Delen via

Naar het nieuwe Defender for Storage-abonnement gaan

  • Artikel

Op 28 maart 2023 hebben we het nieuwe Defender for Storage-plan geïntroduceerd. Dit abonnement biedt verschillende voordelen die niet beschikbaar zijn in de prijsplannen voor Defender for Storage (klassiek) per transactie of per opslagaccount, zoals:

  • Verbeterde activiteitenbewaking: continue analyse van activiteiten in het gegevensvlak en besturingsvlak voor detectie van bedreigingen.
  • Detectie van gecompromitteerde of misbruikte SAS-tokens: continue analyse van activiteiten in het gegevensvlak en het besturingsvlak voor detectie van bedreigingen, waaronder de detectie van onjuist geconfigureerde en overmissieve Shared Access Signatures (SAS-tokens) die kunnen worden gelekt of aangetast.
  • Optie voor het inschakelen van detectie van bedreigingen voor gevoelige gegevens (invoegtoepassing): Detectie van mogelijke blootstellingsgebeurtenissen en verdachte activiteiten op resources die gevoelige gegevens bevatten, wat resulteert in gegevensexfiltratie.
  • Optie voor het inschakelen van malwarescans (betaalde invoegtoepassing): realtime detectie van schadelijke bestanden in alle bestandstypen.
  • Voorspelbare prijzen per opslagaccount: Een meer voorspelbare en flexibele prijsstructuur voor betere controle over dekking.
  • Gedetailleerde besturingselementen op resourceniveau: Inschakelen op abonnements- of resourceniveau en specifieke opslagaccounts uitsluiten van beveiligde abonnementen, wat meer gedetailleerde controle biedt over uw beveiligingsdekking.

De nieuwe prijsplankosten op basis van het aantal opslagaccounts dat u beveiligt, vereenvoudigt berekeningen en maakt eenvoudig schalen mogelijk naarmate uw behoeften veranderen. Zie de pagina met prijzen voor gedetailleerde informatie over prijzen.

Als u gebruik wilt maken van deze functies, raden we u aan om uiterlijk 5 februari 2025 over te stappen op het nieuwe Defender for Storage-abonnement.

Notitie

Na 5 februari 2025 kunt u Defender for Storage (klassiek), het verouderde prijsplan per transactie, in de meeste scenario's niet meer inschakelen. De enige uitzondering hierop is voor abonnementen waarvoor de prijzen per transactie al zijn ingeschakeld.

Belangrijke wijzigingen in Defender for Storage (klassiek)

Defender for Storage (klassiek) biedt twee prijsstructuren: per transactie en per opslagaccount. Vanaf 5 februari 2025 gaat dit plan over naar Defender for Storage met prijzen per opslagaccount.

Impact op het Defender for Storage-abonnement (klassiek) per transactie

Het klassieke abonnement per transactie is niet meer beschikbaar voor nieuwe opslagaccounts en abonnementen. Bestaande accounts behouden het plan zonder toekomstige functies en updates, dus we raden u aan om over te stappen op het nieuwe plan voor de verbeterde functies en vereenvoudigde prijzen. Als voor uw abonnement of opslagaccount al het klassieke abonnement per transactie is ingeschakeld, blijft het actief, maar is het inschakelen van dit plan op resourceniveau alleen mogelijk voor deze bestaande abonnementen.

Als u beleidsregels hebt die het klassieke abonnement per transactie afdwingen zonder het subplan per transactie op te geven, behouden bestaande abonnementen hun huidige abonnement, terwijl nieuwe abonnementen standaard het nieuwe abonnement hebben. Als u echter het subplan per transactie opgeeft, mislukt het voor nieuwe abonnementen. Zodra u overschakelt naar het nieuwe abonnement, kunt u niet meer terugkeren naar de Defender for Storage-abonnementen (klassiek) per transactie of per opslagaccount op abonnements- of opslagaccountniveau.

Impact in het Abonnement voor Defender for Storage (klassiek) per opslagaccount

Het klassieke abonnement per opslagaccount wordt automatisch overgestapt naar het Defender for Storage-abonnement zonder standaard invoegtoepassingsfuncties in te schakelen. Opslagaccounts die eerder zijn uitgesloten van beveiligde abonnementen in het abonnement per transactie, blijven niet uitgesloten wanneer ze worden bijgewerkt naar het nieuwe abonnement. Als u de beveiliging van deze opslagaccounts wilt uitschakelen, kunt u dit doen in het nieuwe abonnement.

Actieve Defender for Storage-abonnementen identificeren

We bieden drie opties voor het inschakelen en configureren van uw Defender for Storage-abonnementen:

  • KQL-query in Resource Graph Explorer: gebruik deze KQL-query in de Resource Graph Explorer van Azure Portal om te bekijken welke abonnementen zijn ingeschakeld op abonnementsniveau:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Gedetailleerde analyse met PowerShell-script: Voer dit PowerShell-script uit voor een gedetailleerder onderzoek, inclusief informatie op abonnementsniveau en resourceniveaus (met configuratie van invoegtoepassingen).

  • Werkmap voor dekkingsgegevens op abonnementsniveau: gebruik de opgegeven werkmap om te zien welke plannen zijn ingeschakeld op abonnementsniveau en de configuratiegegevens. Zie Het dashboard Prijsraming van Microsoft Defender voor Opslag voor toegang tot de werkmap.

Migratiemethoden

Als u het nieuwe Microsoft Defender for Storage-abonnement wilt inschakelen en configureren, hebt u verschillende opties:

  • Ingebouwd Azure-beleid (aanbevolen):pas ingebouwde beleidsregels toe om alle bestaande en toekomstige opslagaccounts op schaal uniform te beveiligen binnen een gedefinieerd bereik, zoals beheergroepen.
  • IaC-sjablonen (Infrastructure as Code): Terraform-, Bicep- of Azure Resource Manager-sjablonen gebruiken voor geautomatiseerde implementatie en configuratie.
  • Azure Portal: Migreren naar het nieuwe plan via Azure Portal.
    1. Navigeer naar omgevingsinstellingen in Defender voor Cloud of het deelvenster Defender voor Cloud in een van de opslagaccounts.
    2. Selecteer onder Storage de optie Nieuw abonnement dat beschikbaar is.
    3. Kies uw configuratieopties in het deelvenster Upgrade Defender for Storage-abonnement en selecteer vervolgens Upgradeabonnement.
  • REST API: gebruik de REST API om het nieuwe plan programmatisch in te schakelen.

Actief beleid identificeren

Als u het nieuwe abonnement wilt inschakelen, moet u het oude Defender for Storage-beleid uitschakelen:

  • 'Azure Defender for Storage configureren om in te schakelen'
  • 'Azure Defender voor Storage moet zijn ingeschakeld'
  • 'Microsoft Defender for Storage configureren om in te schakelen (abonnement per opslagaccount)'
  • 'Configureer Microsoft Defender voor Opslag (klassiek) om in te schakelen'
  • 'Defender for Storage (klassiek) implementeren in opslagaccounts'

U kunt de volgende methoden gebruiken om het actieve beleid te identificeren:

Azure Resource Graph Explorer

Als u actieve beleidsregels in uw abonnement wilt identificeren met behulp van Azure Resource Graph Explorer, voert u de volgende query uit met het oude Defender for Storage-beleid. Als u aangepast beleid hebt, wijzigt u de query dienovereenkomstig:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

Powershell

Als u actieve beleidsregels in uw abonnement wilt identificeren met behulp van PowerShell, voert u het volgende uit:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Volgende stap

In dit artikel hebt u geleerd hoe u migreert naar het nieuwe Microsoft Defender for Storage-abonnement.

Defender for Storage inschakelen