コードとしてのインフラストラクチャ テンプレートを使用して有効化と構成を行う

  • [アーティクル]

Defender for Storage をサブスクリプション レベルで有効にすることをお勧めします。 これにより、現在サブスクリプション内にあるすべてのストレージ アカウントが確実に保護されます。 サブスクリプション レベルで Defender for Storage を有効にした後に作成されるストレージ アカウントは、作成後に最大 24 時間経過してから保護されます。

ヒント

いつでも、サブスクリプション レベルで構成されている設定とは異なるカスタム設定で特定のストレージ アカウントを構成する (サブスクリプション レベルの設定をオーバーライドする) ことができます。

Terraform テンプレート

Terraform を使用してサブスクリプション レベルで Microsoft Defender for Storage を有効にして構成するには、次のコード スニペットを使用できます。

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

マルウェア スキャンの月次上限の変更

ストレージ アカウントあたりのマルウェア スキャンの月次上限を変更するには、CapGBPerMonthPerStorageAccount パラメーターを希望の値に調整します。 このパラメーターでは、ストレージ アカウントごとに毎月マルウェアをスキャンできる最大データの上限を設定します。 無制限のスキャンを許可する場合、値 "-1" を割り当てます。 既定の上限は 5,000 GB に設定されています。

機能の無効化

アップロード時のマルウェア スキャン機能または機密データ脅威検出機能を無効にする場合、Terraform コードからそれに対応する拡張機能ブロックを削除できます。

Defender for Storage プラン全体を無効にする

Defender for Storage プラン全体を無効にするには、tier プロパティの値を "Free" に設定し、subPlan および extension プロパティを削除します。

azurerm_security_center_subscription_pricing リソースの詳細については、azurerm_security_center_subscription_pricing ドキュメントを参照してください。 さらに、Azure 向け Terraform プロバイダーの包括的詳細については、Terraform AzureRM プロバイダー ドキュメントを参照してください。

Bicep テンプレート

Bicep を使用して Microsoft Defender for Storage をサブスクリプション レベルで有効にして構成するには、ターゲット スコープがサブスクリプションに設定されていることを確認し、Bicep テンプレートに以下を追加します。

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

マルウェア スキャンの月次上限の変更

ストレージ アカウントあたりのマルウェア スキャンの月次上限を変更するには、CapGBPerMonthPerStorageAccount パラメーターを希望の値に調整します。 このパラメーターでは、ストレージ アカウントごとに毎月マルウェアをスキャンできる最大データの上限を設定します。 無制限のスキャンを許可する場合は、値 -1 を割り当てます。 既定の上限は 5,000 GB に設定されています。

機能の無効化

[アップロード時マルウェア スキャン] または [機密データの脅威検出] 機能をオフにするには、sensitiveDataDiscovery の isEnabled の値を False に変更します。

Defender for Storage プラン全体を無効にする

Defender for Storage プラン全体を無効にするには、pricingTier プロパティの値を Free に設定し、subPlan および extensions プロパティを削除します。

Microsoft.Security/pricings のドキュメントで、Bicep テンプレートの詳細についてご確認ください。

Azure Resource Manager テンプレート

ARM (Azure Resource Manager) テンプレートを使用して Microsoft Defender for Storage をサブスクリプション レベルで有効にして構成するには、ARM テンプレートの resources セクションに次の JSON スニペットを追加します。

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

マルウェア スキャンの月次上限の変更

ストレージ アカウントのマルウェア スキャンの月次上限を変更するには、CapGBPerMonthPerStorageAccount パラメーターを希望の値に調整するだけです。 このパラメーターでは、ストレージ アカウントごとに毎月マルウェアをスキャンできる最大データの上限を設定します。 無制限のスキャンを許可する場合は、値 -1 を割り当てます。 既定の上限は 5,000 GB に設定されています。

機能の無効化

[アップロード時マルウェア スキャン] または [機密データの脅威検出] 機能をオフにするには、sensitiveDataDiscovery の isEnabled の値を False に変更します。

Defender for Storage プラン全体を無効にする

Defender プラン全体を無効にするには、pricingTier プロパティの値を Free に設定し、subPlan および extension プロパティを削除します。

Microsoft.Security/pricings のドキュメントで、ARM テンプレートの詳細についてご確認ください。

次のステップ

Microsoft.Security/DefenderForStorageSettings API ドキュメントの詳細についてご確認ください。