共用方式為

移至新的適用於儲存體的 Defender 方案

  • 發行項

2023 年 3 月 28 日,我們推出了新的適用於儲存體的 Defender 方案。 此方案提供適用於儲存體的 Defender (傳統) 每筆交易或每一儲存體帳戶定價方案中無法使用的數個優點,例如:

  • 增強的活動監視:持續分析資料平面和控制平面活動以進行威脅偵測。
  • 偵測遭入侵或濫用的 SAS 權杖:持續分析資料平面和控制平面活動以進行威脅偵測,包括偵測設定錯誤且過度寬鬆的共用存取簽章 (SAS 權杖) 可能會洩漏或遭入侵。
  • 啟用敏感性資料威脅偵測 (附加元件) 的選項:偵測包含敏感性資料導致資料外流之資源的潛在暴露事件和可疑活動。
  • 啟用惡意代碼掃描的選項 (付費附加元件):在所有檔案類型上即時偵測惡意檔案。
  • 可預測的每個儲存體帳戶定價:更可預見且靈活的定價結構,以更好地控制涵蓋範圍。
  • 資源層級的精細控制:在訂用帳戶或資源級別啟用,並從受保護的訂用帳戶中排除特定儲存體帳戶,對安全性涵蓋範圍提供更精細的控制。

新的定價方案根據您保護的儲存體帳戶數量收費,簡化了計算並允許根據您的需求變更輕鬆調整。 如需詳細定價資訊,請參閱定價頁面

若要利用這些功能,建議您在 2025 年 2 月 5 日前移至新的適用於儲存體的 Defender 方案。

注意

在 2025 年 2 月 5 日之後,在大部分案例下,您無法再啟用適用於儲存體的 Defender (傳統)、舊版每筆交易定價方案。 唯一的例外狀況是已啟用每筆交易定價的訂用帳戶。

適用於儲存體的 Defender (傳統) 中的重要變更

適用於儲存體的 Defender (傳統) 提供兩種定價結構:每筆交易和每一個儲存體帳戶。 從 2025 年 2 月 5 日開始,此方案將會轉換為具有個別儲存體帳戶定價的適用於儲存體的 Defender。

對適用於儲存體的 Defender (傳統) 每筆交易方案的影響

新的儲存體帳戶和訂用帳戶將不再提供傳統每筆交易方案。 現有的帳戶將保留方案,不需要未來的功能和更新,因此建議您移至增強功能和簡易定價的新方案。 如果您的訂用帳戶或儲存體帳戶已啟用傳統每筆交易方案,它將會保持作用,但只有在資源層級啟用此方案,這些現有的訂用帳戶才能使用。

如果您有原則會強制執行傳統每筆交易方案而不指定每筆交易子方案,則現有的訂用帳戶會保留其目前的方案,而新的訂用帳戶會預設為新的方案。 不過,如果您指定每筆交易子方案,新訂用帳戶將會失敗。 切換至新方案之後,就無法再還原至訂用帳戶或儲存體帳戶層級的適用於儲存體的 Defender (傳統) 每筆交易或每個儲存體帳戶方案。

對適用於儲存體的 Defender (傳統) 每個記憶體帳戶方案的影響

傳統每個儲存體帳戶方案會自動轉換為適用於儲存體的 Defender 方案,且預設不會啟用附加元件功能。 先前已從每筆交易方案中的受保護訂用帳戶中排除的儲存體帳戶,在升級到新方案時不再被排除。 如果您想要停用這些儲存體帳戶的保護,您可以在新方案中如此執行。

識別作用中的適用於儲存體的 Defender 方案

我們提供三個選項來找出適用於儲存體的 Defender 方案啟用和設定:

  • Resource Graph 總管中的 KQL 查詢:在 Azure 入口網站的 Resource Graph Explorer 中使用此 KQL 查詢,以檢視訂用帳戶層級已啟用的方案:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • 使用 PowerShell 指令碼進行詳細的分析: 如需更詳細的調查,包括訂用帳戶和資源層級的資訊 (以及附加元件組態),請執行此 PowerShell 指令碼

  • 訂用帳戶層級活頁簿的涵蓋範圍詳細資料:使用提供的活頁簿來查看訂用帳戶層級啟用的方案及其組態詳細資料。 若要存取活頁簿,請參閱適用於儲存體的 Microsoft Defender - 價格預估儀表板

移轉方法

若要啟用並設定新的適用於儲存體的 Microsoft Defender 方案,您有數個選項:

  • Azure 內建原則 (建議):套用內建原則,以在定義的範圍內大規模保護所有現有和未來的儲存體帳戶,例如管理群組。
  • 基礎結構即程式碼 (IaC) 範本:使用 TerraformBicepAzure Resource Manager 範本進行自動化部署和設定。
  • Azure 入口網站:透過 Azure 入口網站移轉至新方案
    1. 瀏覽至適用於雲端的 Defender 中的 [環境設定] 或其中一個儲存體帳戶中的 [適用於雲端的 Defender] 窗格。
    2. 在 [儲存體] 底下,選取 [可用的新方案]
    3. 在 [適用於儲存體的升級 Defender 方案] 窗格中,選擇您的組態選項,然後選取 [升級訂用帳戶]
  • REST API:使用 REST API 以程式設計方式啟用新的方案。

識別作用中原則

若要啟用新方案,請務必停用舊的適用於儲存體的 Defender 原則:

  • 「設定要啟用的適用於儲存體的 Azure Defender」
  • 「應啟用適用於儲存體的 Azure Defender」
  • 「設定要啟用的適用於儲存體的 Microsoft Defender (每個儲存體帳戶方案)」
  • 「設定要啟用的適用於儲存體的 Microsoft Defender (傳統)」
  • 「在儲存體帳戶上部署適用於儲存體的 Defender (傳統)」

您可以使用以下方法識別活動原則:

Azure Resource Graph 總管

若要使用 Azure Resource Graph Explorer 識別訂用帳戶中的作用中原則,請執行下列查詢,其中包含舊的適用於儲存體的 Defender 原則。 如果您有自訂原則,請據以修改查詢:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

若要使用 PowerShell 識別訂用帳戶中的作用中原則,請執行:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

後續步驟

在本文中,您已了解如何移轉至新的適用於儲存體的 Microsoft Defender 方案。

啟用適用於儲存體的 Defender