Compartilhar via

Migrar para o novo plano Defender para Armazenamento

  • Artigo

Em 28 de março de 2023, apresentamos o novo plano do Defender para Armazenamento. Esse plano oferece vários benefícios não disponíveis nos planos de preços por transação ou por conta de armazenamento do Defender para Armazenamento (clássico), como:

  • Monitoramento de atividades aprimorado: análise contínua das atividades do plano de dados e do plano de controle para detecção de ameaças.
  • Detecção de tokens SAS comprometidos ou abusados: análise contínua das atividades do plano de dados e do plano de controle para detecção de ameaças, incluindo a detecção de assinaturas de acesso compartilhado (tokens SAS) mal configuradas e excessivamente permissivas que podem ser vazadas ou comprometidas.
  • Opção para habilitar a detecção de ameaças de dados confidenciais (complemento): detecção de possíveis eventos de exposição e atividades suspeitas em recursos que contêm dados confidenciais, resultando em exfiltração de dados.
  • Opção para ativar a verificação de malware (complemento pago): detecção em tempo real de arquivos mal-intencionados em todos os tipos de arquivo.
  • Preços previsíveis por conta de armazenamento: uma estrutura de preços mais previsível e flexível que oferece melhor controle sobre a cobertura.
  • Controles granulares no nível do recurso: habilite no nível de assinatura ou recurso e exclua contas de armazenamento específicas de assinaturas protegidas, fornecendo controle mais granular sobre sua cobertura de segurança.

O plano de preços cobra com base no número de contas de armazenamento que você protege, o que simplifica os cálculos de custos e permite dimensionamento fácil à medida que suas necessidades mudam. Para obter informações sobre preços, consulte a página de preços.

Para aproveitar esses recursos, recomendamos migrar para o novo plano Defender para Armazenamento até 5 de fevereiro de 2025.

Observação

Após 5 de fevereiro de 2025, você não poderá mais habilitar o Defender para Armazenamento (clássico), o plano de preços herdado por transação, na maioria dos cenários. A única exceção é para assinaturas que já têm o preço por transação habilitado.

Alterações importantes no Defender para Armazenamento (clássico)

O Defender para Armazenamento (Clássico) oferece duas estruturas de preços: por transação e por conta de armazenamento. A partir de 5 de fevereiro de 2025, esse plano fará a transição para o Defender para Armazenamento com preços por conta de armazenamento.

Impacto no plano por transação do Defender para Armazenamento (clássico)

O plano clássico por transação não estará mais disponível para novas contas de armazenamento e assinaturas. As contas existentes manterão o plano sem recursos e atualizações futuras, por isso recomendamos que você migre para o novo plano para obter os recursos aprimorados e os preços simplificados. Se sua assinatura ou conta de armazenamento já tiver o plano clássico por transação habilitado, ele permanecerá ativo, mas habilitar esse plano no nível do recurso só será possível para essas assinaturas existentes.

Se você tiver políticas que impõem o plano clássico por transação sem especificar o subplano por transação, as assinaturas existentes manterão o plano atual, enquanto as novas assinaturas serão padronizadas para o novo plano. No entanto, se você especificar o subplano por transação, ele falhará para novas assinaturas. Depois de alternar para o novo plano, você não poderá mais reverter para os planos de conta por transação ou por armazenamento do Defender para Armazenamento (clássico) no nível da assinatura ou da conta de armazenamento.

Impacto no plano de conta por armazenamento do Defender para Armazenamento (Clássico)

O plano clássico por conta de armazenamento fará a transição automática para o plano do Defender para Armazenamento sem habilitar recursos complementares por padrão. As contas de armazenamento anteriormente excluídas das assinaturas protegidas no plano por transação não permanecerão excluídas quando forem atualizadas para o novo plano. Se você quiser desabilitar a proteção nessas contas de armazenamento, poderá fazer isso no novo plano.

Identificar planos ativos do Defender para Armazenamento

Fornecemos três opções para descobrir a habilitação e a configuração dos planos do Defender para Armazenamento:

  • Consulta KQL no Resource Graph Explorer: use esta consulta KQL no Resource Graph Explorer do portal do Azure para exibir quais planos estão habilitados no nível da assinatura:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Análise detalhada com o script do PowerShell: para uma investigação mais detalhada, incluindo informações nos níveis de assinatura e de recurso (com configuração de complementos), execute este script do PowerShell.

  • Pasta de trabalho para obter detalhes de cobertura no nível da assinatura: use a pasta de trabalho fornecida para ver quais planos estão habilitados no nível da assinatura e seus detalhes de configuração. Para acessar a pasta de trabalho, consulte Microsoft Defender para Armazenamento – Painel de Estimativa de Preço.

Métodos de migração

Para habilitar e configurar o novo plano Microsoft Defender para Armazenamento, há várias opções:

  • Política interna do Azure (recomendada): aplique políticas internas para proteger de maneira uniforme todas as contas de armazenamento existentes e futuras em escala dentro de um escopo definido, como grupos de gerenciamento.
  • Modelos de IaC (infraestrutura como código): use Terraform, Bicep ou Azure Resource Manager para implantação e configuração automatizadas.
  • Portal do Azure: migre para o novo plano por meio do portal do Azure.
    1. Navegue até Configurações de ambiente no Defender para Nuvem ou no painel Defender para Nuvem em uma das contas de armazenamento.
    2. Em Armazenamento, selecione Novo plano disponível.
    3. No painel Atualizar plano do Defender para Armazenamento, escolha suas opções de configuração e selecione Atualizar assinatura.
  • API REST: use a API REST para habilitar o novo plano programaticamente.

Identificar políticas ativas

Para habilitar o novo plano, desabilite as políticas antigas do Defender para Armazenamento:

  • "Configurar o Azure Defender para habilitar o Armazenamento"
  • "O Azure Defender para Armazenamento deve estar habilitado"
  • "Configurar o Microsoft Defender para Armazenamento para ser habilitado (plano por conta de armazenamento)"
  • "Configure o Microsoft Defender para Armazenamento (Clássico) para que esteja habilitado"
  • "Implantar o Defender para Armazenamento (Clássico) em contas de armazenamento"

Você pode usar os seguintes métodos para identificar as políticas ativas:

Azure Resource Graph Explorer

Para identificar políticas ativas em sua assinatura usando o Azure Resource Graph Explorer, execute a consulta a seguir que inclui as políticas antigas do Defender para Armazenamento. Se você tiver políticas personalizadas, modifique a consulta de acordo:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Para identificar políticas ativas em sua assinatura usando o PowerShell, execute:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Próxima etapa

Neste artigo, você aprendeu a migrar para o novo plano do Microsoft Defender para Armazenamento.

Habilitar o Defender para Armazenamento