你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Storage 是一种 Azure 原生解决方案。 此方案提供了一个高级智能层,用于检测和减轻存储帐户中的威胁。 它使用 Microsoft Defender 威胁情报、Microsoft Defender 防病毒技术和敏感数据发现。 它有助于保护 Azure Blob 存储、Azure 文件和 Azure Data Lake Storage 服务。
Defender for Storage 提供全面的警报套件、准实时恶意软件扫描(作为加载项)和敏感数据威胁检测,无需额外付费。 可以使用这些功能快速检测、评估和响应具有详细信息的潜在安全威胁。 此功能有助于防止对数据和工作负荷产生重大影响,包括恶意文件上传、敏感数据外泄和数据损坏。
组织可以通过在订阅和存储帐户上启用 Defender for Storage 来自定义其保护并强制实施一致的安全策略,并具有精细控制和灵活性。
提示
如果当前使用的是经典 Defender for Storage 计划,请考虑 迁移到新计划。 新计划为经典计划提供了多项优势。
若要了解定价和区域可用性,请查看 Microsoft Defender for Cloud 定价页。 还可以使用 Defender for Cloud 成本计算器估算成本。
先决条件
在启用 Defender for Storage 之前,请确保已具备必要的权限和其他先决条件。 有关详细信息,请参阅 Microsoft Defender for Storage 的先决条件。
设置和配置选项
若要启用和配置 Defender for Storage 并确保最大保护和成本优化,可以使用以下可用选项:
- 在订阅级别或存储帐户级别启用或禁用 Defender for Storage。
- 启用或禁用恶意软件扫描和敏感数据威胁检测的可配置功能。
- 针对每月每个存储帐户的恶意软件扫描设置每月上限,以控制成本。 (默认值为 10,000 GB。)
- 配置方法以设置对恶意软件扫描结果的响应。
- 配置用于记录恶意软件扫描结果的方法。 恶意软件扫描功能具有高级配置,可帮助安全团队支持各种工作流和要求。
- 覆盖订阅级别设置以配置特定的存储帐户。 可以使用自定义配置,该配置不同于在订阅级别设置的配置。
部署方法
可通过多种方式启用和配置 Defender for Storage。 以下链接提供对每个受支持的部署方法启用页面的直接访问:
- Azure 内置策略 (建议)
- 基础结构即代码 (IaC) 模板,包括:
- Azure 门户
- Azure PowerShell
- REST API
建议通过策略启用 Defender for Storage。 此方法有助于大规模启用。 它还可确保在定义范围内的所有现有和将来的存储帐户(例如整个管理组)中应用一致的安全策略。 此方法根据组织的定义配置保留使用 Defender for Storage 保护的存储帐户。
查看当前覆盖范围
Defender for Cloud 通过 Azure 工作簿提供对工作簿的访问权限。 工作簿是可自定义的报表,可提供对安全状况的见解。
覆盖率工作簿通过显示哪些计划在订阅和资源上启用,帮助你了解当前的覆盖范围。