Microsoft Defender for Storage をデプロイする

Microsoft Defender for Storage は、Azureネイティブ ソリューションです。 ストレージ アカウントの脅威を検出して軽減するための、高度なインテリジェンス レイヤーを提供します。 Microsoft Defender 脅威インテリジェンス、Microsoft Defender ウイルス対策テクノロジ、機密データ検出が使用されます。 これは、Azure Blob Storage、Azure Files、およびAzure Data Lake Storageサービスを保護するのに役立ちます。

Defender for Storage は、包括的なアラート スイート、ほぼリアルタイムのマルウェア スキャン (アドオン)、機密データの脅威検出を追加料金なしで提供します。 これらの機能を使用して、潜在的なセキュリティの脅威をすばやく検出、評価、対応し、詳細情報を使用できます。 この機能は、悪意のあるファイルのアップロード、機密データの流出、データの破損など、データとワークロードに大きな影響を与えるのを防ぐのに役立ちます。

組織は、サブスクリプションとストレージ アカウントでストレージのDefenderをきめ細かく制御し、柔軟性を持って有効にすることで、保護をカスタマイズし、一貫したセキュリティ ポリシーを適用できます。

価格とリージョンの可用性については、Microsoft Defender for Cloud 価格に関するページを参照してください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。

前提条件

Storage のDefenderを有効にする前に、必要なアクセス許可とその他の前提条件が満たされていることを確認してください。 詳細については、Microsoft Defender for Storage の前提条件 を参照してください。

セットアップと構成のオプション

ストレージのDefenderを有効にして構成し、最大限の保護とコストの最適化を確保するには、次の使用可能なオプションを使用できます。

• サブスクリプション レベルまたはストレージ アカウント レベルで Storage のDefenderを有効または無効にします。
• マルウェア スキャンと機密データの脅威検出用に構成可能な機能を有効または無効にします。
• コストを制御するために、1 か月あたりのストレージ アカウントあたりのマルウェア スキャンに月単位の上限を設定します。 (既定値は 10,000 GB です)。
• マルウェア スキャンの結果に対する応答を設定する方法を構成します。
• マルウェア スキャンの結果をログに記録する方法を構成します。 マルウェア スキャン機能には、セキュリティ チームがさまざまなワークフローと要件をサポートするのに役立つ高度な構成があります。
• サブスクリプション レベルの設定をオーバーライドして、特定のストレージ アカウントを構成します。 サブスクリプション レベルで構成された設定とは異なるカスタム構成を使用できます。

デプロイ方法

Storage のDefenderを有効にして構成するには、いくつかの方法があります。 次のリンクは、サポートされている各展開方法の有効化ページへの直接アクセスを提供します。

• Azure組み込みポリシー (推奨)
• コードとしてのインフラストラクチャ (IaC) テンプレート(以下を含む):
  • Terraform
  • Bicep
  • Azure Resource Manager
• Azure portal
• Azure PowerShell
• REST API

ポリシーを使用してストレージのDefenderを有効にすることをお勧めします。 この方法により、大規模な有効化が容易になります。 また、定義されたスコープ内のすべての既存および将来のストレージ アカウント (管理グループ全体など) に、一貫したセキュリティ ポリシーが適用されます。 この方法では、組織で定義されている構成に従って、ストレージ アカウントをストレージのDefenderで保護します。

現在のカバレッジを表示する

Defender for Cloud では、Azure ワークブック を通じて、ワークブック にアクセスできます。 ワークブックは、セキュリティ体制に関する分析情報を提供するカスタマイズ可能なレポートです。 カバレッジ ブックは、サブスクリプションとリソースで有効になっているプランを示すことで、現在の対象範囲を理解するのに役立ちます。

さらに、ストレージ リソースと共に、Storage Center で Defender for Storage の脅威保護と体制カバレッジを直接表示できます。

Storage Center を使用すると、ストレージ保護状態のDefenderを一元的にストレージネイティブに表示できます。 このビューは、次の内容をすばやく理解するのに役立ちます。

• 保護されているストレージ アカウント、部分的に保護されているストレージ アカウント、または保護されていないストレージ アカウント
• マルウェアのスキャン、アクティビティの監視、機密データの検出が有効になっている場所
• Azure Blob StorageとAzure Files ストレージの間にセキュリティギャップが存在する場所

高度な分析情報からサービス レベルおよびリソース レベルのビューにドリルダウンし、Defender for Cloudにシームレスにディープ リンクしてアクションを実行し、ギャップを修復できます。

Azure storage の詳細を確認します。

関連コンテンツ

• Azure の組み込みポリシーを活用して、大規模に Azure Storage用Defender を有効化し、構成する方法について学びます。