Nasazení Microsoft Defenderu pro úložiště
Microsoft Defender for Storage je řešení nativní pro Azure, které nabízí pokročilou vrstvu inteligentních funkcí pro detekci hrozeb a zmírnění rizik v účtech úložiště, která využívají microsoft Threat Intelligence, antimalwarové technologie Microsoft Defenderu a zjišťování citlivých dat. Díky ochraně služeb Azure Blob Storage, Azure Files a Azure Data Lake Storage poskytuje komplexní sadu výstrah, kontrolu malwaru téměř v reálném čase (doplněk) a detekci citlivých hrozeb dat (bez dalších nákladů), což umožňuje rychlou detekci, třídění a reakci na potenciální bezpečnostní hrozby s kontextovými informacemi. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat.
Díky programu Microsoft Defender for Storage můžou organizace přizpůsobit ochranu a vynutit konzistentní zásady zabezpečení tím, že ji povolí v předplatných a účtech úložiště s podrobným řízením a flexibilitou.
Tip
Pokud aktuálně používáte Klasický program Microsoft Defender for Storage, zvažte migraci na nový plán, který nabízí několik výhod oproti klasickému plánu.
Dostupnost
| Aspekt | Detaily |
|---|---|
| Stav vydání: | Obecná dostupnost (GA) |
| Dostupnost funkcí: | – Monitorování aktivit (výstrahy zabezpečení) – Obecná dostupnost (GA) – Kontrola malwaru – Obecná dostupnost (GA) – Detekce citlivých dat (zjišťování citlivých dat) – Preview Další informace najdete na stránce s cenami. |
| Požadované role a oprávnění: | Pro kontrolu malwaru a detekci citlivých dat na úrovni předplatného a účtu úložiště potřebujete role vlastníka (vlastník předplatného nebo vlastník účtu úložiště) nebo konkrétní role s odpovídajícími akcemi dat. Pokud chcete povolit monitorování aktivit, potřebujete oprávnění Správce zabezpečení. Přečtěte si další informace o požadovaných oprávněních. |
| Mraky: |  Komerční cloudy Azure* Azure Government (pouze podpora monitorování aktivit v klasickém plánu) Azure China 21Vianet Připojené účty AWS |
*Zóna Azure DNS není podporovaná pro kontrolu malwaru a detekci citlivých dat.
Požadavky na kontrolu malwaru
Pokud chcete povolit a nakonfigurovat kontrolu malwaru, musíte mít role vlastníka (například vlastníka předplatného nebo vlastníka účtu úložiště) nebo konkrétní role s potřebnými akcemi dat. Přečtěte si další informace o požadovaných oprávněních.
Nastavení a konfigurace Microsoft Defenderu pro úložiště
Pokud chcete povolit a nakonfigurovat Microsoft Defender pro úložiště a zajistit maximální ochranu a optimalizaci nákladů, jsou k dispozici následující možnosti konfigurace:
- Povolte nebo zakažte Microsoft Defender for Storage na úrovni předplatného a účtu úložiště.
- Povolte nebo zakažte konfigurovatelné funkce kontroly malwaru nebo detekce citlivých dat.
- Nastavte měsíční limit ("omezení") kontroly malwaru na účet úložiště za měsíc, abyste mohli řídit náklady (výchozí hodnota je 5 000 GB).
- Nakonfigurujte metody pro nastavení odpovědi na výsledky kontroly malwaru.
- Nakonfigurujte metody pro ukládání protokolování výsledků kontroly malwaru.
Tip
Funkce Vyhledávání malwaru má pokročilé konfigurace, které pomáhají týmům zabezpečení podporovat různé pracovní postupy a požadavky.
- Přepište nastavení na úrovni předplatného a nakonfigurujte konkrétní účty úložiště s vlastními konfiguracemi, které se liší od nastavení nakonfigurovaných na úrovni předplatného.
Existuje několik způsobů, jak povolit a nakonfigurovat Defender pro úložiště: použití předdefinovaných zásad Azure (doporučená metoda) prostřednictvím kódu, včetně Terraformu, Bicep a šablon ARM, pomocí webu Azure Portal, pomocí PowerShellu nebo přímo s rozhraním REST API.
Povolení Defenderu pro službu Storage prostřednictvím zásad se doporučuje, protože usnadňuje povolení ve velkém měřítku a zajišťuje, že se konzistentní zásady zabezpečení použijí ve všech existujících a budoucích účtech úložiště v rámci definovaného oboru (jako jsou celé skupiny pro správu). Tím se účty úložiště chrání pomocí Defenderu for Storage podle definované konfigurace organizace.
Poznámka:
Pokud chcete zabránit migraci zpět na starší klasický plán, nezapomeňte zakázat staré zásady Defenderu pro úložiště. Vyhledejte a zakažte zásady s názvem Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enablednebo Configure Microsoft Defender for Storage to be enabled (per-storage account plan) odepřít zásady, které brání zakázání klasického plánu.