你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置 Microsoft Defender for Storage

Microsoft Defender for Storage 会提供额外的安全智能层，可检测是否存在访问或攻击存储帐户的异常和潜在有害尝试行为。 借助此保护层，用户无需成为安全专家，也无需管理安全监视系统便可解决威胁。

当活动出现异常时，会触发安全警报。 这些安全警报已与 Microsoft Defender for Cloud 相集成，系统会通过电子邮件将其发送给订阅管理员，内容包括可疑活动的详细信息以及如何调查和修正威胁的建议。

该服务会引入对 Blob 存储和 Azure 文件存储的读取、写入和删除请求的资源日志，用于威胁检测。 要调查来自 Microsoft Defender for Cloud 的警报，可以使用存储分析记录来查看相关的存储活动。 有关详细信息，请参阅在 Azure 门户中监视存储帐户中的“配置日志记录”。

可用性

Microsoft Defender for Storage 现可用于 Blob 存储、Azure 文件和 Azure Data Lake Storage Gen2。 支持 Microsoft Defender for Storage 的帐户类型包括常规用途 v2、块 blob 和 Blob 存储帐户。 Microsoft Defender for Storage 在所有公有云和美国政府云中可用，但在其他主权云或 Azure 政府云区域中不可用。

为 Data Lake Storage 启用分层命名空间的帐户支持使用 Azure Blob 存储 API 和 Data Lake Storage API 的事务。 Azure 文件共享通过 SMB 支持事务。

有关定价详细信息（包括 30 天免费试用版），请参阅 Microsoft Defender for Cloud 定价页。

以下列表汇总了 Microsoft Defender for Storage 的可用性：

• 发布状态：
  • Blob 存储（正式发布）
  • Azure 文件存储（正式发布）
  • Azure Data Lake Storage Gen2（正式发布）
• 云：✔ 商业云
  ✔ Azure 政府
  ✘ Azure 中国世纪互联

设置 Microsoft Defender for Cloud

可以通过多种方式配置 Microsoft Defender for Storage，如以下部分所述。

Microsoft Defender for Cloud

Microsoft Defender for Storage 已内置于 Microsoft Defender for Cloud 中。 在订阅上启用 Microsoft Defender for Cloud 的增强安全功能时，系统将自动为所有存储帐户启用 Microsoft Defender for Storage。 要为特定订阅下的单个存储帐户启用或禁用 Defender for Storage，请执行：

1. 在 Azure 门户中启动 Microsoft Defender for Cloud。

2. 在 Defender for Cloud 的主菜单中，选择“环境设置”。

3. 选择要为其启用或禁用 Microsoft Defender for Cloud 的订阅。

4. 选择“启用所有 Microsoft Defender 计划”，在订阅中启用 Microsoft Defender for Cloud。

5. 在“按资源类型选择 Microsoft Defender 计划”下，找到“存储”行，然后在“计划”列中选择“启用” 。

6. 保存所做更改。

   

现在已为此订阅中的所有存储帐户启用了 Microsoft Defender for Storage。

Portal

1. 启动 Azure 门户。

2. 导航到自己的存储帐户。 在“安全性 + 网络”下，选择“安全性”。

3. 选择“启用 Microsoft Defender for Storage”。

   

现对此存储帐户启用 Microsoft Defender for Storage。

模板

使用 Azure 资源管理器模板来部署启用了 Microsoft Defender for Storage 的 Azure 存储帐户。 有关详细信息，请参阅具有高级威胁防护的存储帐户。

Azure Policy

使用 Azure Policy 在某个特定订阅或资源组下的存储帐户中启用 Microsoft Defender for Cloud。

1. 启动“Azure Policy - 定义”页。

2. 搜索“应启用 Azure Defender for Storage”策略，然后选择该策略以查看策略定义页面。

   

3. 选择内置策略的“分配”按钮，然后指定一个 Azure 订阅。 还可以选择指定资源组以进一步限定策略分配的范围。

   

4. 选择“查看 + 创建”以查看策略定义，然后以指定范围创建它。

PowerShell

要使用 PowerShell 对存储帐户启用 Microsoft Defender for Storage，请先确保已安装 Az.Security 模块。 接下来，调用 AzSecurityAdvancedThreatProtection 命令。 请注意将尖括号中的值替换为你自己的值：

Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

要使用 PowerShell 检查存储帐户的 Microsoft Defender for Storage 设置，请调用 Get-AzSecurityAdvancedThreatProtection 命令。 请注意将尖括号中的值替换为你自己的值：

Get-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Azure CLI

要使用 Azure CLI 对存储帐户启用 Microsoft Defender for Storage，请调用 az security atp storage update 命令。 请注意将尖括号中的值替换为你自己的值：

az security atp storage update \
    --resource-group <resource-group> \
    --storage-account <storage-account> \
    --is-enabled true

要使用 Azure CLI 检查存储帐户的 Microsoft Defender for Storage 设置，请调用 az security atp storage show 命令。 请注意将尖括号中的值替换为你自己的值：

az security atp storage show \
    --resource-group <resource-group> \
    --storage-account <storage-account>

了解安全异常

存储活动出现异常时，用户会收到一封电子邮件通知，其中包含有关可疑安全事件的信息。 事件详细信息包括：

• 异常性质
• 存储帐户名称
• 事件时间
• 存储类型
• 可能的原因
• 调查步骤
• 修正步骤

电子邮件还包含有关可能原因的详细信息以及用于调查和缓解潜在威胁的建议操作。

可从 Microsoft Defender for Cloud 的“安全警报”控件部件查看和管理当前安全警报。 选择警报可了解详细信息以及用于调查当前威胁和解决潜在威胁的操作。

安全警报

警报是因访问或攻击存储帐户的异常且可能有害的尝试而生成的。 有关 Azure 存储的警报列表，请参阅 Azure 存储的警报。

后续步骤

• 适用于存储的 Microsoft Defender 简介
• Microsoft Defender for Cloud
• 登录 Azure 存储帐户