Partage via


Passez au nouveau plan Defender pour le stockage

Le 28 mars 2023, nous avons introduit le nouveau plan Defender pour le stockage. Ce plan offre plusieurs avantages qui ne sont pas disponibles dans les plans de tarification Defender pour le stockage (classique) par transaction ou par compte de stockage, tels que :

  • Surveillance améliorée des activités : Analyse continue des activités du plan de données et du plan de contrôle pour la détection des menaces.
  • Détection des tokens SAS compromis ou abusés : Analyse continue des activités du plan de données et du plan de contrôle pour la détection des menaces, y compris la détection des signatures d’accès partagé (tokens SAS) mal configurées et trop permissives qui pourraient être divulguées ou compromises.
  • Option d’activer la détection des menaces liées aux données sensibles (en complément) : Détection des événements potentiels d’exposition et des activités suspectes sur des ressources contenant des données sensibles entraînant une exfiltration de données.
  • Option d’activer l’analyse des logiciels malveillants (complément payant) : Détection en temps réel des fichiers malveillants sur tous les types de fichiers.
  • Tarification prévisible par compte de stockage : Une structure de tarification plus prévisible et flexible pour un meilleur contrôle de la couverture.
  • Contrôles granulaires au niveau des ressources : Activation au niveau de l’abonnement ou de la ressource et exclusion des comptes de stockage spécifiques des abonnements protégés, offrant un contrôle plus granulaire sur votre couverture de sécurité.

Le nouveau plan de tarification facture en fonction du nombre de comptes de stockage protégés, simplifiant les calculs et permettant une mise à l’échelle facile selon l’évolution de vos besoins. Pour des informations détaillées sur les prix, veuillez consulter la section la page de tarification.

Pour profiter de ces fonctionnalités, nous vous recommandons de passer au nouveau plan Defender pour le stockage d’ici le 5 février 2025.

Remarque

Après le 5 février 2025, vous ne pourrez plus activer Defender pour le stockage (classique), le plan de tarification hérité par transaction, dans la plupart des scénarios. La seule exception concerne les abonnements qui ont déjà activé la tarification par transaction.

Changements importants dans Defender pour le stockage (classique)

Defender pour le stockage (Classique) offre deux structures de tarification : par transaction et par compte de stockage. À partir du 5 février 2025, ce plan passera à Defender pour le stockage avec une tarification par compte de stockage.

Impact sur le plan par transaction de Defender pour le stockage (classique)

Le plan classique par transaction ne sera plus disponible pour les nouveaux comptes de stockage et abonnements. Les comptes existants conserveront le plan sans nouvelles fonctionnalités ni mises à jour, c’est pourquoi nous vous encourageons à passer au nouveau plan pour bénéficier des fonctionnalités améliorées et d’une tarification simplifiée. Si votre abonnement ou compte de stockage a déjà activé le plan classique par transaction, il restera actif, mais l’activation de ce plan au niveau des ressources ne sera possible que pour ces abonnements existants.

Si vous avez des stratégies qui imposent le plan classique par transaction sans spécifier le sous-plan par transaction, les abonnements existants conserveront leur plan actuel, tandis que les nouveaux abonnements passeront par défaut au nouveau plan. Cependant, si vous spécifiez le sous-plan par transaction, il échouera pour les nouveaux abonnements. Une fois que vous passez au nouveau plan, vous ne pourrez plus revenir aux plans Defender pour le stockage (classique) par transaction ou par compte de stockage, que ce soit au niveau de l’abonnement ou du compte de stockage.

Impact sur le plan par compte de stockage de Defender pour le stockage (classique)

Le plan classique par compte de stockage passera automatiquement au plan Defender pour le stockage sans activer par défaut les fonctionnalités complémentaires. Les comptes de stockage précédemment exclus des abonnements protégés dans le plan par transaction ne resteront pas exclus lors de la mise à jour vers le nouveau plan. Si vous souhaitez désactiver la protection sur ces comptes de stockage, vous pouvez le faire dans le nouveau plan.

Identifier les plans actifs de Defender pour le stockage

Nous proposons trois options pour découvrir l’activation et la configuration de vos plans Defender pour le stockage :

  • Requête KQL dans Resource Graph Explorer : Utilisez cette requête KQL dans Resource Graph Explorer du portail Azure pour voir quels plans sont activés au niveau de l’abonnement :

    // DF-Storage Plans
    securityresources
    | where type == "microsoft.security/pricings"
    | where name == "StorageAccounts"
    | extend pricingTier = properties.pricingTier
    | extend DefenderForStoragePlan = properties.subPlan
    | extend IsInTrialPeriod = properties.freeTrialRemainingTime
    | extend MalwareScanningEnabled = properties.extensions[0].isEnabled
    | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
    | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
    | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
        DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
        MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
        MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
        SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
        IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
    | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled
    
  • Analyse détaillée avec un script PowerShell : Pour une enquête plus détaillée, incluant des informations à la fois au niveau de l’abonnement et des ressources (avec configuration des compléments), exécutez ce script PowerShell.

  • Workbook pour les détails de couverture au niveau de l’abonnement : Utilisez le workbook fourni pour voir quels plans sont activés au niveau de l’abonnement et leurs détails de configuration. Pour accéder au workbook, veuillez consulter la section Microsoft Defender pour le stockage : Tableau de bord d’estimation des prix.

Méthodes de migration

Pour activer et configurer le nouveau plan Microsoft Defender pour le stockage, vous avez plusieurs options :

  • Stratégie intégrée Azure (recommandée) : Appliquez des stratégies intégrées pour sécuriser de manière uniforme tous les comptes de stockage existants et futurs à grande échelle dans une étendue définie, telle que des groupes d’administration.
  • Templates Infrastructure as Code (IaC) : Utilisez des templates Terraform, Bicep ou Azure Resource Manager pour un déploiement et une configuration automatisés.
  • Portail Azure : Passez au nouveau plan via le portail Azure.
    1. Accédez aux Paramètres d’environnement dans Defender pour le cloud ou au volet Defender pour le cloud dans l’un des comptes de stockage.
    2. Sous Stockage, sélectionnez Nouveau plan disponible.
    3. Dans le volet Mettre à niveau le plan Defender pour le stockage, choisissez vos options de configuration, puis sélectionnez Mettre à niveau l’abonnement.
  • API REST : Utilisez l’API REST pour activer le nouveau plan de manière programmatique.

Identifier les stratégies actives

Pour activer le nouveau plan, assurez-vous de désactiver les anciennes stratégies Defender pour le stockage :

  • « Configurer Azure Defender pour activer le stockage »
  • « Azure Defender pour le stockage doit être activé »
  • « Configurer Microsoft Defender pour l’activation du stockage (plan par compte de stockage) »
  • « Configurer l’activation de Microsoft Defender pour le stockage (classique) »
  • « Déployer Defender pour le stockage (classique) sur des comptes de stockage »

Vous pouvez utiliser les méthodes suivantes pour identifier les stratégies actives :

Explorateur Azure Resource Graph

Pour identifier les stratégies actives dans votre abonnement à l’aide de Azure Resource Graph Explorer, exécutez la requête suivante qui inclut les anciennes stratégies Defender pour le stockage. Si vous avez des stratégies personnalisées, modifiez la requête en conséquence :

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Pour identifier les stratégies actives dans votre abonnement à l’aide de PowerShell, exécutez :

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Étape suivante

Dans cet article, vous avez découvert la migration vers le nouveau plan Microsoft Defender pour le stockage.