Implantar o Microsoft Defender para Armazenamento
O Microsoft Defender para Armazenamento é uma solução nativa do Azure que oferece uma camada avançada de inteligência para detecção e mitigação de ameaças em contas de armazenamento, alimentada pela Inteligência contra Ameaças da Microsoft, tecnologias Antimalware do Microsoft Defender e Descoberta de Dados Confidenciais. Com proteção para os serviços de Armazenamento de Blobs do Azure, Arquivos do Azure e Armazenamento Azure Data Lake, ele fornece um conjunto de alertas abrangente, varredura de malware (complemento) quase em tempo real e detecção de ameaças de dados confidenciais (sem custo extra), permitindo detecção, triagem e resposta rápidas a possíveis ameaças à segurança com informações contextuais. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos.
Com o Microsoft Defender para Armazenamento, as organizações podem personalizar sua proteção e impor políticas de segurança consistentes habilitando-as em assinaturas e contas de armazenamento com controle granular e flexibilidade.
Dica
Se você estiver usando o Microsoft Defender para Armazenamento clássico, considere migrar para o novo plano, que oferece vários benefícios em relação ao plano clássico.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | GA (Disponibilidade Geral) |
| Disponibilidade de recursos: | - Monitoramento de atividades (alertas de segurança): Disponibilidade Geral (GA) - Verificação de malware – Disponibilidade Geral (GA) - Detecção de ameaças de dados confidenciais (Descoberta de Dados Confidenciais) – Versão prévia Visite a página de preços para saber mais. |
| Funções e permissões necessárias: | Para verificação de malware e detecção de ameaças de dados confidenciais nos níveis de conta de assinatura e armazenamento, você precisa de funções de proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para habilitar o Monitoramento de Atividades, você precisa de permissões de "Administrador de Segurança". Leia mais sobre as permissões necessárias. |
| Nuvens: |  Nuvens comerciais do Azure * Azure Governamental (somente suporte ao monitoramento de atividades no plano clássico) Azure China 21Vianet Contas da AWS conectadas |
*A Zona DNS do Azure não tem suporte para verificação de malware e detecção de ameaças de dados confidenciais.
Pré-requisitos para verificação de malware
Para habilitar e configurar a verificação de malware, você deve ter funções de Proprietário (como Proprietário da Assinatura ou Proprietário da Conta de Armazenamento) ou funções específicas com as ações de dados necessárias. Saiba mais sobre as permissões necessárias
Configurar o Microsoft Defender para Armazenamento
Para habilitar e configurar Microsoft Defender para Armazenamento para garantir a máxima proteção e otimização de custo, as seguintes opções de configuração estão disponíveis:
- Habilite/desabilite o Microsoft Defender para Armazenamento nos níveis de assinatura e conta de armazenamento.
- Ativar/desativar a verificação de malware ou os recursos configuráveis de detecção de ameaças de dados confidenciais.
- Defina um limite mensal ("limite") na verificação de malware por conta de armazenamento por mês para controlar os custos (o valor padrão é 5.000 GB).
- Defina métodos para configurar a resposta aos resultados da verificação de malware.
- Defina métodos para salvar resultados de verificação de malware e registro em log.
Dica
O recurso Verificação de Malware tem configurações avançadas para ajudar as equipes de segurança a dar suporte a diferentes fluxos de trabalho e requisitos.
- Substitua as configurações de nível de assinatura para definir contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura.
Existem várias maneiras de habilitar e configurar a o Defender para Armazenamento: usando a política integrada do Azure (que é o método recomendado), programaticamente usando modelos de Infraestrutura como Código, incluindo o Terraform, o Bicep e modelos do ARM, usando o portal do Azure ou diretamente com a API REST.
É recomendável habilitar o Defender para Armazenamento por meio de uma política, pois isso facilita a habilitação em escala e garante a aplicação de uma política de segurança consistente em todas as contas de armazenamento existentes e futuras dentro do escopo definido (como grupos de gerenciamento inteiros). Isso mantém as contas de armazenamento protegidas pelo Defender para Armazenamento de acordo com a configuração definida pela organização.
Observação
Para evitar a migração de volta para o plano clássico herdado, desabilite as políticas antigas do Defender para Armazenamento. Procure e desabilite as políticas chamadas de Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabled ou Configure Microsoft Defender for Storage to be enabled (per-storage account plan), ou as políticas de negação que impeçam a desabilitação do plano clássico.