Mengaktifkan Microsoft Defender untuk Penyimpanan (klasik)
Artikel ini menjelaskan cara mengaktifkan dan mengonfigurasi Microsoft Defender untuk Penyimpanan (Klasik) pada langganan Anda dengan menggunakan berbagai templat seperti PowerShell, REST API, dan lainnya.
Anda juga dapat meningkatkan ke Microsoft Defender baru untuk paket Penyimpanan dan menggunakan kemampuan keamanan tingkat lanjut, termasuk Pemindaian Malware dan deteksi ancaman data sensitif. Manfaatkan struktur harga yang lebih dapat diprediksi dan terperinci yang membebankan biaya per akun penyimpanan, dengan biaya tambahan untuk transaksi volume tinggi. Paket harga baru ini juga mencakup semua fitur dan deteksi keamanan baru.
Catatan
Jika Anda menggunakan Defender for Storage (klasik) dengan harga akun per transaksi atau per penyimpanan, Anda harus bermigrasi ke paket Defender for Storage baru untuk mengakses fitur dan harga ini. Pelajari tentang migrasi ke paket Defender for Storage baru.
Microsoft Defender for Storage adalah lapisan native Azure dari kecerdasan keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan Anda. Ini menggunakan kemampuan deteksi ancaman tingkat lanjut dan data Inteligensi Ancaman Microsoft untuk memberikan peringatan keamanan kontekstual. Peringatan tersebut juga mencakup langkah-langkah untuk mengurangi ancaman yang terdeteksi dan mencegah serangan di masa mendatang.
Microsoft Defender untuk Penyimpanan terus menganalisis transaksi layanan Azure Blob Storage, Azure Data Lake Storage, dan Azure Files. Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Pemberitahuan ditampilkan di Microsoft Defender untuk Cloud dengan detail aktivitas mencurigakan, langkah penyelidikan yang sesuai, tindakan remediasi, dan rekomendasi keamanan.
Telemetri Azure Blob Storage yang dianalisis mencakup jenis operasi seperti Get Blob, Put Blob, Get Container ACL, List Blobs, dan Get Blob Properties. Contoh jenis operasi Azure Files yang dianalisis meliputi Get File, Create File, List Files, Get File Properties, dan Put Range.
Defender for Storage klasik tidak mengakses data akun Storage dan tidak berdampak pada performanya.
Pelajari selengkapnya tentang manfaat, fitur, dan batasan Defender for Storage. Anda juga dapat mempelajari selengkapnya tentang Defender for Storage di episode Defender for Storage defender for Cloud dalam seri video Field.
Ketersediaan
Aspek | Detail |
---|---|
Status rilis: | Ketersediaan umum (GA) |
Harga: | Microsoft Defender untuk Penyimpanan ditagih seperti yang ditunjukkan dalam detail harga dan dalam paket Defender di portal Azure |
Jenis penyimpanan yang didukung: | Blob Storage (StorageV2 Standar/Premium, Blob Blok) Azure Files (melalui REST API dan SMB) Azure Data Lake Storage Gen2 (Akun Standar/Premium dengan namespace layanan hierarkis diaktifkan) |
Cloud: | Cloud komersial Azure Government (Hanya untuk paket per transaksi) Microsoft Azure dioperasikan oleh 21Vianet Akun AWS yang terhubung |
Menyiapkan Microsoft Defender untuk Storage (klasik)
Menyiapkan harga per transaksi untuk langganan
Untuk harga Per transaksi Defender for Storage, kami sarankan Anda mengaktifkan Defender for Storage untuk setiap langganan sehingga semua akun penyimpanan yang ada dan baru dilindungi. Jika Anda hanya ingin melindungi akun tertentu, konfigurasikan Defender for Storage untuk setiap akun.
Anda dapat mengonfigurasi Microsoft Defender untuk Storage pada langganan Anda dengan beberapa cara:
Templat terraform
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan templat Terraform, tambahkan cuplikan kode ini ke templat Anda dengan ID langganan Anda sebagai parent_id
nilai:
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Security/pricings@2022-03-01"
name = "StorageAccounts"
parent_id = "<subscriptionId>"
body = jsonencode({
properties = {
pricingTier = "Standard"
subPlan = "PerTransaction"
}
})
}
Untuk menonaktifkan paket, atur pricingTier
nilai properti ke Free
dan hapus subPlan
properti .
Pelajari selengkapnya tentang referensi AzAPI templat ARM.
Templat Bicep
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan Bicep, tambahkan yang berikut ini ke templat Bicep Anda:
resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
name: 'StorageAccounts'
properties: {
pricingTier: 'Standard'
subPlan: 'PerTransaction'
}
}
Untuk menonaktifkan paket, atur pricingTier
nilai properti ke Free
dan hapus subPlan
properti .
Pelajari selengkapnya tentang referensi AzAPI templat Bicep.
Templat ARM
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan templat ARM, tambahkan cuplikan JSON ini ke bagian sumber daya templat ARM Anda:
{
"type": "Microsoft.Security/pricings",
"apiVersion": "2022-03-01",
"name": "StorageAccounts",
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Untuk menonaktifkan paket, atur pricingTier
nilai properti ke Free
dan hapus subPlan
properti .
Pelajari selengkapnya tentang referensi AzAPI templat ARM.
PowerShell
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan PowerShell:
Jika Anda belum memilikinya, instal modul Azure Az PowerShell.
Connect-AzAccount
Gunakan cmdlet untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure PowerShell.Gunakan perintah ini untuk mendaftarkan langganan Anda ke Microsoft Defender untuk Penyedia Sumber Daya Cloud:
Set-AzContext -Subscription <subscriptionId> Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
Ganti
<subscriptionId>
dengan ID Langganan Azure Anda.Aktifkan Microsoft Defender untuk Penyimpanan untuk langganan Anda dengan
Set-AzSecurityPricing
cmdlet :Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
Tip
Anda dapat menggunakan GetAzSecurityPricing
(Az_Security) untuk melihat semua paket Defender for Cloud yang diaktifkan untuk langganan.
Untuk menonaktifkan paket, atur -PricingTier
nilai properti ke Free
.
Pelajari selengkapnya tentang menggunakan PowerShell dengan Microsoft Defender untuk Cloud.
Azure CLI
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan Azure CLI:
Jika Anda belum memilikinya, instal Azure CLI.
az login
Gunakan perintah untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure CLI.Gunakan perintah ini untuk mengatur ID dan nama langganan:
az account set --subscription "<subscriptionId or name>"
Ganti
<subscriptionId>
dengan ID Langganan Azure Anda.Aktifkan Microsoft Defender untuk Penyimpanan untuk langganan Anda dengan
az security pricing create
perintah :az security pricing create -n StorageAccounts --tier "standard"
Tip
Anda dapat menggunakan az security pricing show
perintah untuk melihat semua paket Defender for Cloud yang diaktifkan untuk langganan.
Untuk menonaktifkan paket, atur -tier
nilai properti ke free
.
Pelajari selengkapnya tentang az security pricing create
perintah.
REST API
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan dengan harga per transaksi menggunakan Microsoft Defender untuk Cloud REST API, buat permintaan PUT dengan titik akhir dan isi ini:
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01
{
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Ganti {subscriptionId}
dengan ID Langganan Azure Anda.
Untuk menonaktifkan paket, atur -pricingTier
nilai properti ke Free
dan hapus subPlan
parameter .
Pelajari selengkapnya tentang memperbarui paket Defender dengan REST API di HTTP, Java, Go, dan JavaScript.
Menyiapkan harga per transaksi untuk akun penyimpanan
Anda dapat mengonfigurasi Microsoft Defender untuk Storage dengan harga per transaksi pada akun Anda dengan beberapa cara:
Templat ARM
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan untuk akun penyimpanan tertentu dengan harga per transaksi menggunakan templat ARM, gunakan templat Azure yang disiapkan.
Jika Anda ingin menonaktifkan Defender for Storage di akun:
- Masuk ke portal Microsoft Azure.
- Buka akun penyimpanan Anda.
- Di bagian Keamanan + jaringan pada menu Akun penyimpanan, pilih Microsoft Defender untuk Cloud.
- Pilih Nonaktifkan.
PowerShell
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan untuk akun penyimpanan tertentu dengan harga per transaksi menggunakan PowerShell:
Jika Anda belum memilikinya, instal modul Azure Az PowerShell.
Gunakan cmdlet Connect-AzAccount untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure PowerShell.
Aktifkan Microsoft Defender untuk Storage untuk akun penyimpanan yang diinginkan dengan
Enable-AzSecurityAdvancedThreatProtection
cmdlet :Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
Ganti
<subscriptionId>
,<resource-group>
, dan<storage-account>
dengan nilai untuk lingkungan Anda.
Jika Anda ingin menonaktifkan harga per transaksi untuk akun penyimpanan tertentu, gunakan Disable-AzSecurityAdvancedThreatProtection
cmdlet :
Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
Pelajari selengkapnya tentang menggunakan PowerShell dengan Microsoft Defender untuk Cloud.
Azure CLI
Untuk mengaktifkan Microsoft Defender untuk Penyimpanan untuk akun penyimpanan tertentu dengan harga per transaksi menggunakan Azure CLI:
Jika Anda belum memilikinya, instal Azure CLI.
az login
Gunakan perintah untuk masuk ke akun Azure Anda. Pelajari selengkapnya tentang masuk ke Azure dengan Azure CLI.Aktifkan Microsoft Defender untuk Storage untuk langganan Anda dengan
az security atp storage update
perintah :az security atp storage update \ --resource-group <resource-group> \ --storage-account <storage-account> \ --is-enabled true
Tip
Anda dapat menggunakan az security atp storage show
perintah untuk melihat apakah Defender for Storage diaktifkan di akun.
Untuk menonaktifkan Microsoft Defender untuk Penyimpanan untuk langganan Anda, gunakan az security atp storage update
perintah :
az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false
Pelajari selengkapnya tentang perintah az security atp storage .
Mengecualikan akun penyimpanan dari langganan yang dilindungi dalam paket per transaksi
Saat Anda mengaktifkan Microsoft Defender untuk Penyimpanan pada langganan untuk harga per transaksi, semua akun Azure Storage saat ini dan yang akan datang dalam langganan tersebut dilindungi. Anda dapat mengecualikan akun penyimpanan tertentu dari perlindungan Defender for Storage menggunakan portal Azure, PowerShell, atau Azure CLI.
Kami menyarankan agar Anda mengaktifkan Defender for Storage di seluruh langganan untuk melindungi semua akun penyimpanan yang ada dan yang akan datang di dalamnya. Namun, ada beberapa kasus di mana orang ingin mengecualikan akun penyimpanan tertentu dari perlindungan Defender.
Pengecualian akun penyimpanan dari langganan yang dilindungi mengharuskan Anda untuk:
- Tambahkan tag untuk memblokir pewarisan pengaktifan langganan.
- Nonaktifkan Defender for Storage (klasik).
Catatan
Pertimbangkan untuk meningkatkan ke paket Defender for Storage baru jika Anda memiliki akun penyimpanan yang ingin Anda kecualikan dari paket klasik Defender for Storage. Anda tidak hanya akan menghemat biaya untuk akun yang berat transaksi, tetapi Anda juga akan mendapatkan akses ke fitur keamanan yang ditingkatkan. Pelajari selengkapnya tentang manfaat migrasi ke paket baru.
Akun penyimpanan yang dikecualikan di Defender untuk Storage klasik tidak secara otomatis dikecualikan saat Anda bermigrasi ke paket baru.
Mengecualikan perlindungan akun Azure Storage pada langganan dengan harga per transaksi
Untuk mengecualikan akun Azure Storage dari Microsoft Defender for Storage (klasik), Anda dapat menggunakan:
Menggunakan PowerShell untuk mengecualikan akun Azure Storage
Jika Anda tidak menginstal modul Azure Az PowerShell, instal menggunakan petunjuk dari dokumentasi Azure PowerShell.
Menggunakan akun yang diautentikasi, hubungkan ke Azure dengan cmdlet
Connect-AzAccount
, seperti yang dijelaskan dalam Masuk dengan Azure PowerShell.Tentukan tag AzDefenderPlanAutoEnable di akun penyimpanan dengan cmdlet
Update-AzTag
(ganti ResourceId dengan ID sumber daya dari akun penyimpanan yang relevan):Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
Jika Anda melewati tahap ini, sumber daya yang tidak diberi tag akan terus menerima pembaruan harian dari kebijakan pengaktifan tingkat langganan. Kebijakan itu memungkinkan Defender for Storage lagi di akun. Pelajari tag selengkapnya di Menggunakan tag untuk mengatur sumber daya Azure dan hierarki manajemen Anda.
Nonaktifkan Microsoft Defender untuk Storage untuk akun yang diinginkan pada langganan yang relevan dengan cmdlet
Disable-AzSecurityAdvancedThreatProtection
(menggunakan ID sumber daya yang sama):Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
Menggunakan Azure CLI untuk mengecualikan akun Azure Storage
Jika Anda tidak menginstal Azure CLI, instal menggunakan petunjuk dari dokumentasi Azure CLI.
Menggunakan akun yang diautentikasi, hubungkan ke Azure dengan perintah
login
seperti yang dijelaskan di Masuk dengan Azure CLI dan masukkan informasi masuk akun Anda saat diminta:az login
Tentukan tag AzDefenderPlanAutoEnable di akun penyimpanan dengan perintah
tag update
(ganti ResourceId dengan ID sumber daya dari akun penyimpanan yang relevan):az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
Jika Anda melewati tahap ini, sumber daya yang tidak diberi tag akan terus menerima pembaruan harian dari kebijakan pengaktifan tingkat langganan. Kebijakan itu memungkinkan Defender for Storage lagi di akun.
Tip
Pelajari tag selengkapnya di az tag.
Nonaktifkan Microsoft Defender untuk Storage untuk akun yang diinginkan pada langganan yang relevan dengan perintah
security atp storage
(menggunakan ID sumber daya yang sama):az security atp storage update --resource-group MyResourceGroup --storage-account MyStorageAccount --is-enabled false
Mengecualikan akun Storage Azure Databricks
Mengecualikan ruang kerja Databricks aktif
Microsoft Defender untuk Storage dapat mengecualikan akun penyimpanan ruang kerja Databricks aktif tertentu, saat paket sudah diaktifkan di langganan.
Untuk mengecualikan ruang kerja Databricks aktif:
Masuk ke portal Azure.
Buka Azure Databricks>
Your Databricks workspace
>Tags.Di bidang Nama, masukkan
AzDefenderPlanAutoEnable
.Di bidang Nilai, masukkan
off
lalu pilih Terapkan.Buka Microsoft Defender untuk Cloud>Pengaturan lingkungan>
Your subscription
.Nonaktifkan paket Defender for Storage dan pilih Simpan.
Aktifkan kembali Defender for Storage (klasik) menggunakan salah satu metode yang didukung (Anda tidak dapat mengaktifkan Defender for Storage klasik dari portal Azure).
Tag diwariskan oleh akun Penyimpanan ruang kerja Databricks dan mencegah Defender for Storage diaktifkan.
Catatan
Tag tidak dapat ditambahkan langsung ke akun Storage Databricks, atau Grup Sumber Daya Terkelolanya.
Mencegah pengaktifan otomatis pada akun penyimpanan ruang kerja Databricks baru
Saat membuat ruang kerja Databricks baru, Anda memiliki kemampuan untuk menambahkan tag yang mencegah Microsoft Defender untuk akun Penyimpanan diaktifkan secara otomatis.
Untuk mencegah pengaktifan otomatis pada akun penyimpanan ruang kerja Databricks baru:
Ikuti langkah-langkah ini untuk membuat ruang kerja Azure Databricks baru.
Di tab Tag, masukkan tag bernama
AzDefenderPlanAutoEnable
.Masukkan nilai
off
.Terus ikuti petunjuk untuk membuat ruang kerja Azure Databricks baru Anda.
Akun Microsoft Defender untuk Storage mewarisi tag ruang kerja Databricks, yang mencegah Defender for Storage diaktifkan secara otomatis.
Langkah berikutnya
- Lihat pemberitahuan untuk Azure Storage
- Pelajari tentang fitur dan manfaat Defender for Storage
- Lihat pertanyaan umum tentang Defender for Storage klasik.