Включение Microsoft Defender для хранилища (классическая модель)

В этой статье объясняется, как включить и настроить Microsoft Defender для хранилища (классическая модель) в подписках с помощью различных шаблонов, таких как PowerShell, REST API и другие.

Примечание.

Защитник для хранилища (классическая версия) недоступен для новых подписок с 5 февраля 2025 г.

Вы также можете обновить новый план Microsoft Defender для хранения и использовать расширенные возможности безопасности, включая сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Преимущества прогнозируемой и детализированной структуры ценообразования, которая взимается за учетную запись хранения, с дополнительными затратами на транзакции с большим объемом. Этот новый тарифный план также включает все новые функции безопасности и обнаружения.

Примечание.

Если вы используете Defender для хранилища (классической) с ценами на каждую транзакцию или учетную запись хранения, необходимо перейти к новому плану Defender для хранения для доступа к этим функциям и ценам. Узнайте о переходе на новый план Defender для хранения данных.

Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или их использования. В нем используются расширенные возможности обнаружения угроз и данные аналитики угроз Microsoft Defender для предоставления контекстных оповещений системы безопасности. Эти оповещения включают шаги по устранению обнаруженных угроз и предотвращению будущих атак.

Microsoft Defender для хранилища постоянно анализирует транзакции хранилища BLOB-объектов Azure, Azure Data Lake Storage и службы файлов Azure . При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. В Microsoft Defender для облака отображаются оповещения с подробными сведениями о подозрительных действиях, соответствующие действия по расследованию, действия по исправлению и рекомендации по безопасности.

Анализируемая телеметрия хранилища BLOB-объектов Azure включает типы операций, такие как Get BLOB, Put BLOB, Get Container ACL, List Blobs и Get Blob Properties. Примеры анализируемых типов операций службы Файлов Azure включают получение файла, создание файла, получение списка файлов, получение свойств файлаи размещение диапазона.

Классический защитник для хранилища не обращается к данным учетной записи хранения и не влияет на производительность.

Узнайте больше о преимуществах, функциях и ограничениях Defender для хранилища. Вы также можете узнать больше о Defender для хранения в эпизоде Defender для хранения Defender для облака в серии видео field.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены. Плата за microsoft Defender для хранилища взимается, как показано в сведениях о ценах и планах Defender в портал Azure
Типы защищенного хранилища: Хранилище BLOB-объектов (Standard/Premium хранилище V2, блочные BLOB-объекты)
Файлы Azure (через REST API и SMB)
Azure Data Lake Storage 2-го поколения (учетные записи Standard/Premium с включенными иерархическими пространствами имен)
Облако. Коммерческие облака
Azure для государственных учреждений (только для плана с оплатой за каждую транзакцию)
Microsoft Azure, управляемый 21Vianet
подключенные учетные записи AWS.

Настройка цен на транзакции для учетной записи хранения

Вы можете настроить Microsoft Defender для хранения данных на основе цен за транзакцию в учетных записях несколькими способами:

Шаблон ARM

Чтобы включить Microsoft Defender для хранилища для определенной учетной записи хранения с ценами на транзакции с помощью шаблона ARM, используйте подготовленный шаблон Azure.

Если вы хотите отключить Defender для хранения в учетной записи:

  1. Войдите на портал Azure.
  2. Перейдите к учетной записи хранилища.
  3. В разделе "Безопасность и сеть" меню учетной записи хранения выберите Microsoft Defender для облака.
  4. Выберите Отключить.

PowerShell

Для включения Microsoft Defender для хранилища данных для определенной учетной записи хранения с оплатой за транзакции с помощью PowerShell:

  1. Если у вас его еще нет, установите модуль Azure Az PowerShell.

  2. Используйте командлет Connect-AzAccount для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure PowerShell.

  3. Включите Microsoft Defender для защиты хранилища на нужной учетной записи с помощью командлета Enable-AzSecurityAdvancedThreatProtection.

    Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

    Замените <subscriptionId>, <resource-group>а <storage-account> также значениями для вашей среды.

Если вы хотите отключить пооперационное ценообразование для конкретной учетной записи хранения, используйте командлет Disable-AzSecurityAdvancedThreatProtection:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Дополнительные сведения об использовании PowerShell с Microsoft Defender для облака.

Интерфейс командной строки Azure (Azure CLI)

Чтобы активировать Microsoft Defender для хранилища для определенной учетной записи хранилища с посуточной оплатой за транзакцию с помощью Azure CLI:

  1. Если у вас его еще нет, установите Azure CLI.

  2. az login Используйте команду для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure CLI.

  3. Включите Microsoft Defender для хранилища в вашей подписке с помощью команды az security atp storage update.

    az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled true

Совет

Вы можете использовать команду az security atp storage show, чтобы проверить, включён ли Defender для хранилища в учетной записи.

Чтобы отключить Microsoft Defender для классического хранилища по вашей подписке, используйте команду az security atp storage update:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Дополнительные сведения о команде az security atp storage .

Исключите учетную запись хранения из защищенной подписки в плане каждой транзакции

Если в подписке включен Microsoft Defender для хранилища, все текущие и будущие учетные записи хранения Azure в этой подписке защищены. Вы можете исключить определенные учетные записи хранения из защиты Defender для службы хранилища с помощью портала Azure, PowerShell или Azure CLI.

Рекомендуется включить Defender для хранилища во всей подписке для защиты всех существующих и будущих учетных записей хранения. Однако существуют некоторые случаи, когда пользователи хотят исключить определенные учетные записи хранения из защиты Defender.

Исключение учетных записей хранения из защищенных подписок требует:

  1. Добавьте тег, чтобы заблокировать передачу права на включение подписки.
  2. Отключите Defender для системы хранения (классическая версия).

Примечание.

Попробуйте обновить новый план Defender для хранения, если у вас есть учетные записи хранения, которые вы хотите исключить из классического плана Defender для хранилища. Вы не только экономите затраты на учетные записи с большим количеством транзакций, но и получите доступ к расширенным функциям безопасности. Узнайте больше о преимуществах миграции в новый план.

Исключенные учетные записи хранения в классической версии Defender для хранилища не исключаются автоматически при переходе на новый план.

Исключите защиту учетной записи служба хранилища Azure в подписке с ценами на транзакции

Чтобы исключить учетную запись хранилища Azure из Microsoft Defender для хранилища (классическая версия), можно использовать следующее:

Исключение учетной записи службы хранилища Azure с помощью PowerShell

  1. Если модуль Azure Az PowerShell не установлен, установите его, следуя инструкциям в документации по Azure PowerShell.

  2. Используя проверенную учетную запись, подключитесь к Azure с помощью командлета Connect-AzAccount, как описано в статье Вход с помощью Azure PowerShell.

  3. Определите тег AzDefenderPlanAutoEnable в учетной записи хранения с помощью командлета Update-AzTag (замените ResourceId на идентификатор ресурса соответствующей учетной записи хранения):

    Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge

    Если пропустить этот этап, немаркированные ресурсы продолжают получать ежедневные обновления в соответствии с политикой включения на уровне подписки. Это правило повторно активирует Defender для хранения в учетной записи. Дополнительные сведения о тегах см. в статье Использование тегов для упорядочения ресурсов Azure и создания иерархии управления.

  4. Отключите Microsoft Defender для хранилища для нужной учетной записи в соответствующей подписке с помощью командлета Disable-AzSecurityAdvancedThreatProtection (используя тот же идентификатор ресурса):

    Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>

    Дополнительные сведения об этом командлете.

Исключение учетной записи службы хранилища Azure с помощью Azure CLI

  1. Если интерфейс Azure CLI не установлен, установите его, следуя инструкциям из документации по Azure CLI.

  2. Используя проверенную учетную запись, подключитесь к Azure с помощью команды login, как описано в статье Вход с помощью Azure CLI, и введите свои учетные данные при появлении запроса.

    az login

  3. Определите тег AzDefenderPlanAutoEnable в учетной записи хранения с помощью команды tag update (замените ResourceId на идентификатор ресурса соответствующей учетной записи хранения):

    az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off

    Если пропустить этот этап, ресурсы без тегов продолжают получать ежедневные обновления в соответствии с политикой включения на уровне подписки. Данное правило снова включает Defender для хранения данных в учетной записи.

    Совет

    Узнайте больше о тегах в az tag.

  4. Отключите Microsoft Defender для хранилища для нужной учетной записи в соответствующей подписке с помощью команды security atp storage (используя тот же идентификатор ресурса):

    az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false

    Дополнительные сведения об этой команде.

Исключение учетной записи хранения Azure Databricks

Исключить активную рабочую область Databricks

В Microsoft Defender for Storage можно исключить определенные активные учетные записи хранилищ рабочих областей Databricks, если план уже включен для подписки.

Исключение активной рабочей области Databricks

  1. Войдите на портал Azure.

  2. Перейдите к Azure Databricks>Your Databricks workspace>Теги.

  3. В поле "Имя" введите AzDefenderPlanAutoEnable.

  4. В поле "Значение" введите off и нажмите кнопку "Применить".

    Снимок экрана: расположение и применение тэга к учетной записи Azure Databricks.

  5. Перейдите к разделу Microsoft Defender для облака>Параметры среды>Your subscription.

  6. Выключите план Defender для хранилища и выберите Сохранить.

    Снимок экрана, показывающий, как отключить план Defender для хранилища.

  7. Повторно включите классическую версию Defender для хранилища с помощью одного из поддерживаемых методов (нельзя включить из портала Azure).

Теги наследуются учетной записью хранения, связанной с рабочей областью Databricks, и препятствуют включению Defender для защиты хранилища.

Примечание.

Теги нельзя добавлять непосредственно в учетную запись хранения Databricks или в ее управляемую группу ресурсов.

Предотвращение автоматического включения в новой учетной записи хранения рабочей области Databricks

При создании новой рабочей области Databricks вы можете добавить тег, который предотвращает автоматическое включение учетной записи Microsoft Defender для хранения.

Блокирование автоматического включения в новой учетной записи хранения рабочей области Databricks

  1. Выполните эти действия, чтобы создать рабочую область Azure Databricks.

  2. На вкладке "Теги" введите тег с именем AzDefenderPlanAutoEnable.

  3. Введите значение off.

    Снимок экрана: создание тега в рабочей области Databricks.

  4. Следуйте дальнейшим инструкциям, чтобы создать рабочую область Azure Databricks.

Учетная запись Microsoft Defender для хранилища наследует тег рабочей области Databricks, что предотвращает автоматическое включение Microsoft Defender для хранилища.

Отключение Microsoft Defender для хранилища (классическая модель)

Отключите помесячное ценообразование для подписки

Шаблон Terraform

Чтобы отключить Microsoft Defender для хранилища (классический) на уровне подписки с ценами на транзакции с помощью шаблона Terraform, добавьте этот фрагмент кода в шаблон с идентификатором parent_id подписки в качестве значения:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Free"
    }
  })
}

Дополнительные сведения о справочнике по шаблону ARM AzAPI.

Шаблон Bicep

Чтобы отключить Microsoft Defender для хранилища (классический) на уровне подписки с оплатой за каждую транзакцию с помощью Bicep, добавьте в шаблон Bicep следующий блок:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Free'
  }
}

Узнайте больше о справочнике AzAPI по шаблону Bicep.

Шаблон ARM

Чтобы отключить Microsoft Defender для хранилища (классический) на уровне подписки с ценами на транзакции с помощью шаблона ARM, добавьте этот фрагмент JSON в раздел ресурсов шаблона ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Free",
  }
}

Узнайте больше о справочнике по шаблону ARM AzAPI.

PowerShell

Чтобы отключить Microsoft Defender для хранения (classic) на уровне подписки с оплатой за каждую транзакцию с помощью PowerShell:

  1. Если у вас его еще нет, установите модуль Azure Az PowerShell.

  2. Используйте командлет Connect-AzAccount, чтобы войти в свою учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure PowerShell. Отключите Microsoft Defender для хранилища для подписки с помощью командлета Set-AzSecurityPricing :

    Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Free"

Azure CLI

Чтобы отключить Microsoft Defender для хранилища на уровне подписки с использованием поминутной оплаты за транзакции с помощью Azure CLI:

  1. Если у вас его еще нет, установите Azure CLI.

  2. az login Используйте команду для входа в учетную запись Azure. Дополнительные сведения о входе в Azure с помощью Azure CLI.

  3. Используйте следующие команды, чтобы задать идентификатор подписки и имя:

    az account set --subscription "<subscriptionId or name>"

    Замените <subscriptionId> идентификатором своей подписки.

  4. Отключите Microsoft Defender для хранилища в вашей подписке с помощью команды az security pricing create.

    az security pricing create -n StorageAccounts --tier "free"

Совет

Вы можете использовать az security pricing show команду, чтобы просмотреть все планы Defender для облака, включенные для подписки.

Чтобы отключить план, установите значение свойства -tier на free.

Дополнительные сведения о команде az security pricing create .

REST API

Чтобы включить Microsoft Defender для хранилища на уровне подписки с оплатой за каждую транзакцию, используя Microsoft Defender для облака REST API, создайте запрос PUT с этой конечной точкой и текстом:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Замените {subscriptionId} идентификатором своей подписки.

Чтобы отключить план, установите значение свойства -pricingTier на Free и удалите параметр subPlan.

Узнайте больше об обновлении планов Defender с помощью REST API в HTTP, Java, Go и JavaScript.

Следующие шаги

  • Last updated on