Mengaktifkan Microsoft Defender untuk Penyimpanan (klasik)

Artikel ini menjelaskan cara mengaktifkan dan mengonfigurasi Microsoft Defender untuk Penyimpanan (Klasik) pada langganan Anda dengan menggunakan berbagai templat seperti PowerShell, REST API, dan lainnya.

Anda juga dapat meningkatkan ke Microsoft Defender baru untuk paket Penyimpanan dan menggunakan kemampuan keamanan tingkat lanjut, termasuk Pemindaian Malware dan deteksi ancaman data sensitif. Manfaatkan struktur harga yang lebih dapat diprediksi dan terperinci yang membebankan biaya per akun penyimpanan, dengan biaya tambahan untuk transaksi volume tinggi. Paket harga baru ini juga mencakup semua fitur dan deteksi keamanan baru.

Catatan

Jika Anda menggunakan Defender for Storage (klasik) dengan harga akun per transaksi atau per penyimpanan, Anda harus bermigrasi ke paket Defender for Storage baru untuk mengakses fitur dan harga ini. Pelajari tentang migrasi ke paket Defender for Storage baru.

Microsoft Defender for Storage adalah lapisan native Azure dari kecerdasan keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan Anda. Ini menggunakan kemampuan deteksi ancaman tingkat lanjut dan data Inteligensi Ancaman Microsoft untuk memberikan peringatan keamanan kontekstual. Peringatan tersebut juga mencakup langkah-langkah untuk mengurangi ancaman yang terdeteksi dan mencegah serangan di masa mendatang.

Microsoft Defender untuk Penyimpanan terus menganalisis transaksi layanan Azure Blob Storage, Azure Data Lake Storage, dan Azure Files. Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Pemberitahuan ditampilkan di Microsoft Defender untuk Cloud dengan detail aktivitas mencurigakan, langkah penyelidikan yang sesuai, tindakan remediasi, dan rekomendasi keamanan.

Telemetri Azure Blob Storage yang dianalisis mencakup jenis operasi seperti Get Blob, Put Blob, Get Container ACL, List Blobs, dan Get Blob Properties. Contoh jenis operasi Azure Files yang dianalisis meliputi Get File, Create File, List Files, Get File Properties, dan Put Range.

Defender for Storage klasik tidak mengakses data akun Storage dan tidak berdampak pada performanya.

Pelajari selengkapnya tentang manfaat, fitur, dan batasan Defender for Storage. Anda juga dapat mempelajari selengkapnya tentang Defender for Storage di episode Defender for Storage defender for Cloud dalam seri video Field.

Ketersediaan

Aspek	Detail
Status rilis:	Ketersediaan umum (GA)
Harga:	Microsoft Defender untuk Penyimpanan ditagih seperti yang ditunjukkan dalam detail harga dan dalam paket Defender di portal Azure
Jenis penyimpanan yang didukung:	Blob Storage (StorageV2 Standar/Premium, Blob Blok) Azure Files (melalui REST API dan SMB) Azure Data Lake Storage Gen2 (Akun Standar/Premium dengan namespace layanan hierarkis diaktifkan)
Cloud:	Cloud komersial Azure Government (Hanya untuk paket per transaksi) Microsoft Azure dioperasikan oleh 21Vianet Akun AWS yang terhubung

Menyiapkan Microsoft Defender untuk Storage (klasik)

Menyiapkan harga per transaksi untuk langganan

Untuk harga Per transaksi Defender for Storage, kami sarankan Anda mengaktifkan Defender for Storage untuk setiap langganan sehingga semua akun penyimpanan yang ada dan baru dilindungi. Jika Anda hanya ingin melindungi akun tertentu, konfigurasikan Defender for Storage untuk setiap akun.

Anda dapat mengonfigurasi Microsoft Defender untuk Storage pada langganan Anda dengan beberapa cara:

• Templat terraform
• Templat Bicep
• Templat ARM
• PowerShell
• Azure CLI
• REST API

Templat terraform

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan templat Terraform, tambahkan cuplikan kode ini ke templat Anda dengan ID langganan Anda sebagai parent_id nilai:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Untuk menonaktifkan paket, atur pricingTier nilai properti ke Free dan hapus subPlan properti .

Pelajari selengkapnya tentang referensi AzAPI templat ARM.

Templat Bicep

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan Bicep, tambahkan yang berikut ini ke templat Bicep Anda:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Untuk menonaktifkan paket, atur pricingTier nilai properti ke Free dan hapus subPlan properti .

Pelajari selengkapnya tentang referensi AzAPI templat Bicep.

Templat ARM

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan templat ARM, tambahkan cuplikan JSON ini ke bagian sumber daya templat ARM Anda:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Untuk menonaktifkan paket, atur pricingTier nilai properti ke Free dan hapus subPlan properti .

Pelajari selengkapnya tentang referensi AzAPI templat ARM.

PowerShell

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan PowerShell:

1. Jika Anda belum memilikinya, instal modul Azure Az PowerShell.

2. Connect-AzAccount Gunakan cmdlet untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure PowerShell.

3. Gunakan perintah ini untuk mendaftarkan langganan Anda ke Microsoft Defender untuk Penyedia Sumber Daya Cloud:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Ganti <subscriptionId> dengan ID Langganan Azure Anda.

4. Aktifkan Microsoft Defender untuk Penyimpanan untuk langganan Anda dengan Set-AzSecurityPricing cmdlet :

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Tip

Anda dapat menggunakan GetAzSecurityPricing (Az_Security) untuk melihat semua paket Defender for Cloud yang diaktifkan untuk langganan.

Untuk menonaktifkan paket, atur -PricingTier nilai properti ke Free.

Pelajari selengkapnya tentang menggunakan PowerShell dengan Microsoft Defender untuk Cloud.

Azure CLI

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan Azure CLI:

1. Jika Anda belum memilikinya, instal Azure CLI.

2. az login Gunakan perintah untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure CLI.

3. Gunakan perintah ini untuk mengatur ID dan nama langganan:

   az account set --subscription "<subscriptionId or name>"
   

   Ganti <subscriptionId> dengan ID Langganan Azure Anda.

4. Aktifkan Microsoft Defender untuk Penyimpanan untuk langganan Anda dengan az security pricing create perintah :

   az security pricing create -n StorageAccounts --tier "standard"
   

Tip

Anda dapat menggunakan az security pricing show perintah untuk melihat semua paket Defender for Cloud yang diaktifkan untuk langganan.

Untuk menonaktifkan paket, atur -tier nilai properti ke free.

Pelajari selengkapnya tentang az security pricing create perintah.

REST API

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan Microsoft Defender untuk Cloud REST API, buat permintaan PUT dengan titik akhir dan isi ini:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Ganti {subscriptionId} dengan ID Langganan Azure Anda.

Untuk menonaktifkan paket, atur -pricingTier nilai properti ke Free dan hapus subPlan parameter .

Pelajari selengkapnya tentang memperbarui paket Defender dengan REST API di HTTP, Java, Go, dan JavaScript.

Menyiapkan harga per transaksi untuk akun penyimpanan

Anda dapat mengonfigurasi Microsoft Defender untuk Storage dengan harga per transaksi pada akun Anda dengan beberapa cara:

• Templat ARM
• PowerShell
• Azure CLI

Templat ARM

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan untuk akun penyimpanan tertentu dengan harga per transaksi menggunakan templat ARM, gunakan templat Azure yang disiapkan.

Jika Anda ingin menonaktifkan Defender for Storage di akun:

1. Masuk ke portal Microsoft Azure.
2. Buka akun penyimpanan Anda.
3. Di bagian Keamanan + jaringan pada menu Akun penyimpanan, pilih Microsoft Defender untuk Cloud.
4. Pilih Nonaktifkan.

PowerShell

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan untuk akun penyimpanan tertentu dengan harga per transaksi menggunakan PowerShell:

1. Jika Anda belum memilikinya, instal modul Azure Az PowerShell.

2. Gunakan cmdlet Connect-AzAccount untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure PowerShell.

3. Aktifkan Microsoft Defender untuk Storage untuk akun penyimpanan yang diinginkan dengan Enable-AzSecurityAdvancedThreatProtection cmdlet :

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Ganti <subscriptionId>, <resource-group>, dan <storage-account> dengan nilai untuk lingkungan Anda.

Jika Anda ingin menonaktifkan harga per transaksi untuk akun penyimpanan tertentu, gunakan Disable-AzSecurityAdvancedThreatProtection cmdlet :

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Pelajari selengkapnya tentang menggunakan PowerShell dengan Microsoft Defender untuk Cloud.

Azure CLI

Untuk mengaktifkan Microsoft Defender untuk Penyimpanan untuk akun penyimpanan tertentu dengan harga per transaksi menggunakan Azure CLI:

1. Jika Anda belum memilikinya, instal Azure CLI.

2. az login Gunakan perintah untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure CLI.

3. Aktifkan Microsoft Defender untuk Storage untuk langganan Anda dengan az security atp storage update perintah :

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Tip

Anda dapat menggunakan az security atp storage show perintah untuk melihat apakah Defender for Storage diaktifkan di akun.

Untuk menonaktifkan Microsoft Defender untuk Penyimpanan untuk langganan Anda, gunakan az security atp storage update perintah :

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Pelajari selengkapnya tentang perintah az security atp storage .

Mengecualikan akun penyimpanan dari langganan yang dilindungi dalam paket per transaksi

Saat Anda mengaktifkan Microsoft Defender untuk Penyimpanan pada langganan untuk harga per transaksi, semua akun Azure Storage saat ini dan yang akan datang dalam langganan tersebut dilindungi. Anda dapat mengecualikan akun penyimpanan tertentu dari perlindungan Defender for Storage menggunakan portal Azure, PowerShell, atau Azure CLI.

Kami menyarankan agar Anda mengaktifkan Defender for Storage di seluruh langganan untuk melindungi semua akun penyimpanan yang ada dan yang akan datang di dalamnya. Namun, ada beberapa kasus di mana orang ingin mengecualikan akun penyimpanan tertentu dari perlindungan Defender.

Pengecualian akun penyimpanan dari langganan yang dilindungi mengharuskan Anda untuk:

1. Tambahkan tag untuk memblokir pewarisan pengaktifan langganan.
2. Nonaktifkan Defender for Storage (klasik).

Catatan

Pertimbangkan untuk meningkatkan ke paket Defender for Storage baru jika Anda memiliki akun penyimpanan yang ingin Anda kecualikan dari paket klasik Defender for Storage. Anda tidak hanya akan menghemat biaya untuk akun yang berat transaksi, tetapi Anda juga akan mendapatkan akses ke fitur keamanan yang ditingkatkan. Pelajari selengkapnya tentang manfaat migrasi ke paket baru.

Akun penyimpanan yang dikecualikan di Defender untuk Storage klasik tidak secara otomatis dikecualikan saat Anda bermigrasi ke paket baru.

Mengecualikan perlindungan akun Azure Storage pada langganan dengan harga per transaksi

Untuk mengecualikan akun Azure Storage dari Microsoft Defender for Storage (klasik), Anda dapat menggunakan:

• PowerShell
• Azure CLI

Menggunakan PowerShell untuk mengecualikan akun Azure Storage

1. Jika Anda tidak menginstal modul Azure Az PowerShell, instal menggunakan petunjuk dari dokumentasi Azure PowerShell.

2. Menggunakan akun yang diautentikasi, hubungkan ke Azure dengan cmdlet Connect-AzAccount, seperti yang dijelaskan dalam Masuk dengan Azure PowerShell.

3. Tentukan tag AzDefenderPlanAutoEnable di akun penyimpanan dengan cmdlet Update-AzTag (ganti ResourceId dengan ID sumber daya dari akun penyimpanan yang relevan):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Jika Anda melewati tahap ini, sumber daya yang tidak diberi tag akan terus menerima pembaruan harian dari kebijakan pengaktifan tingkat langganan. Kebijakan itu memungkinkan Defender for Storage lagi di akun. Pelajari tag selengkapnya di Menggunakan tag untuk mengatur sumber daya Azure dan hierarki manajemen Anda.

4. Nonaktifkan Microsoft Defender untuk Storage untuk akun yang diinginkan pada langganan yang relevan dengan cmdlet Disable-AzSecurityAdvancedThreatProtection (menggunakan ID sumber daya yang sama):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Pelajari selengkapnya tentang cmdlet ini.

Menggunakan Azure CLI untuk mengecualikan akun Azure Storage

1. Jika Anda tidak menginstal Azure CLI, instal menggunakan petunjuk dari dokumentasi Azure CLI.

2. Menggunakan akun yang diautentikasi, hubungkan ke Azure dengan perintah login seperti yang dijelaskan di Masuk dengan Azure CLI dan masukkan informasi masuk akun Anda saat diminta:

   az login
   

3. Tentukan tag AzDefenderPlanAutoEnable di akun penyimpanan dengan perintah tag update (ganti ResourceId dengan ID sumber daya dari akun penyimpanan yang relevan):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Jika Anda melewati tahap ini, sumber daya yang tidak diberi tag akan terus menerima pembaruan harian dari kebijakan pengaktifan tingkat langganan. Kebijakan itu memungkinkan Defender for Storage lagi di akun.

   Tip

   Pelajari tag selengkapnya di az tag.

4. Nonaktifkan Microsoft Defender untuk Storage untuk akun yang diinginkan pada langganan yang relevan dengan perintah security atp storage (menggunakan ID sumber daya yang sama):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Pelajari selengkapnya tentang perintah ini.

Mengecualikan akun Storage Azure Databricks

Mengecualikan ruang kerja Databricks aktif

Microsoft Defender untuk Storage dapat mengecualikan akun penyimpanan ruang kerja Databricks aktif tertentu, saat paket sudah diaktifkan di langganan.

Untuk mengecualikan ruang kerja Databricks aktif:

1. Masuk ke portal Azure.

2. Buka Azure Databricks>Your Databricks workspace>Tags.

3. Di bidang Nama, masukkan AzDefenderPlanAutoEnable.

4. Di bidang Nilai, masukkan off lalu pilih Terapkan.

   

5. Buka Microsoft Defender untuk Cloud>Pengaturan lingkungan>Your subscription.

6. Nonaktifkan paket Defender for Storage dan pilih Simpan.

   

7. Aktifkan kembali Defender for Storage (klasik) menggunakan salah satu metode yang didukung (Anda tidak dapat mengaktifkan Defender for Storage klasik dari portal Azure).

Tag diwariskan oleh akun Penyimpanan ruang kerja Databricks dan mencegah Defender for Storage diaktifkan.

Catatan

Tag tidak dapat ditambahkan langsung ke akun Storage Databricks, atau Grup Sumber Daya Terkelolanya.

Mencegah pengaktifan otomatis pada akun penyimpanan ruang kerja Databricks baru

Saat membuat ruang kerja Databricks baru, Anda memiliki kemampuan untuk menambahkan tag yang mencegah Microsoft Defender untuk akun Penyimpanan diaktifkan secara otomatis.

Untuk mencegah pengaktifan otomatis pada akun penyimpanan ruang kerja Databricks baru:

1. Ikuti langkah-langkah ini untuk membuat ruang kerja Azure Databricks baru.

2. Di tab Tag, masukkan tag bernama AzDefenderPlanAutoEnable.

3. Masukkan nilai off.

   

4. Terus ikuti petunjuk untuk membuat ruang kerja Azure Databricks baru Anda.

Akun Microsoft Defender untuk Storage mewarisi tag ruang kerja Databricks, yang mencegah Defender for Storage diaktifkan secara otomatis.

Langkah berikutnya

• Lihat pemberitahuan untuk Azure Storage
• Pelajari tentang fitur dan manfaat Defender for Storage
• Lihat pertanyaan umum tentang Defender for Storage klasik.