扫描或敏感数据威胁检测功能:将
isEnabled的值更改为False在SensitiveDataDiscovery下。 -
关闭 blob 索引标记的使用:将
BlobScanResultsOptions值更改为None。 如果未设置此值,所有扫描结果将发布到 Blob 索引标记。 -
禁用整个 Defender for Storage 计划:将
pricingTier属性值Free设置为,然后删除subPlan和extensions属性。
详细了解如何使用 HTTP、Java、Go 和 JavaScript 中的 REST API 更新 Defender 计划。
提示
可以将恶意软件扫描配置为将扫描结果发送到:
- Azure 事件网格自定义主题:用于在几乎实时地对每个扫描结果作出自动响应。
- Log Analytics 工作区:用于将每个扫描结果存储在集中的日志存储库中,以便进行合规性和审核。