Defender for Storage (クラシック) から新しいプランに移行する
新しい Defender for Storage プランは、2023 年 3 月 28 日に開始されました。 現在、トランザクションごとまたはストレージごとのアカウント価格プランで Microsoft Defender for Storage (クラシック) を使用している場合は、新しい Defender for Storage プランにアップグレードすることを検討してください。このプランでは、クラシック プランに含まれないいくつかの新しい利点が提供さます。
新しいプランに移行する理由
新しいプランには、悪意のあるファイルのアップロード、機密データの流出、データの破損からの保護に役立つ高度なセキュリティ機能が含まれています。
新しいプランには、対象とコストをより適切に管理するための、より予測可能で柔軟性の高い価格構造も備わっています。
新しい価格プランでは、保護するストレージ アカウントの数に基づいて課金されます。これにより、コスト計算が簡略化され、ニーズの変化に応じたスケーリングが容易になります。 これは、サブスクリプションまたはリソースのレベルで有効にすることができ、保護されるサブスクリプションから特定のストレージ アカウントを除外し、セキュリティ カバレッジをよりきめ細かく制御することもできます。 毎月のしきい値を超える大量のトランザクションがあるストレージ アカウントには、追加料金が適用される場合があります。
Note
レガシの Defender for Storage (クラシック) が既に有効になっていて、新しいセキュリティ機能と価格を利用したい場合は、新しいプランに事前に移行する必要があります。 新しいプランへの移行は、Azure portal からワンクリックで行うことも、Azure Policy と IaC ツールを使用して行うこともできます。
移行シナリオ
従来の Defender for Storage プランから新しい Defender for Storage プランへの移行は簡単なプロセスで、いくつかの方法があります。 新しいプランの強化された機能や価格にアクセスするには、事前に新しいプランを有効にする必要があります。
Note
新しいプランを有効にするには、古い Defender for Storage ポリシーを無効にしてください。 [Azure Defender for Storage を構成して有効にする]、[Azure Defender for Storage を有効にする必要がある]、または [Microsoft Defender for Storage を構成して有効にする (ストレージ アカウント単位のプラン)] という名前のポリシーを探して無効にします。
トランザクションごとの価格で有効にされた従来の Defender for Storage プランからの移行
従来の Defender for Storage プランが、トランザクションごとの価格で有効にされている場合は、サブスクリプション レベルまたはリソース レベルのいずれかで、新しいプランに切り替えることができます。 保護されたサブスクリプションから特定のストレージ アカウントを除外することもできます。
トランザクションごとのプランの保護されたサブスクリプションから以前に除外されたストレージ アカウントは、新しいプランに切り替えるときに除外されたままになりません。 ただし、除外タグは、そのリソースに残され、削除することができます。 新しい価格プランの恩恵を最も受けるのは、ほとんどの場合、保護されたサブスクリプションから以前に除外されたストレージ アカウントです。
ストレージ アカウントごとの価格で有効にされた従来の Defender for Storage プランからの移行
従来の Defender for Storage プランが、ストレージ アカウントごとの価格で有効にされている場合は、サブスクリプション レベルまたはリソース レベルのいずれかで、新しいプランに切り替えることができます。 新しい Defender for Storage プランの価格プランは同じですが、例外として、マルウェア スキャンには追加料金が発生する可能性があり、スキャンされた GB ごとに課金されます。
Defender for Storage の価格モデルの詳細については、「Defender for Cloud の価格に関するページ」を参照してください。
保護されたサブスクリプションから特定のストレージ アカウントを除外することもできます。
サブスクリプションでアクティブになっている Microsoft Defender for Storage の価格プランを特定する
サブスクリプションでどの価格プランがアクティブになっているかをすばやく特定しようとしている場合は、Azure Resource Graph (ARG) エクスプローラー ("securityresources" テーブルを含む) データに基づいてこのカバレッジ ブックを利用することが、最適な解決策です。 このツールを使用すると、有効化の状態を簡単にまとめて分析できます。
Note
カバレッジ ブックと ARG エクスプローラーのクエリでは、Defender for Storage がサブスクリプション レベルで有効になっている場合にのみ有効化の状態が提供されます。 リソース レベルで Defender for Storage が有効になっているストレージ アカウントの場合、有効化の状態は、Azure portal のストレージ アカウントの [Defender for Cloud] ブレード内にあります。 さらに、PowerShell スクリプトを使用して、有効化の状態のクエリを発行できます。
プランの比較
クラシック プランと新しいプランの違いをより深く理解する助けとなるよう、以下に比較表を示します。
| カテゴリ | 新しい Defender for Storage プラン | クラシック (トランザクションごとのプラン) | クラシック (ストレージ アカウントごとのプラン) |
|---|---|---|---|
| 価格体系 | コストは、保護するストレージ アカウントの数に基づきます*。 有効になっている場合、マルウェア用にスキャンした GB のアドオンのコスト | コストは、処理されたトランザクションの数に基づきます。 | コストは、保護するストレージ アカウントの数に基づきます* |
| 有効化オプション | サブスクリプションとリソースのレベル | サブスクリプションとリソースのレベル | サブスクリプションのみ |
| 保護されたサブスクリプションからのストレージ アカウントの除外 | はい | はい | いいえ |
| アクティビティの監視 (セキュリティ アラート) | はい | イエス | はい |
| アップロードされた BLOB でのマルウェアのスキャン | はい (アドオン) | いいえ (ハッシュ評価分析のみ) | いいえ (ハッシュ評価分析のみ) |
| 機密データの脅威検出 | はい (アドオン) | いいえ | いいえ |
| 漏洩または侵害があった SAS トークン (ID のないエンティティ) の検出 | はい | いいえ | いいえ |
* 大量のトランザクションがあるストレージ アカウントには、追加料金が適用される場合があります。
新しいプランでは、データをより適切に保護するために設計された、より包括的な機能セットが提供されます。 また、従来のプランと比較してより予測しやすい価格プランが提供されます。 その利点を最大限活用するために、新しいプランに移行することをお勧めします。
Defender for Storage を有効にして構成する方法の詳細を確認してください。
次の手順
この記事では、新しい Microsoft Defender for Storage プランに移行する方法について説明しました。