Abilitare e configurare con i modelli di infrastruttura come codice

Articolo
08/14/2024

Si consiglia di abilitare Defender per Archiviazione a livello di sottoscrizione. In questo modo si garantisce la protezione di tutti gli account di archiviazione attualmente inclusi nella sottoscrizione. Gli account di archiviazione creati dopo l'abilitazione di Defender per Archiviazione a livello di sottoscrizione verranno protetti fino a 24 ore dopo la creazione.

Suggerimento

È sempre possibile configurare account di archiviazione specifici con configurazioni personalizzate diverse dalle impostazioni configurate a livello di sottoscrizione (override delle impostazioni a livello di sottoscrizione).

Abilitare su una sottoscrizione
Abilitare su un account di archiviazione

Modello Terraform

Per abilitare e configurare Microsoft Defender per Archiviazione a livello di sottoscrizione usando Terraform, è possibile usare il frammento di codice seguente:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Modifica del limite mensile per l'analisi malware:

Per modificare il limite mensile per l'analisi malware per ogni account di archiviazione, modificare il CapGBPerMonthPerStorageAccount parametro in base al valore preferito. Questo parametro imposta un limite sui dati massimi che possono essere analizzati per individuare malware ogni mese per ogni account di archiviazione. Se si desidera consentire l'analisi illimitata, assegnare il valore -1. Il limite predefinito è impostato su 5.000 GB.

Disabilitazione delle funzionalità:

Se si desidera disattivare le funzionalità di analisi malware on-upload o rilevamento delle minacce ai dati sensibili, è possibile rimuovere il blocco di estensione corrispondente dal codice Terraform.

Disabilitazione dell'intero piano di Defender per archiviazione:

Per disabilitare l'intero piano di Defender per Archiviazione, impostare il valore della tier proprietà su "Gratuito" e rimuovere le subPlan proprietà e extension .

Per altre informazioni sulla azurerm_security_center_subscription_pricing risorsa, vedere la documentazione di azurerm_security_center_subscription_pricing. È anche possibile trovare dettagli completi sul provider Terraform per Azure nella documentazione del provider AzureRM di Terraform.

Modello Bicep

Per abilitare e configurare Microsoft Defender per Archiviazione a livello di sottoscrizione usando Bicep, assicurarsi che l'ambito di destinazione sia impostato sulla sottoscrizione e aggiungere quanto segue al modello Bicep:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Modifica del limite mensile per l'analisi malware:

Per modificare il limite mensile per l'analisi malware per ogni account di archiviazione, modificare il CapGBPerMonthPerStorageAccount parametro in base al valore preferito. Questo parametro imposta un limite sui dati massimi che possono essere analizzati per individuare malware ogni mese per ogni account di archiviazione. Se si desidera consentire la scansione illimitata, assegnare il valore -1. Il limite predefinito è impostato su 5.000 GB.

Disabilitazione delle funzionalità:

Se si desidera disattivare le funzionalità di analisi malware in fase di caricamento o rilevamento delle minacce per i dati sensibili, è possibile modificare il valore su False nell'individuazione isEnabled dei dati sensibili.

Disabilitazione dell'intero piano di Defender per archiviazione:

Per disabilitare l'intero piano di Defender per Archiviazione, impostare il valore della pricingTier proprietà su Gratuito e rimuovere le subPlan proprietà e extensions .

Altre informazioni sul modello Bicep sono disponibili nella documentazione relativa alla sicurezza/prezzi di Microsoft.

Modello di Azure Resource Manager

Per abilitare e configurare Microsoft Defender per Archiviazione a livello di sottoscrizione usando un modello di Azure Resource Manager (ARM), aggiungere questo frammento JSON alla sezione resources del modello di Resource Manager:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Modifica del limite mensile per l'analisi malware:

Per modificare la soglia mensile per l'analisi malware negli account di archiviazione, modificare il CapGBPerMonthPerStorageAccount parametro in base al valore preferito. Questo parametro imposta un limite al massimo dei dati che possono essere analizzati per il malware ogni mese, per ogni account di archiviazione. Se si desidera consentire la scansione illimitata, assegnare il valore -1. Il limite predefinito è impostato su 5.000 GB.

Disabilitazione delle funzionalità:

Se si desidera disattivare le funzionalità di analisi malware in fase di caricamento o rilevamento delle minacce ai dati sensibili, è possibile modificare il valore su False nell'individuazione isEnabled dei dati sensibili.

Disabilitazione dell'intero piano di Defender per archiviazione:

Per disabilitare l'intero piano di Defender, impostare il valore della pricingTier proprietà su Gratuito e rimuovere le subPlan proprietà e extension .

Altre informazioni sul modello di Resource Manager sono disponibili nella documentazione di Microsoft.Security/Pricings.

Modello Terraform - Account di archiviazione

Per abilitare e configurare Microsoft Defender per Archiviazione a livello di account di archiviazione usando Terraform, importare il provider AzAPI e usare il frammento di codice seguente:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "enable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = true
      malwareScanning = {
        onUpload = {
          isEnabled     = true
          capGBPerMonth = 5000
        }
      }
      sensitiveDataDiscovery = {
        isEnabled = true
      }
      overrideSubscriptionLevelSettings = true
    }
  })
}

Nota

L'oggetto azapi_resource_action usato qui è un'azione specifica per la configurazione di Microsoft Defender per Archiviazione. È diverso dalle tipiche dichiarazioni di risorse in Terraform e viene usato per eseguire azioni specifiche sulla risorsa, ad esempio l'abilitazione o la disabilitazione delle funzionalità.

Modifica del limite mensile per l'analisi malware:

Per modificare la soglia mensile per l'analisi malware negli account di archiviazione, modificare il capGBPerMonth parametro in base al valore preferito. Questo parametro imposta un limite al massimo dei dati che possono essere analizzati per il malware ogni mese, per ogni account di archiviazione. Se si desidera consentire l'analisi illimitata, assegnare il valore -1. Il limite predefinito è impostato su 5.000 GB.

Disabilitazione delle funzionalità:

Se si desidera disattivare le funzionalità di analisi malware on-upload o rilevamento delle minacce ai dati sensibili, è possibile modificare il isEnabled valore su False nelle malwareScanning sezioni o sensitiveDataDiscovery delle proprietà.

Disabilitazione dell'intero piano di Defender per archiviazione:

Per disabilitare l'intero piano di Defender per Archiviazione per l'account di archiviazione, è possibile usare il frammento di codice seguente:

resource "azurerm_storage_account" "example" { ... }

resource "azapi_resource_action" "disable_defender_for_Storage" {
  type        = "Microsoft.Security/defenderForStorageSettings@2022-12-01-preview"
  resource_id = "${azurerm_storage_account.example.id}/providers/Microsoft.Security/defenderForStorageSettings/current"
  method      = "PUT"

  body = jsonencode({
    properties = {
      isEnabled = false
      overrideSubscriptionLevelSettings = false
    }
  })
}

È possibile modificare il valore di overrideSubscriptionLevelSettings su True per disabilitare il piano defender per l'archiviazione per l'account di archiviazione nelle sottoscrizioni con Defender per Archiviazione abilitato a livello di sottoscrizione. Se si desidera mantenere alcune funzionalità abilitate, è possibile modificare le proprietà di conseguenza. Altre informazioni sulla documentazione dell'API Microsoft.Security/defenderForStorageSettings per ulteriori personalizzazioni e controllo sulle impostazioni di sicurezza dell'account di archiviazione. È anche possibile trovare dettagli completi sul provider Terraform per Azure nella documentazione del provider AzureRM di Terraform.

Modello Bicep - Account di archiviazione

Per abilitare e configurare Microsoft Defender per Archiviazione a livello di account di archiviazione usando Bicep, aggiungere quanto segue al modello Bicep:

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-04-01' ...

resource defenderForStorageSettings 'Microsoft.Security/DefenderForStorageSettings@2022-12-01-preview' = {
  name: 'current'
  scope: storageAccount
  properties: {
    isEnabled: true
    malwareScanning: {
      onUpload: {
        isEnabled: true
        capGBPerMonth: 5000
      }
    }
    sensitiveDataDiscovery: {
      isEnabled: true
    }
    overrideSubscriptionLevelSettings: true
  }
}

Modifica del limite mensile per l'analisi malware:

Per modificare la soglia mensile per l'analisi di malware negli account di archiviazione, modificare il capGBPerMonth parameter valore preferito. Questo parametro imposta un limite al massimo dei dati che possono essere analizzati per il malware ogni mese, per ogni account di archiviazione. Se si desidera consentire la scansione illimitata, assegnare il valore -1. Il limite predefinito è impostato su 5.000 GB.

Disabilitazione delle funzionalità:

Se si desidera disattivare le funzionalità di rilevamento di malware durante il caricamento o il rilevamento delle minacce ai dati sensibili, è possibile modificare il isEnabled valore in False nelle malwareScanning sezioni delle proprietà o sensitiveDataDiscovery .

Disabilitazione dell'intero piano di Defender per archiviazione:

Per disabilitare l'intero piano di Defender per l'account di archiviazione, impostare il valore della isEnabled proprietà su False e rimuovere le malwareScanning sezioni e sensitiveDataDiscovery dalle proprietà.

Altre informazioni sulla documentazione dell'API Microsoft.Security/DefenderForStorageSettings.

Suggerimento

L'analisi malware può essere configurata per inviare i risultati dell'analisi ai seguenti elementi:
Argomento personalizzato di Griglia di eventi: per una risposta automatica quasi in tempo reale in base a ogni risultato di analisi. Altre informazioni su come configurare l'analisi malware per inviare eventi di analisi a un argomento personalizzato di Griglia di eventi.
Area di lavoro Log Analytics: per l'archiviazione di tutti i risultati dell'analisi in un repository di log centralizzato per la conformità e il controllo. Altre informazioni su come configurare l'analisi malware per inviare risultati di analisi a un'area di lavoro Log Analytics.

Altre informazioni su come configurare la risposta per i risultati dell'analisi del malware.

Modello di Resource Manager - Account di archiviazione

Per abilitare e configurare Microsoft Defender per Archiviazione a livello di account di archiviazione usando un modello di Resource Manager, aggiungere questo frammento JSON alla sezione delle risorse del modello di Resource Manager:

{
    "type": "Microsoft.Security/DefenderForStorageSettings",
    "apiVersion": "2022-12-01-preview",
    "name": "current",
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    },
    "scope": "[resourceId('Microsoft.Storage/storageAccounts', parameters('StorageAccountName'))]"
}

Modifica del limite mensile per l'analisi malware:

Disabilitazione delle funzionalità:

Disabilitazione dell'intero piano di Defender per archiviazione:

Passaggio successivo

Altre informazioni sulla documentazione dell'API Microsoft.Security/DefenderForStorageSettings .

Condividi tramite

Abilitare e configurare con i modelli di infrastruttura come codice

Modello Terraform

Modello Bicep

Modello di Azure Resource Manager

Modello Terraform - Account di archiviazione

Modello Bicep - Account di archiviazione

Modello di Resource Manager - Account di archiviazione

Passaggio successivo

Commenti e suggerimenti

Risorse aggiuntive