建議您在訂用帳戶層級啟用適用於儲存體的 Microsoft Defender。 這樣做有助於確保訂用帳戶中目前的所有儲存體帳戶都受到保護。 在訂用帳戶層級上啟用「適用於儲存體的 Defender」後建立的儲存體帳戶將在建立後最多 24 小時內受到保護。
秘訣
您一律可以使用與訂用帳戶層級設定的設定不同的自訂設定來 設定特定儲存體帳戶 。 也就是說,您可以覆蓋訂閱層級的設定。
設定 Azure PowerShell
使用 Azure PowerShell 之前,請先執行下列步驟:
如果您還沒有,請 安裝 Az PowerShell 模組。
透過
Connect-AzAccountCmdlet 來登入您的 Azure 帳戶。 深入瞭解如何使用 Azure PowerShell 登入 Azure。使用下列命令,將您的訂用帳戶註冊至適用於雲端的 Microsoft Defender 資源提供者。 使用您的訂用帳戶 ID 來取代
<subscriptionId>。Set-AzContext -Subscription <subscriptionId> Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
啟用和設定適用於儲存體的 Defender
使用 Set-AzSecurityPricing Cmdlet,在訂用帳戶層級啟用適用於儲存體的 Defender 並按每筆交易定價:
Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
{
"name": "OnUploadMalwareScanning",
"isEnabled": "True",
"additionalExtensionProperties": {
"CapGBPerMonthPerStorageAccount": "10000"
}
},
{
"name": "SensitiveDataDiscovery",
"isEnabled": "True"
}]'
如果您未提供 Cmdlet 的延伸模組屬性,預設會啟用惡意代碼掃描和敏感性資料探索。
透過自訂此程式碼,您可以:
-
修改上傳時惡意軟體掃描的每月閾值:將屬性調整
CapGBPerMonthPerStorageAccount為您偏好的值。 此參數會設定每個儲存體帳戶每個月可掃描惡意程式碼的最大資料上限。 如果您想要允許無限制的掃描,請指派值-1。 預設限制為 10,000 GB。 -
關閉上傳時惡意代碼掃描或敏感性資料威脅偵測功能:將值變更
isEnabled為False和OnUploadMalwareScanningSensitiveDataDiscovery延伸模組屬性。 -
若要停用整個適用於儲存體的 Defender 方案: 請將
-PricingTier屬性值設定為Free,並移除-SubPlan和-Extension屬性。
秘訣
您可以使用 GetAzSecurityPricing Cmdlet 查看訂用帳戶啟用的所有適用於雲端的 Defender 方案。
如需有關 Set-AzSecurityPricing cmdlet 的詳細資訊,請參閱 Azure PowerShell 參考。
秘訣
您可以設定惡意軟體掃描,以將掃描結果傳送至:
- 事件方格自訂主題:根據每個掃描結果進行近乎即時的自動回應。
- Log Analytics 工作區:用於將每個掃描結果儲存在集中式記錄存放庫中,以便作為合規性和稽核之用。
相關內容
- 了解如何使用 Azure 內建原則大規模啟用和設定適用於儲存體的 Defender 方案。
- 深入瞭解如何使用 PowerShell 搭配 Defender for Cloud。