Condividi tramite

Passare al nuovo piano di Defender per archiviazione

  • Articolo

Il 28 marzo 2023 è stato introdotto il nuovo piano defender per archiviazione. Questo piano offre diversi vantaggi non disponibili nei piani tariffari di Defender for Storage (versione classica) per transazione o per account di archiviazione, ad esempio:

  • Monitoraggio avanzato delle attività: analisi continua delle attività del piano dati e del piano di controllo per il rilevamento delle minacce.
  • Rilevamento di token di firma di accesso condiviso compromessi o impropri: analisi continua delle attività del piano dati e del piano di controllo per il rilevamento delle minacce, incluso il rilevamento di firme di accesso condiviso non configurate correttamente e eccessivamente permissive (token di firma di accesso condiviso) che potrebbero essere perse o compromesse.
  • Opzione per abilitare il rilevamento delle minacce ai dati sensibili (componente aggiuntivo): rilevamento di potenziali eventi di esposizione e attività sospette nelle risorse contenenti dati sensibili con conseguente esfiltrazione dei dati.
  • Opzione per abilitare l'analisi malware (componente aggiuntivo a pagamento): rilevamento in tempo reale di file dannosi in tutti i tipi di file.
  • Prezzi prevedibili e per account di archiviazione: struttura dei prezzi più prevedibile e flessibile per un migliore controllo sulla copertura.
  • Controlli granulari a livello di risorsa: abilitare a livello di sottoscrizione o risorsa ed escludere account di archiviazione specifici da sottoscrizioni protette, offrendo un controllo più granulare sulla copertura della sicurezza.

I nuovi costi del piano tariffario in base al numero di account di archiviazione protetti, semplificando i calcoli e consentendo una scalabilità semplificata in base al cambiamento delle esigenze. Per informazioni dettagliate sui prezzi, vedere la pagina prezzi.

Per sfruttare queste funzionalità, è consigliabile passare al nuovo piano di Defender per Archiviazione entro il 5 febbraio 2025.

Nota

Dopo il 5 febbraio 2025 non è più possibile abilitare Defender for Storage (versione classica), il piano tariffario legacy per transazione, nella maggior parte degli scenari. L'unica eccezione è per le sottoscrizioni in cui sono già abilitati i prezzi per transazione.

Modifiche importanti in Defender per Archiviazione (versione classica)

Defender per Archiviazione (versione classica) offre due strutture tariffarie: per transazione e account di archiviazione. A partire dal 5 febbraio 2025, questo piano passerà a Defender for Storage con prezzi per account di archiviazione.

Impatto sul piano di defender per archiviazione (versione classica) per transazione

Il piano classico per transazione non sarà più disponibile per i nuovi account di archiviazione e sottoscrizioni. Gli account esistenti manterranno il piano senza funzionalità e aggiornamenti futuri, pertanto è consigliabile passare al nuovo piano per le funzionalità avanzate e i prezzi semplificati. Se la sottoscrizione o l'account di archiviazione dispone già del piano classico per transazione abilitato, rimarrà attivo, ma l'abilitazione di questo piano a livello di risorsa sarà possibile solo per queste sottoscrizioni esistenti.

Se sono presenti criteri che applicano il piano classico per transazione senza specificare il sottopiano per transazione, le sottoscrizioni esistenti manterranno il piano corrente, mentre per impostazione predefinita le nuove sottoscrizioni verranno mantenute nel nuovo piano. Tuttavia, se si specifica il sottopiano per transazione, l'operazione avrà esito negativo per le nuove sottoscrizioni. Quando si passa al nuovo piano, non è più possibile ripristinare i piani Defender for Storage (classico) per transazione o per account di archiviazione a livello di sottoscrizione o di account di archiviazione.

Impatto sul piano di Defender per archiviazione (versione classica) per account di archiviazione

Il piano classico per account di archiviazione passerà automaticamente al piano defender per archiviazione senza abilitare le funzionalità del componente aggiuntivo per impostazione predefinita. Gli account di archiviazione precedentemente esclusi dalle sottoscrizioni protette nel piano per transazione non rimarranno esclusi quando vengono aggiornati al nuovo piano. Se si vuole disabilitare la protezione per questi account di archiviazione, è possibile farlo nel nuovo piano.

Identificare i piani attivi di Defender per Archiviazione

Sono disponibili tre opzioni per scoprire l'abilitazione e la configurazione dei piani di Defender per Archiviazione:

  • Query KQL in Resource Graph Explorer: usare questa query KQL nel portale Azure Resource Graph Explorer per visualizzare i piani abilitati a livello di sottoscrizione:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Analisi dettagliata con script di PowerShell: per un'analisi più dettagliata, incluse le informazioni sia a livello di sottoscrizione che di risorse (con configurazione dei componenti aggiuntivi), eseguire questo script di PowerShell.

  • Cartella di lavoro per i dettagli di copertura a livello di sottoscrizione: usare la cartella di lavoro fornita per visualizzare i piani abilitati a livello di sottoscrizione e i relativi dettagli di configurazione. Per accedere alla cartella di lavoro, vedere Microsoft Defender for Storage - Price Estimation Dashboard.

Metodi di migrazione

Per abilitare e configurare il nuovo piano di Microsoft Defender per Archiviazione, sono disponibili diverse opzioni:

  • Criteri predefiniti di Azure (scelta consigliata): applicare criteri predefiniti per proteggere in modo uniforme tutti gli account di archiviazione esistenti e futuri su larga scala all'interno di un ambito definito, ad esempio i gruppi di gestione.
  • Modelli IaC (Infrastructure as Code): usare modelli Terraform, Bicep o Azure Resource Manager per la distribuzione e la configurazione automatizzate.
  • portale di Azure: eseguire la migrazione al nuovo piano tramite il portale di Azure.
    1. Passare a Impostazioni ambiente in Defender per il cloud o nel riquadro Defender per il cloud in uno degli account di archiviazione.
    2. In Archiviazione selezionare Nuovo piano disponibile.
    3. Nel riquadro Aggiorna defender per il piano di archiviazione scegliere le opzioni di configurazione e quindi selezionare Aggiorna sottoscrizione.
  • API REST: usare l'API REST per abilitare il nuovo piano a livello di codice.

Identificare i criteri attivi

Per abilitare il nuovo piano, assicurarsi di disabilitare i criteri precedenti di Defender per Archiviazione:

  • "Configurare Azure Defender per gli archivi da abilitare"
  • "Azure Defender per l'archiviazione deve essere abilitato"
  • "Configurare l'abilitazione di Microsoft Defender for Storage (piano per ciascun account di archiviazione)"
  • "Configurare Microsoft Defender per l’archiviazione (versione classica) e abilitalo"
  • "Distribuire Defender per l’archiviazione (versione classica) sugli account di archiviazione"

Per identificare il controller attivo, è possibile utilizzare una delle politiche attive:

Azure Resource Graph Explorer

Per identificare i criteri attivi nella sottoscrizione usando Azure Resource Graph Explorer, eseguire la query seguente che include i criteri precedenti di Defender per Archiviazione. Se sono presenti criteri personalizzati, modificare la query di conseguenza:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Per identificare i criteri attivi nella sottoscrizione tramite PowerShell, eseguire:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Passaggio successivo

In questo articolo si è appreso come eseguire la migrazione al nuovo piano di Microsoft Defender per l'archiviazione.

Abilitare Defender per Archiviazione