Implantar o Microsoft Defender para armazenamento
O Microsoft Defender for Storage é uma solução nativa do Azure que oferece uma camada avançada de inteligência para deteção e mitigação de ameaças em contas de armazenamento, com tecnologia Microsoft Threat Intelligence, tecnologias Microsoft Defender Antimalware e Sensitive Data Discovery. Com proteção para o Armazenamento de Blobs do Azure, Arquivos do Azure e serviços de Armazenamento do Azure Data Lake, ele fornece um pacote de alertas abrangente, verificação de malware quase em tempo real (complemento) e deteção de ameaças de dados confidenciais (sem custo extra), permitindo deteção, triagem e resposta rápidas a possíveis ameaças à segurança com informações contextuais. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados.
Com o Microsoft Defender for Storage, as organizações podem personalizar sua proteção e aplicar políticas de segurança consistentes, habilitando-a em assinaturas e contas de armazenamento com controle granular e flexibilidade.
Gorjeta
Se você estiver usando o Microsoft Defender for Storage classic, considere migrar para o novo plano, que oferece vários benefícios em relação ao plano clássico.
Disponibilidade
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade Geral (GA) |
| Disponibilidade de recursos: | - Monitorização de atividades (alertas de segurança) – Disponibilidade Geral (GA) - Verificação de malware – Disponibilidade Geral (GA) - Deteção de ameaças de dados sensíveis (Sensitive Data Discovery) – Pré-visualização Visite a página de preços para saber mais. |
| Funções e permissões necessárias: | Para verificação de malware e deteção de ameaças de dados confidenciais nos níveis de conta de assinatura e armazenamento, você precisa de funções de Proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para ativar o Monitoramento de Atividades, você precisa de permissões de 'Administrador de Segurança'. Leia mais sobre as permissões necessárias. |
| Nuvens: |  Nuvens comerciais do Azure* Azure Government (apenas suporte de monitoramento de atividades no plano clássico) Azure China 21Vianet Contas da AWS conectadas |
*A Zona DNS do Azure não tem suporte para verificação de malware e deteção de ameaças de dados confidenciais.
Pré-requisitos para verificação de malware
Para habilitar e configurar a verificação de malware, você deve ter funções de Proprietário (como Proprietário da Assinatura ou Proprietário da Conta de Armazenamento) ou funções específicas com as ações de dados necessárias. Saiba mais sobre as permissões necessárias.
Instalar e configurar o Microsoft Defender para armazenamento
Para habilitar e configurar o Microsoft Defender for Storage e garantir a máxima proteção e otimização de custos, as seguintes opções de configuração estão disponíveis:
- Habilite/desabilite o Microsoft Defender for Storage nos níveis de assinatura e conta de armazenamento.
- Ativar/desativar a verificação de malware ou os recursos configuráveis de deteção de ameaças de dados confidenciais.
- Defina um limite mensal ("limite") na verificação de malware por conta de armazenamento por mês para controlar os custos (o valor padrão é 5.000 GB).
- Configure métodos para configurar a resposta aos resultados da verificação de malware.
- Configure métodos para salvar o registro de resultados da verificação de malware.
Gorjeta
O recurso de verificação de malware tem configurações avançadas para ajudar as equipes de segurança a suportar diferentes fluxos de trabalho e requisitos.
- Substitua as configurações no nível da assinatura para configurar contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura.
Há várias maneiras de habilitar e configurar o Defender for Storage: usando a política interna do Azure (o método recomendado), usando programaticamente a Infraestrutura como modelos de código, incluindo modelos Terraform, Bíceps e ARM, usando o portal do Azure ou diretamente com a API REST.
A habilitação do Defender for Storage por meio de uma política é recomendada porque facilita a habilitação em escala e garante que uma política de segurança consistente seja aplicada em todas as contas de armazenamento existentes e futuras dentro do escopo definido (como grupos de gerenciamento inteiros). Isso mantém as contas de armazenamento protegidas com o Defender for Storage de acordo com a configuração definida pela organização.
Nota
Para evitar a migração de volta para o plano clássico herdado, certifique-se de desativar as políticas antigas do Defender for Storage. Procure e desative políticas denominadas , Azure Defender for Storage should be enabledou Configure Microsoft Defender for Storage to be enabled (per-storage account plan) negue políticas que Configure Azure Defender for Storage to be enabledimpeçam a desativação do plano clássico.
Próximos passos
- Saiba como habilitar e configurar o plano do Defender for Storage em escala com uma política interna do Azure.