Partilhar via

Mudar para o novo plano do Defender for Storage

  • Artigo

Em 28 de março de 2023, apresentamos o novo plano Defender for Storage. Este plano oferece vários benefícios não disponíveis nos planos de preços do Defender for Storage (clássico) por transação ou por conta de armazenamento, tais como:

  • Monitoramento aprimorado da atividade: Análise contínua das atividades do plano de dados e do plano de controle para deteção de ameaças.
  • Deteção de tokens SAS comprometidos ou abusados: Análise contínua das atividades do plano de dados e do plano de controle para deteção de ameaças, incluindo a deteção de Assinaturas de Acesso Compartilhado (tokens SAS) mal configuradas e excessivamente permissivas que podem ser vazadas ou comprometidas.
  • Opção para habilitar a deteção de ameaças de dados confidenciais (complemento): Deteção de eventos de exposição potencial e atividades suspeitas em recursos que contêm dados confidenciais, resultando em exfiltração de dados.
  • Opção para ativar a verificação de malware (complemento pago): Deteção em tempo real de arquivos maliciosos em todos os tipos de arquivos.
  • Preços previsíveis por conta de armazenamento: uma estrutura de preços mais previsível e flexível para um melhor controle sobre a cobertura.
  • Controles granulares no nível de recursos: habilite no nível de assinatura ou recurso e exclua contas de armazenamento específicas de assinaturas protegidas, fornecendo controle mais granular sobre sua cobertura de segurança.

O novo plano de preços cobra com base no número de contas de armazenamento que você protege, simplificando os cálculos e permitindo um dimensionamento fácil à medida que suas necessidades mudam. Para obter informações detalhadas sobre preços, consulte a página de preços.

Para aproveitar esses recursos, recomendamos mudar para o novo plano do Defender for Storage até 5 de fevereiro de 2025.

Nota

Após 5 de fevereiro de 2025, você não poderá mais habilitar o Defender for Storage (clássico), o plano de preços herdado por transação, na maioria dos cenários. A única exceção é para assinaturas que já têm o preço por transação habilitado.

Alterações importantes no Defender for Storage (clássico)

O Defender for Storage (Classic) oferece duas estruturas de preços: por transação e por conta de armazenamento. A partir de 5 de fevereiro de 2025, esse plano fará a transição para o Defender for Storage com preços por conta de armazenamento.

Impacto no plano por transação do Defender for Storage (clássico)

O plano clássico por transação não estará mais disponível para novas contas de armazenamento e assinaturas. As contas existentes manterão o plano sem recursos e atualizações futuras, por isso recomendamos que você mude para o novo plano para os recursos aprimorados e preços simplificados. Se sua conta de assinatura ou armazenamento já tiver o plano clássico por transação habilitado, ele permanecerá ativo, mas habilitar esse plano no nível de recursos só será possível para essas assinaturas existentes.

Se você tiver políticas que imponham o plano clássico por transação sem especificar o subplano por transação, as assinaturas existentes manterão seu plano atual, enquanto as novas assinaturas serão padronizadas para o novo plano. No entanto, se você especificar o subplano por transação, ele falhará para novas assinaturas. Depois de mudar para o novo plano, você não poderá mais reverter para os planos de conta por transação ou por armazenamento do Defender for Storage (clássico) no nível da assinatura ou da conta de armazenamento.

Impacto no plano de conta por armazenamento do Defender for Storage (Classic)

O plano clássico por conta de armazenamento fará a transição automática para o plano do Defender for Storage sem habilitar recursos adicionais por padrão. As contas de armazenamento anteriormente excluídas de assinaturas protegidas no plano por transação não permanecerão excluídas quando atualizadas para o novo plano. Se desejar desativar a proteção nessas contas de armazenamento, poderá fazê-lo no novo plano.

Identificar planos ativos do Defender for Storage

Fornecemos três opções para descobrir a ativação e a configuração dos planos do Defender for Storage:

  • Consulta KQL no Resource Graph Explorer: use esta consulta KQL no Resource Graph Explorer do portal do Azure para exibir quais planos estão habilitados no nível da assinatura:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Análise detalhada com script do PowerShell: para uma investigação mais detalhada, incluindo informações nos níveis de assinatura e de recursos (com configuração de complementos), execute este script do PowerShell.

  • Pasta de trabalho para obter detalhes de cobertura no nível de assinatura: use a pasta de trabalho fornecida para ver quais planos estão habilitados no nível da assinatura e seus detalhes de configuração. Para acessar a pasta de trabalho, consulte Microsoft Defender for Storage - Price Estimation Dashboard.

Métodos de migração

Para habilitar e configurar o novo plano do Microsoft Defender for Storage, você tem várias opções:

  • Política interna do Azure (recomendada): aplique políticas internas para proteger uniformemente todas as contas de armazenamento existentes e futuras em escala dentro de um escopo definido, como grupos de gerenciamento.
  • Modelos de infraestrutura como código (IaC): use modelos Terraform, Bíceps ou Azure Resource Manager para implantação e configuração automatizadas.
  • Portal do Azure: migre para o novo plano por meio do portal do Azure.
    1. Navegue até Configurações de ambiente no Defender for Cloud ou no painel Defender for Cloud em uma das contas de armazenamento.
    2. Em Armazenamento, selecione Novo plano disponível.
    3. No painel do plano Atualizar o Defender para Armazenamento, escolha as opções de configuração e selecione Atualizar assinatura.
  • API REST: use a API REST para habilitar o novo plano programaticamente.

Identificar políticas ativas

Para habilitar o novo plano, certifique-se de desativar as políticas antigas do Defender for Storage:

  • "Configurar o Azure Defender para armazenamento a ser habilitado"
  • "O Azure Defender for Storage deve ser habilitado"
  • "Configurar o Microsoft Defender para armazenamento a ser habilitado (plano de conta por armazenamento)"
  • "Configurar o Microsoft Defender para armazenamento (clássico) para ser habilitado"
  • "Implantar o Defender for Storage (Classic) em contas de armazenamento"

Você pode usar os seguintes métodos para identificar as políticas ativas:

Explorador do Azure Resource Graph

Para identificar políticas ativas em sua assinatura usando o Azure Resource Graph Explorer, execute a seguinte consulta que inclui as políticas antigas do Defender for Storage. Se você tiver políticas personalizadas, modifique a consulta de acordo:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Para identificar políticas ativas em sua assinatura usando o PowerShell, execute:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Próximo passo

Neste artigo, você aprendeu sobre como migrar para o novo plano Microsoft Defender for Storage.

Ativar o Defender for Storage