Implantar Microsoft Defender para armazenamento

Microsoft Defender para Armazenamento é uma solução nativa Azure. Ele oferece uma camada avançada de inteligência para detectar e mitigar ameaças em contas de armazenamento. Ele usa tecnologias Informações sobre Ameaças do Microsoft Defender, Microsoft Defender Antivírus e descoberta de dados confidenciais. Ele ajuda a proteger os serviços de Armazenamento de Blobs do Azure, Arquivos do Azure e Azure Data Lake Storage.

Defender para Armazenamento fornece um conjunto de alertas abrangente, verificação de malware quase em tempo real (como complemento) e detecção de ameaças de dados confidenciais sem custo adicional. Você pode usar esses recursos para detectar, avaliar e responder rapidamente a possíveis ameaças à segurança com informações detalhadas. Essa capacidade ajuda a evitar grandes impactos em seus dados e carga de trabalho, incluindo uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados.

As organizações podem personalizar sua proteção e impor políticas de segurança consistentes habilitando Defender para Armazenamento em assinaturas e contas de armazenamento com controle granular e flexibilidade.

Dica

Se você estiver usando o plano clássico do Defender para Armazenamento, considere migrar para o novo plano. O novo plano oferece vários benefícios em relação ao plano clássico.

Para saber mais sobre preços e disponibilidade regional, confira a página de preços Microsoft Defender para Nuvem. Você também pode estimar os custos usando a calculadora de custos Defender para Nuvem.

Pré-requisitos

Antes de habilitar Defender para Armazenamento, verifique se você tem as permissões necessárias e outros pré-requisitos em vigor. Para obter mais informações, consulte Prerequisites for Microsoft Defender for Storage.

Opções de instalação e configuração

Para habilitar e configurar Defender para Armazenamento e garantir a máxima proteção e otimização de custo, você pode usar estas opções disponíveis:

• Habilite ou desabilite Defender para Armazenamento no nível da assinatura ou no nível da conta de armazenamento.
• Habilite ou desabilite os recursos configuráveis para verificação de malware e detecção de ameaças de dados confidenciais.
• Defina um limite mensal na verificação de malware por conta de armazenamento por mês para controlar os custos. (O valor padrão é 10.000 GB.)
• Configure métodos para definir uma resposta aos resultados da varredura de malware.
• Configure métodos para registrar resultados de verificação de malware. O recurso de verificação de malware tem configurações avançadas para ajudar as equipes de segurança a dar suporte a vários fluxos de trabalho e requisitos.
• Sobrescreva as configurações no nível da assinatura para configurar contas de armazenamento específicas. Você pode usar configurações personalizadas que diferem das configurações configuradas no nível da assinatura.

Métodos de implantação

Há várias maneiras de habilitar e configurar Defender para Armazenamento. Os links a seguir fornecem acesso direto às páginas de habilitação para cada método de implantação com suporte:

• Política integrada do Azure (recomendado)
• Modelos de IaC (infraestrutura como código), incluindo:
  • Terraform
  • Bicep
  • Azure Resource Manager
• Azure portal
• Azure PowerShell
• REST API

Recomendamos que você habilite Defender para Armazenamento por meio de uma política. Esse método facilita a habilitação em escala. Ele também garante que uma política de segurança consistente seja aplicada em todas as contas de armazenamento existentes e futuras dentro do escopo definido, como grupos de gerenciamento inteiros. Essa abordagem mantém as contas de armazenamento protegidas com Defender para Armazenamento de acordo com a configuração definida pela sua organização.

Exibir sua cobertura atual

Defender para Nuvem fornece acesso a workbooks por meio de pastas de trabalho Azure. As pastas de trabalho são relatórios personalizáveis que fornecem insights sobre a sua postura de segurança. A planilha de cobertura ajuda você a entender sua cobertura atual mostrando quais planos estão habilitados em suas assinaturas e recursos.

Além disso, você pode visualizar a proteção contra ameaças e a cobertura de postura do Defender for Storage diretamente no Centro de Armazenamento, junto com seus recursos de armazenamento.

O Centro de Armazenamento oferece uma visão centralizada e nativa para sistemas de armazenamento sobre o status de proteção do Defender para Armazenamento. Essa exibição ajuda você a entender rapidamente:

• Quais contas de armazenamento estão protegidas, parcialmente protegidas ou não protegidas
• Onde a verificação de malware, o monitoramento de atividades e a descoberta de dados confidenciais estão habilitados
• Onde existem lacunas de segurança no armazenamento do Azure Blob e no armazenamento do Arquivos do Azure

Você pode se aprofundar nos insights de alto nível para visualizar detalhes em nível de serviço e de recurso, e integrar-se facilmente ao Defender para Nuvem para tomar medidas e corrigir falhas.

Saiba mais sobre armazenamento Azure.

Conteúdo relacionado

• Saiba como habilitar e configurar o plano Defender para Armazenamento em escala usando uma política integrada do Azure.