다음을 통해 공유


새로운 스토리지용 Defender 플랜으로 이동합니다

새로운 스토리지용 Defender 플랜을 2023년 3월 28일에 도입했습니다. 트랜잭션당 Defender(클래식) 또는 스토리지 계정별 가격 책정 플랜에서 사용할 수 없는 몇 가지 이점을 이 플랜을 통해 제공합니다. 예시는 다음과 같습니다.

  • 향상된 활동 모니터링: 데이터 평면 및 컨트롤 플레인 활동을 지속적으로 분석하여 위협 탐지를 수행합니다.
  • 손상되거나 남용된 SAS 토큰 탐지: 유출되거나 손상될 수 있는 잘못 구성되고 지나치게 허용되는 SAS 토큰(공유 액세스 서명)의 탐색을 포함하여 데이터 평면 및 컨트롤 플레인 활동을 지속적으로 분석하여 위협 탐지를 수행합니다.
  • 중요한 데이터 위협 탐지를 사용하도록 설정하는 옵션(추가 기능): 잠재적 노출 이벤트 및 의심스러운 활동을 중요한 데이터가 포함된 리소스에서 감지하여 데이터 반출을 초래합니다.
  • 맬웨어 검색을 사용하도록 설정하는 옵션(유료 추가 기능): 실시간으로 모든 파일 형식에서 악성 파일을 탐지합니다.
  • 예측 가능한 스토리지당 계정 가격 책정: 보다 예측 가능하고 유연한 가격 책정 구조로 적용 범위를 보다 잘 제어할 수 있습니다.
  • 리소스 수준의 세분화된 제어: 보안 적용 범위를 보다 세부적으로 제어하기 위해, 구독 또는 리소스 수준에서 사용하도록 설정하고 보호된 구독에서 특정 스토리지 계정을 제외할 수 있습니다.

보호하는 스토리지 계정 수에 따라 요금이 청구되는 새로운 가격 책정 플랜은 계산이 간소화되고 요구 사항이 변경됨에 따라 쉽게 확장될 수 있습니다. 가격 책정 페이지를 참조하여 가격 책정에 대한 자세한 정보를 확인하세요.

2025년 2월 5일까지 새 스토리지용 Defender 플랜으로 전환하여 이러한 기능을 활용하는 것이 권장됩니다.

참고 항목

대부분의 시나리오에서 2025년 2월 5일 이후에는 더 이상 트랜잭션당 레거시 가격 책정 플랜인 스토리지용 Defender(클래식)를 사용하도록 설정할 수 없습니다. 트랜잭션당 가격을 이미 사용하도록 설정된 구독은 유일한 예외입니다.

스토리지용 Defender의 중요한 변경 내용(클래식)

트랜잭션당 및 스토리지당 계정의 두 가지 가격 책정 구조를 스토리지용 Defender(클래식)가 제공합니다. 이 플랜은 스토리지 계정당 가격 책정을 사용하여 2025년 2월 5일부터 스토리지용 Defender로 전환됩니다.

스토리지용 Defender(클래식) 트랜잭션당 플랜에 미치는 영향

더 이상 새 스토리지 계정 및 구독에 클래식 트랜잭션당 계획을 사용할 수 없습니다. 향상된 기능 및 간소화된 가격 책정을 위한 새 플랜으로 전환하는 것이 권장되며, 이는 기존 플랜이 향후 기능 및 업데이트 없이 계획을 유지하기 때문입니다. 이미 트랜잭션당 클래식 플랜을 구독 또는 스토리지 계정에 사용하도록 설정한 경우, 활성 상태로 유지되지만 이 플랜을 리소스 수준에서 사용하도록 설정하는 것은 이러한 기존 구독에 대해서만 가능합니다.

트랜잭션별 하위 플랜을 지정하지 않고 트랜잭션별 클래식 플랜을 적용하는 정책이 있는 경우, 새 구독은 기본적으로 새 플랜을 유지하며 기존 구독은 현재 플랜을 유지합니다. 하지만 트랜잭션별 하위 플랜을 지정하면 새 구독에 대해 실패합니다. 새 플랜으로 전환하면, 구독 또는 스토리지 계정 수준에서 트랜잭션당 Defender(클래식) 또는 스토리지별 계정 플랜으로 되돌릴 수 없습니다.

스토리지용 활성 Defender 플랜 식별

다음과 같이 스토리지용 Defender 플랜 사용 및 구성을 확인할 수 있는 세 가지 옵션을 제공합니다.

  • Resource Graph Explorer의 KQL 쿼리: 이 KQL 쿼리를 Azure 포털의 Resource Graph Explorer에서 사용하여 구독 수준에서 사용하도록 설정된 플랜을 확인합니다.

    // DF-Storage Plans
    securityresources
    | where type == "microsoft.security/pricings"
    | where name == "StorageAccounts"
    | extend pricingTier = properties.pricingTier
    | extend DefenderForStoragePlan = properties.subPlan
    | extend IsInTrialPeriod = properties.freeTrialRemainingTime
    | extend MalwareScanningEnabled = properties.extensions[0].isEnabled
    | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
    | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
    | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
        DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
        MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
        MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
        SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
        IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
    | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled
    
  • PowerShell 스크립트를 통한 자세한 분석: 이 PowerShell 스크립트를 실행하여 구독 및 리소스 수준(추가 기능 구성 포함)의 정보를 포함하여 더욱 자세하게 조사합니다.

  • 구독 수준 적용 범위에 대한 통합 문서: 구독 수준에서 사용하도록 설정된 플랜과 해당 구성 세부 정보를 확인하기 위해 제공된 통합 문서를 사용합니다. 스토리지용 Microsoft Defender - 가격 예측 대시보드를 참조하여 통합 문서에 액세스하세요.

마이그레이션 방법

다음과 같은 몇 가지 옵션을 사용하여 새 스토리지용 Microsoft Defender 플랜을 사용하도록 설정하고 구성하세요.

  • Azure 기본 제공 정책(권장): 관리 그룹 등의 정의된 범위 내에서 모든 기존 및 향후 스토리지 계정을 대규모로 균일하게 보호하기 위해 기본 제공 정책을 적용합니다.
  • IaC(Infrastructure as Code) 템플릿: Terraform, Bicep 또는 Azure Resource Manager 템플릿을 자동화된 배포 및 구성에 사용합니다.
  • Azure Portal: Azure Portal을 통해 새 계획으로 마이그레이션합니다.
    1. 클라우드용 Defender 환경 설정 또는 스토리지 계정 중 하나의 클라우드용 Defender 창으로 이동합니다.
    2. 스토리지에서 사용 가능한 새 계획을 선택합니다.
    3. 스토리지용 Defender 업그레이드 계획 창에서 구성 옵션을 선택한 후, 구독 업그레이드를 선택합니다.
  • REST API: REST API를 사용하여 프로그래밍 방식으로 새 계획을 사용하도록 설정합니다.

활성 정책 식별

이전 스토리지용 Defender 정책을 사용하지 않도록 설정해야 새 계획을 사용하도록 설정할 수 있습니다.

  • "스토리지용 Azure Defender를 사용하도록 구성"
  • "스토리지용 Azure Defender를 사용하도록 설정해야 합니다"
  • "스토리지용 Microsoft Defendere를 사용하도록 구성(스토리지 계정당 플랜)"
  • "스토리지용 Microsoft Defender(클래식)를 사용하도록 구성"
  • "스토리지 계정에 스토리지용 Microsoft Defender(클래식) 배포"

활성 정책을 식별하기 위해 다음과 같은 방법을 사용할 수 있습니다.

Azure Resource Graph Explorer

이전 스토리지용 Defender 정책을 포함하는 다음과 같은 쿼리를 실행하면, Azure Resource Graph Explorer를 사용하여 구독에서 활성 정책을 식별할 수 있습니다. 사용자 지정 정책이 있는 경우, 적절하게 쿼리를 수정합니다.

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

다음을 실행하여 PowerShell을 사용하여 구독에서 활성 정책을 식별합니다.

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

다음 단계

이 문서에서는 새로운 스토리지용 Microsoft Defender 플랜으로 마이그레이션하는 방법을 알아보았습니다.