Povolení a konfigurace pomocí PowerShellu

Článek
09/29/2024

Doporučujeme povolit Defender for Storage na úrovni předplatného. Tím zajistíte, že všechny účty úložiště, které jsou aktuálně v předplatném, jsou chráněné. Účty úložiště vytvořené po povolení defenderu pro úložiště na úrovni předplatného jsou chráněny do 24 hodin od vytvoření.

Tip

Vždy můžete nakonfigurovat konkrétní účty úložiště s vlastními konfiguracemi, které se liší od nastavení nakonfigurovaných na úrovni předplatného (přepsání nastavení na úrovni předplatného).

Před prací s PowerShellem proveďte následující kroky:

Pokud ho ještě nemáte, nainstalujte modul Azure Az PowerShell.
Pomocí rutiny Connect-AzAccount se přihlaste ke svému účtu Azure. Přečtěte si další informace o přihlášení k Azure pomocí Azure PowerShellu.
Pomocí těchto příkazů zaregistrujte své předplatné do programu Microsoft Defender for Cloud Resource Provider:
```
Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
```
Nahraďte <subscriptionId> ID předplatného.

Povolení předplatného
Povolení účtu úložiště

Povolte Microsoft Defender for Storage na úrovni předplatného s cenami jednotlivých transakcí pomocí Set-AzSecurityPricing rutiny:

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

Pokud pro rutinu nejsou k dispozici žádné vlastnosti rozšíření, jsou ve výchozím nastavení povolené vyhledávání malwaru i zjišťování citlivých dat. Výchozí měsíční prahová hodnota pro účet úložiště pro kontrolu malwaru je 5 000 GB.

Pokud chcete změnit měsíční prahovou hodnotu pro kontrolu malwaru při nahrávání v účtech úložiště, upravte CapGBPerMonthPerStorageAccount vlastnost na upřednostňovanou hodnotu. Tento parametr nastaví limit maximálního počtu dat, která je možné každý měsíc kontrolovat malware na účet úložiště. Pokud chcete povolit neomezenou kontrolu, přiřaďte hodnotu -1. Výchozí limit je nastavený na 5 000 GB.

Pokud chcete vypnout funkci detekce malwaru při nahrávání nebo detekce citlivých hrozeb dat, můžete hodnotu změnit isEnabled na False OnUploadMalwareScanning vlastnosti rozšíření nebo SensitiveDataDiscovery rozšíření. Pokud chcete zakázat celý plán Defenderu, nastavte -PricingTier hodnotu vlastnosti na Free a odeberte -SubPlan vlastnosti rozšíření.

Tip

Pomocí rutiny GetAzSecurityPricing můžete zobrazit všechny plány Defenderu pro cloud, které jsou pro předplatné povolené.

Podrobnosti o rutině Set-AzSecurityPricing najdete v referenčních informacích k Azure PowerShellu.

Pomocí rutiny Update-AzSecurityDefenderForStorage povolte a nakonfigurujte Microsoft Defender for Storage na úrovni účtu úložiště. V tomto příkladu <SubscriptionId>nahraďte název , <ResourceGroupName>a <StorageAccountName> to vlastním ID předplatného Azure, skupinou prostředků a názvy účtů úložiště:

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Poznámka:

Pokud je na úrovni předplatného povolený Defender for Storage, -OverrideSubscriptionLevelSetting je parametr nezbytný k přepsání nastavení na úrovni předplatného. Pokud se parametr přepsání nepoužívá, rozšíření se nastaví podle nastavení na úrovni předplatného bez ohledu na hodnoty parametrů zadané v rutině.

Pokud chcete upravit měsíční prahovou hodnotu pro kontrolu malwaru v účtu úložiště, upravte -OnUploadCapGBPerMonth parametr na preferovanou hodnotu. Tento parametr nastaví limit maximálního počtu dat, která se mají kontrolovat pro malware každý měsíc na účet úložiště. Pokud chcete povolit neomezenou kontrolu, přiřaďte hodnotu -1. Výchozí limit je nastavený na 5 000 GB.

Výsledky kontroly malwaru lze odeslat do Event Gridu zadáním ID prostředku tématu Event Gridu v parametru -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>".

Pokud chcete vypnout funkce detekce malwaru při nahrávání nebo detekce citlivých dat pro účet úložiště, nastavte -OnUploadIsEnabled:$false nebo -SensitiveDataDiscoveryIsEnabled:$false v uvedeném pořadí.

Pokud chcete zakázat celý plán Defenderu pro účet úložiště, nastavte IsEnabled:$false-OnUploadIsEnabled:$falsea -SensitiveDataDiscoveryIsEnabled:$false.

Tip

K zobrazení nastavení Defenderu pro úložiště pro účet úložiště můžete použít rutinu Get-AzSecurityDefenderForStorage .

Podrobnosti o rutině Update-AzSecurityDefenderForStorage najdete v referenčních informacích k Azure PowerShellu.

Přečtěte si další informace o používání PowerShellu s Microsoft Defenderem pro cloud.

Tip

Kontrolu malwaru je možné nakonfigurovat tak, aby odesílala výsledky kontroly následujícímu:
Vlastní téma Event Gridu – pro automatickou odpověď téměř v reálném čase na základě každého výsledku kontroly. Přečtěte si další informace o tom, jak nakonfigurovat kontrolu malwaru tak , aby odesílala události kontroly do vlastního tématu Event Gridu.
Pracovní prostor služby Log Analytics – pro ukládání všech kontrol je výsledkem centralizované úložiště protokolů pro zajištění dodržování předpisů a auditu. Přečtěte si další informace, jak nakonfigurovat kontrolu malwaru tak , aby odesílala výsledky kontroly do pracovního prostoru služby Log Analytics.

Přečtěte si další informace o tom, jak nastavit odpovědi na výsledky kontroly malwaru.

Další kroky

Zjistěte, jak povolit a nakonfigurovat plán Defenderu pro úložiště ve velkém měřítku pomocí předdefinovaných zásad Azure.

Sdílet prostřednictvím

Povolení a konfigurace pomocí PowerShellu

Další kroky

Váš názor

Další materiály