你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Storage 是一种 Azure 原生解决方案。 此方案提供了一个高级智能层,用于检测和减轻存储帐户中的威胁。 它使用 Microsoft Defender 威胁智能、Microsoft Defender 防病毒技术和敏感数据发现。 它有助于保护Azure Blob 存储、Azure 文件存储和Azure Data Lake Storage服务。
存储Defender提供全面的警报套件、准实时恶意软件扫描(作为加载项)和敏感数据威胁检测,无需额外付费。 可以使用这些功能快速检测、评估和响应具有详细信息的潜在安全威胁。 此功能有助于防止对数据和工作负荷产生重大影响,包括恶意文件上传、敏感数据外泄和数据损坏。
组织可以通过在订阅和存储帐户上启用存储防护者,自定义他们的保护措施并强制实施一致的安全策略,同时实现细粒度控制和灵活性。
提示
如果您当前正在使用原有的 "Defender" 存储方案,请考虑迁移到新方案。 新计划为经典计划提供了多项优势。
若要了解定价和区域可用性,请查看 Microsoft Defender for Cloud 定价页。 还可以使用 Defender for Cloud 成本计算器来估算成本。
先决条件
在为存储启用Defender之前,请确保已具备必要的权限和其他先决条件。 有关详细信息,请参阅 Prerequisites for Microsoft Defender for Storage。
设置和配置选项
若要为存储启用和配置Defender并确保最大保护和成本优化,可以使用以下可用选项:
- 在订阅级别或存储帐户级别启用或禁用存储防护程序Defender。
- 启用或禁用恶意软件扫描和敏感数据威胁检测的可配置功能。
- 针对每月每个存储帐户的恶意软件扫描设置每月上限,以控制成本。 (默认值为 10,000 GB。)
- 配置方法以设置对恶意软件扫描结果的响应。
- 配置用于记录恶意软件扫描结果的方法。 恶意软件扫描功能具有高级配置,可帮助安全团队支持各种工作流和要求。
- 覆盖订阅级别设置以配置特定的存储帐户。 可以使用自定义配置,该配置不同于在订阅级别设置的配置。
部署方法
可通过多种方式为存储启用和配置Defender。 以下链接提供对每个受支持的部署方法启用页面的直接访问:
- Azure内置策略(建议)
- 基础结构即代码 (IaC) 模板,包括:
- Azure 门户
- Azure PowerShell
- REST API
建议通过策略为存储启用Defender。 此方法有助于大规模启用。 它还可确保在定义范围内的所有现有和将来的存储帐户(例如整个管理组)中应用一致的安全策略。 根据组织定义的配置,此方法使用 Defender for Storage 保护存储帐户。
查看当前覆盖范围
Defender for Cloud 通过 工作簿 提供对 Azure 工作簿 的访问权限。 工作簿是可自定义的报表,可提供对安全状况的见解。 覆盖率工作簿通过显示哪些计划在订阅和资源上启用,帮助你了解当前的覆盖范围。
此外,现在可以在存储中心内,直接在存储资源旁边查看 Defender for Storage 威胁防护和安全态势覆盖情况。
存储中心为您提供Defender for Storage保护状态的集中式、存储原生视图。 此视图可帮助你快速了解:
- 哪些存储帐户受到保护、部分保护或不受保护
- 在这些功能中,恶意软件扫描、活动监控和敏感数据发现均已启用。
- Azure Blob 存储和Azure 文件存储存储存在安全漏洞的地方
你可以从高级见解向下钻取到服务级别和资源级视图,并无缝地深入到Defender for Cloud,以采取措施和修正差距。
详细了解 Azure 存储。