PowerShell で有効化して構成する

[アーティクル]
10/01/2024

Defender for Storage をサブスクリプションレベルで有効にすることをお勧めします。これにより、サブスクリプションに現在含まれているすべてのストレージアカウントが保護されます。サブスクリプションレベルで Defender for Storage を有効にした後に作成されたストレージアカウントは、作成後 24 時間以内に保護されます。

ヒント

サブスクリプションレベルで構成されている設定とは異なるカスタム構成で特定のストレージアカウントを構成する (サブスクリプションレベルの設定をオーバーライドする) ことはいつでも可能です。

PowerShell を使用する前に、次の手順を実行します。

まだ行っていない場合は、Azure Az PowerShell モジュールをインストールします。
Connect-AzAccount コマンドレットを使って、Azure アカウントにサインインします。 Azure PowerShell を使った Azure へのサインインについての詳細を確認してください。
次のコマンドを使って、サブスクリプションを Microsoft Defender for Cloud リソースプロバイダーに登録します。
```
Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
```
<subscriptionId> は、サブスクリプション ID で置き換えてください。

サブスクリプションで有効にする
ストレージアカウントで有効にする

Microsoft Defender for Storage をトランザクションごとの価格によりサブスクリプションレベルで有効にするには、以下の Set-AzSecurityPricing コマンドレットを使用します。

Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard" -SubPlan "DefenderForStorageV2" -Extension '[
    {
        "name": "OnUploadMalwareScanning",
            "isEnabled": "True",
        "additionalExtensionProperties": {
            "CapGBPerMonthPerStorageAccount": "6000"
        }
    },
    {
        "name": "SensitiveDataDiscovery",
        "isEnabled": "True"
    }]'

コマンドレットに拡張プロパティが指定されていない場合は、既定でマルウェアスキャンと機密データ検出の両方が有効になります。マルウェアスキャンのストレージアカウントごとの月間しきい値は、既定で 5,000 GB です。

ストレージアカウントに対してアップロード時のマルウェアスキャンの月間しきい値を変更するには、CapGBPerMonthPerStorageAccount プロパティを適切な値に調整します。このパラメーターでは、ストレージアカウントごとに毎月マルウェアをスキャンできる最大データの上限を設定します。無制限のスキャンを許可する場合は、値 -1 を割り当てます。既定の上限は 5,000 GB に設定されています。

アップロード時のマルウェアスキャン機能または機密データ脅威検出機能をオフにするには、それぞれ OnUploadMalwareScanning または SensitiveDataDiscovery 拡張プロパティの isEnabled 値を False に変更します。 Defender プラン全体を無効にするには、-PricingTier プロパティ値を Free に設定し、-SubPlan および拡張プロパティを削除します。

ヒント

GetAzSecurityPricing コマンドレットを使用すると、サブスクリプションで有効になっているすべての Defender for Cloud プランを確認できます。

Set-AzSecurityPricing コマンドレットの詳細については、Azure PowerShell リファレンスを参照してください。

ストレージアカウントレベルで Microsoft Defender for Storage を有効化して構成するには、Update-AzSecurityDefenderForStorage コマンドレットを使用します。この例の <SubscriptionId>、<ResourceGroupName>、<StorageAccountName> は、実際の Azure サブスクリプション ID、リソースグループ、ストレージアカウント名に置き換えてください。

Update-AzSecurityDefenderForStorage -ResourceId "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>" -IsEnabled -OverrideSubscriptionLevelSetting -OnUploadIsEnabled -OnUploadCapGbPerMonth 7000 -SensitiveDataDiscoveryIsEnabled

Note

Defender for Storage がサブスクリプションレベルで有効になっている場合、サブスクリプションレベルで設定をオーバーライドするには -OverrideSubscriptionLevelSetting パラメーターが必要です。オーバーライドパラメーターを使用しなかった場合は、コマンドレットで指定されたパラメーター値に関係なく、サブスクリプションレベルの設定に従って拡張機能が設定されます。

ストレージアカウントに対してマルウェアスキャンの月間しきい値を変更するには、-OnUploadCapGBPerMonth パラメーターを適切な値に調整します。このパラメーターは、ストレージアカウントごとに、毎月のマルウェアスキャンを行う最大データの上限を設定します。無制限のスキャンを許可する場合は、値 -1 を割り当てます。既定の上限は 5,000 GB に設定されています。

マルウェアスキャンの結果は、パラメーター -MalwareScanningScanResultsEventGridTopicResourceId "<resourceId>"で Event Grid トピックリソース ID を指定することで、Event Grid に送信できます。

ストレージアカウントに対してアップロード時のマルウェアスキャンまたは機密データ脅威検出機能をオフにするには、それぞれ -OnUploadIsEnabled:$false または -SensitiveDataDiscoveryIsEnabled:$false を設定します。

ストレージアカウントに対して Defender プラン全体を無効にするには、IsEnabled:$false、-OnUploadIsEnabled:$false、-SensitiveDataDiscoveryIsEnabled:$falseを設定します。

ヒント

Get-AzSecurityDefenderForStorage コマンドレットを使用すると、ストレージアカウントの Defender for Storage 設定を確認できます。

Update-AzSecurityDefenderForStorage コマンドレットの詳細については、Azure PowerShell リファレンスを参照してください。

Microsoft Defender for Cloud での PowerShell の使用についての詳細を確認してください。

ヒント

スキャン結果を以下に送信するようマルウェアスキャンを構成できます。
Event Grid カスタムトピック - 毎回のスキャン結果に基づいたほぼリアルタイムの自動応答を実現します。スキャンイベントを Event Grid カスタムトピックに送信するようマルウェアスキャンを構成する方法について詳細をご確認ください。
Log Analytics ワークスペース - コンプライアンスと監査のため、一元化されたログリポジトリにすべてのスキャン結果を格納します。スキャン結果を Log Analytics ワークスペースに送信するようマルウェアスキャンを構成する方法について詳細をご確認ください。

詳細については、マルウェアのスキャン結果に対する対応のセットアップ方法を参照してください。

次のステップ

Azure 組み込みポリシーを使用して Defender for Storage プランを大規模に有効化および構成する方法をご確認ください。

次の方法で共有

PowerShell で有効化して構成する

次のステップ

フィードバック

その他のリソース