次の方法で共有

Microsoft Defender for Storage のデプロイ

  • [アーティクル]

Microsoft Defender for Storage は、Azure ネイティブ ソリューションです。 ストレージ アカウントの脅威を検出して軽減するための、高度なインテリジェンス レイヤーを提供します。 これには、Microsoft 脅威インテリジェンス、Microsoft Defender マルウェア対策テクノロジ、および機密データ検出が使用されています。 保護の対象は、Azure Blob Storage、Azure Files、および Azure Data Lake Storage サービスです。 このサービスは、包括的なアラート スイート、準リアルタイムのマルウェア スキャン (アドオン)、および機密データの脅威検出を、追加料金なしで提供します。 これにより、詳細な情報を使用して、潜在的なセキュリティ上の脅威をすばやく検出、評価し、対応することができます。 これは、悪意のあるファイルのアップロード、機密データの流出、データの破損といった、データおよびワークロードへの重大な影響を防ぐことができます。

組織では、サブスクリプションとストレージ アカウントに対して Microsoft Defender for Storage を有効にすることで、細かい制御と柔軟性で保護をカスタマイズし、一貫したセキュリティ ポリシーを適用できます。

ヒント

現在 Microsoft Defender for Storage (クラシック) を使用している場合は、新しいプランに移行することを検討してください。このプランには、クラシック プランに比べていくつかの利点があります。

価格とリージョン別の提供状況については、Defender for Cloud の価格ページを確認してください。

前提条件

Microsoft Defender for Storage を有効にする前に、必要なアクセス許可と前提条件が整っていることを確認してください。 詳細については、Microsoft Defender for Storage の前提条件に関する記事を参照してください。

Microsoft Defender for Storage を設定して構成する

Microsoft Defender for Storage を有効にして構成し、最大限の保護とコストの最適化を確保するために、次の構成オプションを使用できます。

  • サブスクリプション レベルとストレージ アカウント レベルで Microsoft Defender for Storage を有効または無効にする。
  • マルウェア スキャンまたは機密データの脅威検出の構成可能な機能を有効または無効にします。
  • コストを制御するには、1 が月あたりのストレージ アカウントあたりのマルウェア スキャンに月次上限を設定する (既定値は、5,000 GB です)。
  • マルウェア スキャン結果への応答を設定する方法を構成する。
  • マルウェア スキャン結果のログを保存するための追加の方法を構成する。

ヒント

マルウェア スキャン機能には、セキュリティ チームでさまざまなワークフローと要件をサポートするために役立つ詳細な構成があります。

Defender for Storage を有効にして構成するには、いくつかの方法があります。

Defender for Storage は、ポリシーを使用して有効にすることをお勧めします。 この方法により、大規模な有効化が容易になり、定義されたスコープ内 (管理グループ全体など) の既存および将来のストレージ アカウントすべてに一貫したセキュリティ ポリシーが適用されるようになるためです。 これにより、組織の定義済み構成に従って Defender for Storage でストレージ アカウントが保護された状態に保たれます。

Note

従来のクラシック プランへの移行を防ぐには、以前の Defender for Storage ポリシーを無効にしてください。 Configure Azure Defender for Storage to be enabledAzure Defender for Storage should be enabled、またはConfigure Microsoft Defender for Storage to be enabled (per-storage account plan) という名前のポリシーを探して無効にするか、クラシック プランの無効化を妨げるポリシーを拒否します。

次のステップ