共用方式為

啟用適用於儲存體的 Microsoft Defender (傳統)

本文說明如何使用各種範本,例如 PowerShell、REST API 和其他範本,在您的訂用帳戶上啟用和設定 Microsoft Defender for Storage (傳統版)。

附註

自 2025 年 2 月 5 日起,Defender(適用於儲存,傳統版)不再接受新的訂閱。

您也可以 升級至新的 Microsoft Defender for Storage 方案 ,並使用進階安全性功能,包括惡意代碼掃描和敏感數據威脅偵測。 受益於可預測且細緻的定價結構,該結構對每個儲存帳戶收取費用,並針對大宗交易收取額外成本。 這個新定價方案也包含所有新的安全性功能和偵測。

附註

如果您使用 Defender for Storage(傳統版)並採用每筆交易或依儲存帳戶的定價,您需要改為使用新的 Defender for Storage 方案,才能存取這些功能和定價。 深入了解移轉至全新適用於儲存體的 Defender 方案 (部分機器翻譯)。

Microsoft Defender for Storage 是 Azure 原生的安全性情報層,能偵測存取或利用您儲存帳戶的異常及潛在有害嘗試。 它會使用進階威脅偵測功能和 Microsoft Defender 威脅情報 數據來提供內容相關的安全性警示。 這些警示包括減輕偵測到的威脅並防止未來攻擊的步驟。

Microsoft Defender for Storage 會持續分析 Azure Blob 儲存體Azure Data Lake 儲存體Azure 檔案 服務的交易。 偵測到潛在的惡意活動時,會產生安全性警示。 Microsoft適用於雲端的 Defender 會顯示警示,其中包含可疑活動的詳細數據、適當的調查步驟、補救動作和安全性建議。

Azure Blob 儲存體分析的遙測包含的作業類型,例如 Get Blob、Put Blob、Get Container ACL、List Blobs 和 Get Blob Properties。 分析 Azure 檔案儲存體作業類型的範例包括 Get File、Create File、List Files、Get File Properties 和 Put Range。

適用於儲存體的 Defender 傳統不會存取儲存體帳戶資料,而且不會影響其效能。

深入了解適用於儲存體的 Defender 優點、功能和限制。 您也可以觀看實際運作影片系列裡適用於雲端的 Defender 中的適用於儲存體的 Defender 集數,以深入了解適用於儲存體的 Defender。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: Microsoft Defender for Storage 的計費方式如定價詳細資料和 Azure 入口網站中的Defender 方案所示。
受保護的儲存體類型: Blob 儲存體 (標準/進階 StorageV2、區塊 Blob)
Azure 檔案儲存體 (透過 REST API 和 SMB)
Azure Data Lake Storage Gen2 (已啟用階層命名空間的標準/進階版帳戶)
商業雲端
Azure Government (僅適用於每筆交易方案)
由 21Vianet 營運的 Microsoft Azure
已連線的 AWS 帳戶

設定儲存體帳戶的每筆交易定價

您可以透過數種方式,在帳戶上使用每筆交易定價來設定適用於儲存體的 Microsoft Defender:

ARM 範本

若要透過 ARM 範本以針對特定儲存體帳戶啟用適用於儲存體的 Microsoft Defender,請使用已準備的 Azure 範本 (英文)。

若要停用帳戶中適用於儲存體的 Defender:

  1. 登入 Azure 入口網站
  2. 瀏覽至儲存體帳戶。
  3. 在儲存體帳戶功能表的 [安全性 + 網路] 區段中,選取 [適用於雲端的 Microsoft Defender]
  4. 選取停用

PowerShell

若要使用 PowerShell 為特定儲存體帳戶啟用適用於儲存體的 Microsoft Defender 並按每筆交易定價:

  1. 如果您還沒有此應用程式,請安裝 Azure Az PowerShell 模組

  2. 使用 Connect-AzAccount Cmdlet 以登入您的 Azure 帳戶。 了解更多關於透過 Azure PowerShell 登入 Azure

  3. 使用 Enable-AzSecurityAdvancedThreatProtection cmdlet 為您所需的儲存帳戶啟用 Microsoft Defender for Storage。

    Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

    使用適用您環境的正確值來取代 <subscriptionId><resource-group><storage-account>

如果您想要停用特定儲存體帳戶的每筆交易定價,請使用 Disable-AzSecurityAdvancedThreatProtection Cmdlet:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

深入了解搭配適用於雲端的 Microsoft Defender 使用 PowerShell

Azure CLI

若要透過 Azure CLI 為特定儲存體帳戶啟用 Microsoft Defender 並選擇按交易計費:

  1. 如果您還沒有此應用程式,請安裝 Azure CLI

  2. 使用 az login 命令以登入您的 Azure 帳戶。 了解更多有關使用 Azure CLI 登入 Azure的信息。

  3. 使用 az security atp storage update (部分機器翻譯) 命令為您的訂用帳戶啟用適用於儲存體的 Microsoft Defender:

    az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled true

秘訣

您可以使用 az security atp storage show 命令來查看帳戶上是否已啟用適用於儲存體的 Defender。

若要停用您訂用帳戶的 Microsoft Defender for Storage(傳統版),請使用 az security atp storage update 命令:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

深入了解 az security atp storage 命令。

在每個交易方案中從受保護的訂用帳戶中排除儲存體帳戶

當訂用帳戶的適用於儲存體的 Microsoft Defender 啟用時,該訂用帳戶中的所有目前和未來的 Azure 儲存體帳戶都會受到保護。 您可以使用 Azure 入口網站、PowerShell 或 Azure CLI,從適用於記憶體的 Defender 保護中排除特定的記憶體帳戶。

建議您在整個訂用帳戶上啟用適用於儲存體的 Defender,以保護其中所有現有和未來的儲存體帳戶。 不過,在某些情況下,您會想從 Defender 保護中排除特定儲存帳戶。

若要排除受保護訂閱中的儲存帳戶,您必須:

  1. 新增標記以封鎖繼承訂用帳戶的啟用。
  2. 停用適用於儲存體的 Defender (傳統)。

附註

如果您想要從適用於儲存體的 Defender 傳統版方案中排除儲存體帳戶,請考慮升級至新的適用於儲存體的 Defender 方案。 不僅能讓您節省大量交易帳戶的成本,還可以存取增強型安全性功能。 深入了解移轉至新方案的優點

當您移轉至新方案時,不會自動排除在適用於儲存體的 Defender 傳統版中的已排除儲存體帳戶。

在以交易計費的訂用方案中取消 Azure 儲存體帳戶保護。

若要從適用於儲存體的 Microsoft Defender (傳統版) 中排除 Azure 儲存體帳戶,您可以使用:

使用 PowerShell 排除 Azure 儲存體帳戶

  1. 如果您尚未安裝 Azure Az PowerShell 模組,請遵循Azure PowerShell 文件中的指示進行安裝。

  2. 使用已驗證的帳戶,並使用 Connect-AzAccount Cmdlet 連線到 Azure,如使用 Azure PowerShell 登入中所述。

  3. 使用 Update-AzTag Cmdlet,定義儲存體帳戶上的 AzDefenderPlanAutoEnable 標籤 (將 ResourceId 取代為相關儲存體帳戶的資源識別碼):

    Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge

    如果您略過此階段,未標記的資源會繼續從訂用帳戶層級的啟用原則中,接收每日更新內容。 該原則會在帳戶上再次啟用適用於儲存體的 Defender。 如需標籤的詳細資訊,請參閱使用標籤來組織 Azure 資源和管理階層

  4. 使用 Disable-AzSecurityAdvancedThreatProtection Cmdlet,停用相關訂用帳戶上所需帳戶的適用於儲存體的 Microsoft Defender (使用相同的資源識別碼):

    Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>

    深入了解此 cmdlet

使用 Azure CLI 排除 Azure 儲存體帳戶

  1. 如果您尚未安裝 Azure CLI,請遵循 Azure CLI 文件中的指示進行安裝。

  2. 使用已驗證的帳戶,並如login中所述,透過 命令來連線到 Azure,並在系統出現提示時輸入帳戶認證:

    az login

  3. 使用 tag update 命令 (將 ResourceId 取代為相關儲存體帳戶的資源識別碼),定義儲存體帳戶上的 AzDefenderPlanAutoEnable 標籤:

    az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off

    如果您略過此階段,未標記的資源會繼續從訂用帳戶層級的啟用原則中,接收每日更新內容。 此政策會在帳戶上重新啟用 Storage Defender。

    秘訣

    深入了解 az 標籤中的標籤。

  4. 使用 security atp storage 命令,停用相關訂用帳戶上所需帳戶的適用於儲存體的 Microsoft Defender (使用相同的資源識別碼):

    az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false

    深入了解此命令

排除 Azure Databricks 儲存服務帳戶

排除作用中的 Databricks 工作區

當訂用帳戶上具有已啟用的方案時,適用於儲存體的 Microsoft Defender 可排除特定的作用中 Databricks 工作區儲存體帳戶。

若要排除作用中的 Databricks 工作區

  1. 登入 Azure 入口網站

  2. 瀏覽至 [Azure Databricks] > Your Databricks workspace >[標籤]

  3. 在 [名稱] 欄位中輸入 AzDefenderPlanAutoEnable

  4. 在 [值] 欄位中,輸入 off,然後選取 [套用]

    此螢幕擷取畫面顯示位置,以及如何將標籤套用至您的 Azure Databricks 帳戶。

  5. 瀏覽至 [適用於雲端的 Microsoft Defender] > [環境設定] > Your subscription

  6. 將用於儲存空間的 Defender 計劃設為 關閉,然後選擇 儲存

    顯示如何關閉適用於儲存體的 Defender 方案的螢幕擷取畫面。

  7. 使用其中一個支援方法來重新啟用適用於儲存體的 Defender (傳統版) (您無法從 Azure 入口網站中啟用適用於儲存體的 Defender 傳統版)。

標籤由 Databricks 工作區的儲存體帳戶繼承,並防止適用於儲存體的 Defender 將其開啟。

附註

標籤無法直接新增至 Databricks 儲存體帳戶,或其受控資源群組。

防止在新的 Databricks 工作區儲存體帳戶中進行自動啟用作業

您在建立新的 Databricks 工作區時,可以新增一個標籤來防止 Microsoft Defender for Storage 帳戶自動啟用。

若要防止在新的 Databricks 工作區儲存體帳戶上進行自動啟用作業:

  1. 請遵循下列步驟來建立新的 Azure Databricks 工作區。

  2. 在 [標記] 索引標籤中,輸入名為 AzDefenderPlanAutoEnable 的標籤。

  3. 輸入值 off

    此螢幕擷取畫面顯示如何在 Databricks 工作區中建立標籤。

  4. 繼續遵循指示,來建立新的 Azure Databricks 工作區。

適用於儲存體的 Microsoft Defender 帳戶會繼承 Databricks 工作區的標籤,可防止系統自動開啟適用於儲存體的 Defender。

停用 Microsoft Defender for Storage (經典版)

停用訂用帳戶的每筆交易價格

Terraform 範本

若要使用 Terraform 範本以每次交易計價的方式在訂用帳戶層級停用 Microsoft Defender for Storage (經典版),請將此代碼段新增至您的範本,並使用您的訂用帳戶 ID 作為 parent_id 值:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Free"
    }
  })
}

深入了解 ARM 範本 AzAPI 參考

Bicep 範本

若要使用 Bicep 在訂用帳戶層級停用適用於儲存體的 Microsoft Defender (傳統) 使用每筆交易價格,請將下列內容新增至 Bicep 範本:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Free'
  }
}

深入了解 Bicep 範本 AzAPI 參考 (部分機器翻譯)。

ARM 範本

若要使用 ARM 範本在訂用帳戶層級停用適用於儲存體的 Microsoft Defender (傳統) 使用每筆交易價格,請將此 JSON 程式碼片段新增至 ARM 範本的資源區段:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Free",
  }
}

深入了解 ARM 範本 AzAPI 參考

PowerShell

若要使用 PowerShell 在訂用帳戶層級停用適用於儲存體的 Microsoft Defender (傳統) 使用每筆交易價格:

  1. 如果您還沒有此應用程式,請安裝 Azure Az PowerShell 模組

  2. 透過 Connect-AzAccount Cmdlet 來登入您的 Azure 帳戶。 了解更多如何透過 Azure PowerShell 登入 Azure。 使用 Set-AzSecurityPricing Cmdlet 來為您的訂用帳戶停用適用於儲存體的 Microsoft Defender:

    Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Free"

Azure CLI(命令行介面)

若要使用 Azure CLI 在訂用帳戶層級停用適用於儲存體的 Microsoft Defender 使用每筆交易價格:

  1. 如果您還沒有此應用程式,請安裝 Azure CLI

  2. 使用 az login 命令以登入您的 Azure 帳戶。 深入了解如何使用 Azure CLI 登入 Azure。

  3. 使用這些指令來設定訂用帳戶識別碼和名稱:

    az account set --subscription "<subscriptionId or name>"

    使用您的訂用帳戶 ID 來取代 <subscriptionId>

  4. 使用 az security pricing create 命令停用您訂用帳戶的 Microsoft Defender for Storage:

    az security pricing create -n StorageAccounts --tier "free"

秘訣

您可以使用 az security pricing show 命令來查看針對訂用帳戶所啟用的所有適用於雲端的 Defender 方案。

若要停用方案,請將 -tier 屬性值設定為 free

深入了解 az security pricing create 命令。

REST API

若要使用適用於雲端的 Microsoft Defender REST API,以在訂用帳戶層級啟用適用於儲存體的 Microsoft Defender 並按個別交易定價,請使用此端點和主體建立 PUT 要求:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

使用您的訂用帳戶 ID 來取代 {subscriptionId}

若要停用方案,請將 -pricingTier屬性值設定為 Free,並移除 subPlan 參數。

深入了解在 HTTP、Java、Go 和 JavaScript 環境中如何使用 REST API 來更新 Defender 計劃。

下一步

  • Last updated on