Ativar Microsoft Defender para Armazenamento (clássico)

Este artigo explica como pode ativar e configurar Microsoft Defender para Armazenamento (Clássico) nas suas subscrições através de vários modelos, como o PowerShell, a API REST, entre outros.

Também pode atualizar para o novo Microsoft Defender para o Plano de armazenamento e utilizar capacidades de segurança avançadas, incluindo a Análise de Software Maligno e a deteção de ameaças de dados confidenciais. Tire partido de uma estrutura de preços mais previsível e granular que cobra por conta de armazenamento, com custos adicionais para transações de elevado volume. Este novo plano de preços também abrange todas as novas funcionalidades e deteções de segurança.

Nota

Se estiver a utilizar o Defender para Armazenamento (clássico) com preços por transação ou por conta de armazenamento, terá de migrar para o novo plano do Defender para Armazenamento para aceder a estas funcionalidades e preços. Saiba mais sobre como migrar para o novo plano do Defender para Armazenamento.

Microsoft Defender para o Armazenamento é uma camada nativa do Azure de inteligência de segurança que deteta tentativas invulgares e potencialmente prejudiciais para aceder ou explorar as suas contas de armazenamento. Utiliza capacidades avançadas de deteção de ameaças e dados do Microsoft Threat Intelligence para fornecer alertas de segurança contextuais. Esses alertas também incluem passos para mitigar as ameaças detetadas e evitar ataques futuros.

Microsoft Defender para Armazenamento analisa continuamente as transações dos serviços de Armazenamento de Blobs do Azure, Azure Data Lake Storage e Ficheiros do Azure. Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Os alertas são apresentados no Microsoft Defender para a Cloud com os detalhes da atividade suspeita, passos de investigação adequados, ações de remediação e recomendações de segurança.

A telemetria analisada de Armazenamento de Blobs do Azure inclui tipos de operação como Obter Blob, Colocar Blob, Obter ACL de Contentor, Listar Blobs e Obter Propriedades do Blob. Exemplos de tipos de operação de Ficheiros do Azure analisados incluem Obter Ficheiro, Criar Ficheiro, Listar Ficheiros, Obter Propriedades do Ficheiro e Colocar Intervalo.

O Defender para Armazenamento clássico não acede aos dados da conta de Armazenamento e não tem qualquer impacto no seu desempenho.

Saiba mais sobre as vantagens, funcionalidades e limitações do Defender para Armazenamento. Também pode saber mais sobre o Defender para Armazenamento no episódio do Defender para Armazenamento do Defender para a Cloud na série de vídeos Campo.

Disponibilidade

Aspeto	Detalhes
Estado da versão:	Disponibilidade geral (GA)
Preços:	Microsoft Defender de Armazenamento é faturado conforme mostrado nos detalhes de preços e nos planos do Defender na portal do Azure
Tipos de armazenamento protegidos:	Armazenamento de Blobs (Armazenamento Standard/PremiumV2, Blobs de Blocos) Ficheiros do Azure (através da API REST e do SMB) Azure Data Lake Storage Gen2 (contas Standard/Premium com espaços de nomes hierárquicos ativados)
Nuvens:	Clouds comerciais Azure Government (apenas para o plano por transação) Microsoft Azure operado pela 21Vianet Contas do AWS ligadas

Configurar Microsoft Defender para Armazenamento (clássico)

Configurar preços por transação para uma subscrição

Para os preços do Defender para Armazenamento por transação, recomendamos que ative o Defender para Armazenamento para cada subscrição para que todas as contas de armazenamento existentes e novas estejam protegidas. Se quiser proteger apenas contas específicas, configure o Defender para Armazenamento para cada conta.

Pode configurar Microsoft Defender para Armazenamento nas suas subscrições de várias formas:

• Modelo do Terraform
• Modelo bicep
• Modelo ARM
• PowerShell
• CLI do Azure
• API REST

Modelo do Terraform

Para ativar Microsoft Defender para Armazenamento ao nível da subscrição com preços por transação através de um modelo do Terraform, adicione este fragmento de código ao modelo com o seu ID de subscrição como o parent_id valor:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Para desativar o plano, defina o valor da pricingTier propriedade como Free e remova a subPlan propriedade .

Saiba mais sobre a referência AzAPI do modelo arm.

Modelo bicep

Para ativar Microsoft Defender para Armazenamento ao nível da subscrição com preços por transação com o Bicep, adicione o seguinte ao seu modelo bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Para desativar o plano, defina o valor da pricingTier propriedade como Free e remova a subPlan propriedade .

Saiba mais sobre a referência AzAPI do modelo bicep.

Modelo ARM

Para ativar Microsoft Defender para Armazenamento ao nível da subscrição com preços por transação através de um modelo do ARM, adicione este fragmento JSON à secção de recursos do modelo do ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Para desativar o plano, defina o valor da pricingTier propriedade como Free e remova a subPlan propriedade .

Saiba mais sobre a referência AzAPI do modelo arm.

PowerShell

Para ativar Microsoft Defender para Armazenamento ao nível da subscrição com preços por transação com o PowerShell:

1. Se ainda não o tiver, instale o módulo Azure Az PowerShell.

2. Utilize o Connect-AzAccount cmdlet para iniciar sessão na sua conta do Azure. Saiba mais sobre como iniciar sessão no Azure com Azure PowerShell.

3. Utilize estes comandos para registar a sua subscrição no Microsoft Defender do Fornecedor de Recursos da Cloud:

   Set-AzContext -Subscription <subscriptionId>
   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

   Substitua pelo <subscriptionId> seu ID de subscrição.

4. Ative Microsoft Defender de Armazenamento para a sua subscrição com o Set-AzSecurityPricing cmdlet :

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
   

Dica

Pode utilizar o GetAzSecurityPricing (Az_Security) para ver todos os planos do Defender para Cloud que estão ativados para a subscrição.

Para desativar o plano, defina o valor da -PricingTier propriedade como Free.

Saiba mais sobre a utilização do PowerShell com Microsoft Defender para a Cloud.

CLI do Azure

Para ativar Microsoft Defender para Armazenamento ao nível da subscrição com preços por transação com a CLI do Azure:

1. Se ainda não o tiver, instale a CLI do Azure.

2. Utilize o az login comando para iniciar sessão na sua conta do Azure. Saiba mais sobre como iniciar sessão no Azure com a CLI do Azure.

3. Utilize estes comandos para definir o ID e o nome da subscrição:

   az account set --subscription "<subscriptionId or name>"
   

   Substitua pelo <subscriptionId> seu ID de subscrição.

4. Ative Microsoft Defender para Armazenamento para a sua subscrição com o az security pricing create comando :

   az security pricing create -n StorageAccounts --tier "standard"
   

Dica

Pode utilizar o az security pricing show comando para ver todos os planos do Defender para Cloud que estão ativados para a subscrição.

Para desativar o plano, defina o valor da -tier propriedade como free.

Saiba mais sobre o az security pricing create comando .

API REST

Para ativar Microsoft Defender para Armazenamento ao nível da subscrição com preços por transação através do Microsoft Defender para a API REST da Cloud, crie um pedido PUT com este ponto final e corpo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Substitua pelo {subscriptionId} seu ID de subscrição.

Para desativar o plano, defina o valor da -pricingTier propriedade como Free e remova o subPlan parâmetro .

Saiba mais sobre a atualização dos planos do Defender com a API REST em HTTP, Java, Go e JavaScript.

Configurar preços por transação para uma conta de armazenamento

Pode configurar Microsoft Defender para Armazenamento com preços por transação nas suas contas de várias formas:

• Modelo ARM
• PowerShell
• CLI do Azure

Modelo ARM

Para ativar Microsoft Defender para Armazenamento para uma conta de armazenamento específica com preços por transação através de um modelo do ARM, utilize o modelo preparado do Azure.

Se quiser desativar o Defender para Armazenamento na conta:

1. Inicie sessão no portal do Azure.
2. Navegue até à sua conta de armazenamento.
3. Na secção Segurança + rede do menu Conta de armazenamento, selecione Microsoft Defender para a Cloud.
4. Selecione Desativar.

PowerShell

Para ativar Microsoft Defender para Armazenamento para uma conta de armazenamento específica com preços por transação com o PowerShell:

1. Se ainda não o tiver, instale o módulo do Azure Az PowerShell.

2. Utilize o cmdlet Connect-AzAccount para iniciar sessão na sua conta do Azure. Saiba mais sobre como iniciar sessão no Azure com Azure PowerShell.

3. Ative Microsoft Defender para Armazenamento para a conta de armazenamento pretendida com o Enable-AzSecurityAdvancedThreatProtection cmdlet:

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Substitua <subscriptionId>, <resource-group>e <storage-account> pelos valores do seu ambiente.

Se quiser desativar os preços por transação para uma conta de armazenamento específica, utilize o Disable-AzSecurityAdvancedThreatProtection cmdlet:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Saiba mais sobre a utilização do PowerShell com Microsoft Defender para a Cloud.

CLI do Azure

Para ativar Microsoft Defender para Armazenamento para uma conta de armazenamento específica com preços por transação com a CLI do Azure:

1. Se ainda não o tiver, instale a CLI do Azure.

2. Utilize o az login comando para iniciar sessão na sua conta do Azure. Saiba mais sobre como iniciar sessão no Azure com a CLI do Azure.

3. Ative Microsoft Defender para Armazenamento para a sua subscrição com o az security atp storage update comando:

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Dica

Pode utilizar o comando para ver se o az security atp storage show Defender para Armazenamento está ativado numa conta.

Para desativar Microsoft Defender para o Armazenamento da sua subscrição, utilize o az security atp storage update comando:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Saiba mais sobre o comando az security atp storage .

Excluir uma conta de armazenamento de uma subscrição protegida no plano por transação

Quando ativa Microsoft Defender para Armazenamento numa subscrição para os preços por transação, todas as contas de Armazenamento do Azure atuais e futuras nessa subscrição estão protegidas. Pode excluir contas de armazenamento específicas das proteções do Defender para Armazenamento com o portal do Azure, o PowerShell ou a CLI do Azure.

Recomendamos que ative o Defender para Armazenamento em toda a subscrição para proteger todas as contas de armazenamento existentes e futuras na mesma. No entanto, existem alguns casos em que as pessoas querem excluir contas de armazenamento específicas da proteção do Defender.

A exclusão de contas de armazenamento de subscrições protegidas requer que:

1. Adicione uma etiqueta para bloquear a herdação da ativação da subscrição.
2. Desative o Defender para Armazenamento (clássico).

Nota

Considere atualizar para o novo plano do Defender para Armazenamento se tiver contas de armazenamento que pretende excluir do plano clássico do Defender para Armazenamento. Não só poupará nos custos das contas de transação pesada, como também obterá acesso a funcionalidades de segurança melhoradas. Saiba mais sobre as vantagens de migrar para o novo plano.

As contas de armazenamento excluídas no defender para armazenamento clássico não são automaticamente excluídas quando migra para o novo plano.

Excluir uma proteção da conta de Armazenamento do Azure numa subscrição com preços por transação

Para excluir uma conta de Armazenamento do Azure do Microsoft Defender para Armazenamento (clássico), pode utilizar:

• PowerShell
• CLI do Azure

Utilizar o PowerShell para excluir uma conta de Armazenamento do Azure

1. Se não tiver o módulo do Azure Az PowerShell instalado, instale-o com as instruções da documentação do Azure PowerShell.

2. Com uma conta autenticada, ligue-se ao Azure com o Connect-AzAccount cmdlet, conforme explicado em Iniciar sessão com Azure PowerShell.

3. Defina a etiqueta AzDefenderPlanAutoEnable na conta de armazenamento pelo Update-AzTag cmdlet (substitua o ResourceId pelo ID de recurso da conta de armazenamento relevante):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Se ignorar esta fase, os recursos não marcados continuarão a receber atualizações diárias da política de ativação ao nível da subscrição. Essa política ativa novamente o Defender para Armazenamento na conta. Saiba mais sobre etiquetas em Utilizar etiquetas para organizar os recursos do Azure e a hierarquia de gestão.

4. Desative Microsoft Defender para Armazenamento para a conta pretendida na subscrição relevante com o Disable-AzSecurityAdvancedThreatProtection cmdlet (utilizando o mesmo ID de recurso):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Saiba mais sobre este cmdlet.

Utilizar a CLI do Azure para excluir uma conta de Armazenamento do Azure

1. Se não tiver a CLI do Azure instalada, instale-a com as instruções da documentação da CLI do Azure.

2. Com uma conta autenticada, ligue-se ao Azure com o login comando conforme explicado em Iniciar sessão com a CLI do Azure e introduza as credenciais da sua conta quando lhe for pedido:

   az login
   

3. Defina a etiqueta AzDefenderPlanAutoEnable na conta de armazenamento pelo tag update comando (substitua ResourceId pelo ID de recurso da conta de armazenamento relevante):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Se ignorar esta fase, os recursos não marcados continuarão a receber atualizações diárias da política de ativação ao nível da subscrição. Essa política ativa novamente o Defender para Armazenamento na conta.

   Dica

   Saiba mais sobre etiquetas na etiqueta az.

4. Desative Microsoft Defender para Armazenamento para a conta pretendida na subscrição relevante com o security atp storage comando (utilizando o mesmo ID de recurso):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Saiba mais sobre este comando.

Excluir uma conta de Armazenamento do Azure Databricks

Excluir uma área de trabalho ativa do Databricks

Microsoft Defender para Armazenamento podem excluir contas de armazenamento de áreas de trabalho do Databricks ativas específicas, quando o plano já está ativado numa subscrição.

Para excluir uma área de trabalho ativa do Databricks:

1. Inicie sessão no portal do Azure.

2. Navegue paraEtiquetas do Azure Databricks>Your Databricks workspace>.

3. No campo Nome, introduza AzDefenderPlanAutoEnable.

4. No campo Valor, introduza off e, em seguida, selecione Aplicar.

   

5. Navegue para Microsoft Defender paraas definições do Ambiente da>Your subscription Cloud>.

6. Desative o plano do Defender para Armazenamento e selecione Guardar.

   

7. Reativar o Defender para Armazenamento (clássico) com um dos métodos suportados (não pode ativar o Defender para Armazenamento clássico a partir do portal do Azure).

As etiquetas são herdadas pela conta de Armazenamento da área de trabalho do Databricks e impedem que o Defender para Armazenamento se ative.

Nota

As etiquetas não podem ser adicionadas diretamente à conta de Armazenamento do Databricks ou ao respetivo Grupo de Recursos Geridos.

Impedir a desativação automática numa nova conta de armazenamento da área de trabalho do Databricks

Quando cria uma nova área de trabalho do Databricks, tem a capacidade de adicionar uma etiqueta que impede que o seu Microsoft Defender para a conta de Armazenamento seja ativado automaticamente.

Para impedir a ativação automática numa nova conta de armazenamento da área de trabalho do Databricks:

1. Siga estes passos para criar uma nova área de trabalho do Azure Databricks.

2. No separador Etiquetas, introduza uma etiqueta com o nome AzDefenderPlanAutoEnable.

3. Introduza o valor off.

   

4. Continue a seguir as instruções para criar a sua nova área de trabalho do Azure Databricks.

O Microsoft Defender da conta de Armazenamento herda a etiqueta da área de trabalho do Databricks, o que impede o Defender para Armazenamento de se ativar automaticamente.

Passos seguintes

• Veja os alertas para o Armazenamento do Azure
• Saiba mais sobre as funcionalidades e benefícios do Defender para Armazenamento
• Veja as perguntas comuns sobre o Defender para Armazenamento clássico.