Microsoft Defender for Storage 是 Azure 原生的解決方案。 它提供進階的情報層,用於偵測和減輕記憶體帳戶中的威脅。 它使用 Microsoft Defender 威脅情報、Microsoft Defender 防病毒軟體技術和敏感性數據探索。 它有助於保護 Azure Blob 儲存體、Azure 檔案儲存體和 Azure Data Lake Storage 服務。
適用於儲存體的 Defender 提供完整的警示套件、近乎即時的惡意代碼掃描 (作為附加元件) 和敏感性資料威脅偵測,無需額外付費。 您可以使用這些功能快速偵測、評估和回應潛在的安全威脅,並提供詳細資訊。 此功能有助於防止對資料和工作負載造成重大影響,包括惡意檔案上傳、敏感資料外洩和資料損毀。
組織可以自訂其防護,並透過在訂閱和儲存帳戶中啟用儲存體防護程式 Defender,實施一致的安全政策,以達到細部控制和靈活性。
秘訣
如果您目前使用傳統適用於儲存體的 Defender 方案,請考慮 移轉至新的方案。 與經典計劃相比,新計劃提供了多項優勢。
若要瞭解定價和區域可用性,請參閱適用於 雲端的 Microsoft Defender 定價頁面。 您也可以使用 適用於雲端的 Defender 成本計算機來估計成本。
必要條件
啟用適用於儲存體的 Defender 之前,請確定您已具備必要的許可權和其他必要條件。 如需詳細資訊,請參閱 Microsoft Defender 用於儲存體的必要條件。
安裝和配置選項
若要啟用和設定適用於儲存體的 Defender,並確保最大程度的保護和成本優化,您可以使用下列可用選項:
- 在訂用帳戶層級或儲存體帳戶層級啟用或停用適用於儲存體的 Defender。
- 啟用或停用惡意軟體掃描和敏感資料威脅偵測的可設定功能。
- 設定每月每個儲存體帳戶惡意代碼掃描的每月上限,以控制成本。 (預設值為 10,000 GB。
- 設定方法以設定對惡意軟體掃描結果的回應。
- 設定記錄惡意軟體掃描結果的方法。 惡意軟體掃描功能具有進階配置,可協助安全團隊支援各種工作流程和要求。
- 覆寫訂用帳戶層級設定,以設定特定的儲存體帳戶。 您可以使用與訂閱層級設定不同的自訂設定。
部署方法
有數種方式可以啟用和設定適用於記憶體的Defender。 下列連結提供每個支援部署方法之啟用頁面的直接存取權:
- Azure 內建原則 (建議)
- 基礎結構即程式碼 (IaC) 範本,包括:
- Azure 入口網站
- Azure PowerShell
- REST API
建議您透過政策啟用 Defender 儲存體保護。 此方法有助於實現大規模啟用。 它也可確保在定義範圍內的所有現有和未來儲存體帳戶 (例如整個管理群組) 套用一致的安全性原則。 此方法會根據組織定義的設定,使用適用於儲存體的 Defender 保護儲存體帳戶。
查看您當前的承保範圍
Defender for Cloud 會透過 Azure 活頁簿 提供 活頁簿 的存取權。 活頁簿是可自訂的報告,可讓您深入瞭解您的安全性狀況。
涵蓋範圍活頁簿會顯示訂用帳戶和資源已啟用哪些方案,以協助您瞭解目前的涵蓋範圍。