Distribuera Microsoft Defender för Storage
Microsoft Defender för Storage är en Azure-baserad lösning som erbjuder ett avancerat lager av intelligens för hotidentifiering och riskreducering i lagringskonton som drivs av Microsoft Threat Intelligence, Microsoft Defender Antimalware-tekniker och Känslig dataidentifiering. Med skydd för Azure Blob Storage-, Azure Files- och Azure Data Lake Storage-tjänster ger det en omfattande aviseringssvit, sökning efter skadlig kod i nära realtid (tillägg) och identifiering av känsligt datahot (utan extra kostnad), vilket möjliggör snabb identifiering, prioritering och svar på potentiella säkerhetshot med sammanhangsbaserad information. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data.
Med Microsoft Defender för Storage kan organisationer anpassa sitt skydd och tillämpa konsekventa säkerhetsprinciper genom att aktivera det på prenumerationer och lagringskonton med detaljerad kontroll och flexibilitet.
Dricks
Om du för närvarande använder microsoft Defender för lagringsklassiker kan du överväga att migrera till den nya planen, som erbjuder flera fördelar jämfört med den klassiska planen.
Tillgänglighet
| Aspekt | Details |
|---|---|
| Versionstillstånd: | Allmän tillgänglighet (GA) |
| Funktionstillgänglighet: | – Aktivitetsövervakning (säkerhetsaviseringar) – Allmän tillgänglighet (GA) – Skanning av skadlig kod – Allmän tillgänglighet (GA) – Identifiering av känsligt datahot (identifiering av känsliga data) – förhandsversion Gå till prissidan om du vill veta mer. |
| Nödvändiga roller och behörigheter: | För skanning av skadlig kod och identifiering av känsliga datahot på prenumerations- och lagringskontonivåer behöver du ägarroller (prenumerationsägare/lagringskontoägare) eller specifika roller med motsvarande dataåtgärder. För att aktivera aktivitetsövervakning behöver du behörigheter som säkerhetsadministratör. Läs mer om de behörigheter som krävs. |
| Moln: |  Kommersiella Azure-moln* Azure Government (endast stöd för aktivitetsövervakning i den klassiska planen) Azure China 21VianetAnslut AWS-konton |
*Azure DNS-zonen stöds inte för skanning av skadlig kod och identifiering av känsliga datahot.
Krav för skanning av skadlig kod
Om du vill aktivera och konfigurera skanning av skadlig kod måste du ha ägarroller (till exempel prenumerationsägare eller lagringskontoägare) eller specifika roller med nödvändiga dataåtgärder. Läs mer om de behörigheter som krävs.
Konfigurera Microsoft Defender för Storage
Följande konfigurationsalternativ är tillgängliga för att aktivera och konfigurera Microsoft Defender för Lagring och säkerställa maximalt skydd och kostnadsoptimering:
- Aktivera/inaktivera Microsoft Defender för Lagring på prenumerations- och lagringskontonivå.
- Aktivera/inaktivera skanning av skadlig kod eller konfigurerbara funktioner för identifiering av känsligt datahot.
- Ange ett månatligt tak ("capping") för genomsökning av skadlig kod per lagringskonto per månad för att kontrollera kostnaderna (standardvärdet är 5 000 GB).
- Konfigurera metoder för att konfigurera svar på resultat från genomsökning av skadlig kod.
- Konfigurera metoder för att spara resultatloggning av skadlig kodgenomsökning.
Dricks
Funktionen Genomsökning av skadlig kod har avancerade konfigurationer som hjälper säkerhetsteam att stödja olika arbetsflöden och krav.
- Åsidosätt inställningar på prenumerationsnivå för att konfigurera specifika lagringskonton med anpassade konfigurationer som skiljer sig från de inställningar som konfigurerats på prenumerationsnivå.
Det finns flera sätt att aktivera och konfigurera Defender för lagring: använda den inbyggda Azure-principen (den rekommenderade metoden), programmatiskt använda infrastruktur som kodmallar, inklusive Terraform-, Bicep- och ARM-mallar, använda Azure-portalen eller direkt med REST-API:et.
Aktivering av Defender för lagring via en princip rekommenderas eftersom det underlättar aktivering i stor skala och säkerställer att en konsekvent säkerhetsprincip tillämpas på alla befintliga och framtida lagringskonton inom det definierade omfånget (till exempel hela hanteringsgrupper). På så sätt skyddas lagringskontona med Defender for Storage enligt organisationens definierade konfiguration.
Kommentar
Om du vill förhindra migrering tillbaka till den äldre klassiska planen måste du inaktivera de gamla Principerna för Defender för lagring. Leta efter och inaktivera principer med namnet Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabledeller Configure Microsoft Defender for Storage to be enabled (per-storage account plan) neka principer som förhindrar att den klassiska planen inaktiveras.