Přechod na nový plán Defenderu pro úložiště
28. března 2023 jsme představili nový plán Defenderu pro úložiště. Tento plán nabízí několik výhod, které nejsou v programu Defender for Storage (klasické) pro jednotlivé transakce nebo cenové plány účtu úložiště dostupné, například:
- Rozšířené monitorování aktivit: Průběžná analýza aktivit roviny dat a řídicí roviny pro detekci hrozeb.
- Detekce ohrožených nebo zneužíných tokenů SAS: Průběžná analýza aktivit roviny dat a řídicí roviny pro detekci hrozeb, včetně detekce chybně nakonfigurovaných a nadměrně přístupových podpisů sdílených přístupových podpisů (tokenů SAS), které mohou být unikly nebo ohroženy.
- Možnost povolit detekci citlivých hrozeb dat (doplněk):: Detekce potenciálních událostí expozice a podezřelých aktivit u prostředků obsahujících citlivá data, což vede k exfiltraci dat.
- Možnost povolit kontrolu malwaru (placený doplněk):: Detekce škodlivých souborů v reálném čase ve všech typech souborů.
- Předvídatelné a cenové ceny jednotlivých účtů úložiště: Předvídatelnější a flexibilnější cenová struktura pro lepší kontrolu nad pokrytím.
- Podrobné ovládací prvky na úrovni prostředku: Povolte na úrovni předplatného nebo prostředku a vylučte konkrétní účty úložiště z chráněných předplatných a poskytují podrobnější kontrolu nad pokrytím zabezpečení.
Nové poplatky za cenový plán vycházejí z počtu účtů úložiště, které chráníte, zjednodušují výpočty a umožňují snadné škálování podle vašich potřeb. Podrobné informace o cenách najdete na stránce s cenami.
Pokud chcete tyto funkce využít, doporučujeme přejít do nového plánu Defenderu pro úložiště do 5. února 2025.
Poznámka:
Po 5. únoru 2025 už ve většině scénářů nemůžete povolit Defender for Storage (classic), starší verzi cenového plánu pro transakce. Jedinou výjimkou jsou předplatná, která už mají povolené ceny za jednotlivé transakce.
Důležité změny v programu Defender for Storage (classic)
Defender for Storage (Classic) nabízí dvě cenové struktury: jednotlivé transakce a účet úložiště. Od 5. února 2025 se tento plán převede na Defender for Storage s cenami jednotlivých účtů úložiště.
Dopad na plán defenderu pro úložiště (classic) pro jednotlivé transakce
Klasický plán pro transakce už nebude k dispozici pro nové účty úložiště a předplatná. Stávající účty si plán zachovají bez budoucích funkcí a aktualizací, takže doporučujeme přejít na nový plán pro vylepšené funkce a zjednodušené ceny. Pokud už vaše předplatné nebo účet úložiště má povolený klasický plán pro jednotlivé transakce, zůstane aktivní, ale povolení tohoto plánu na úrovni prostředků bude možné pouze pro tato stávající předplatná.
Pokud máte zásady, které vynucují klasický plán pro jednotlivé transakce bez zadání podplánu pro jednotlivé transakce, stávající předplatná si zachovají svůj aktuální plán, zatímco nová předplatná se ve výchozím nastavení nastaví na nový plán. Pokud však zadáte podplán pro jednotlivé transakce, u nových předplatných se nezdaří. Jakmile přejdete na nový plán, nebudete se už moct vrátit k programu Defender for Storage (classic) pro jednotlivé transakce nebo plány účtu úložiště na úrovni předplatného nebo účtu úložiště.
Identifikace aktivních plánů služby Defender for Storage
Nabízíme tři možnosti, jak zjistit povolení a konfiguraci plánů služby Defender for Storage:
Dotaz KQL v Průzkumníku služby Resource Graph: Pomocí tohoto dotazu KQL v Průzkumníku prostředků webu Azure Portal můžete zobrazit plány povolené na úrovni předplatného:
// DF-Storage Plans securityresources | where type == "microsoft.security/pricings" | where name == "StorageAccounts" | extend pricingTier = properties.pricingTier | extend DefenderForStoragePlan = properties.subPlan | extend IsInTrialPeriod = properties.freeTrialRemainingTime | extend MalwareScanningEnabled = properties.extensions[0].isEnabled | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"] | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), DefenderForStoragePlan = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled), IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes") | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled
Podrobná analýza pomocí skriptu PowerShellu: Podrobnější šetření, včetně informací na úrovni předplatného i prostředků (s konfigurací doplňků), spusťte tento skript PowerShellu.
Sešit pro podrobnosti pokrytí na úrovni předplatného: Pomocí poskytnutého sešitu zjistěte, které plány jsou povolené na úrovni předplatného a jejich podrobnosti o konfiguraci. Pokud chcete získat přístup k sešitu, přečtěte si téma Microsoft Defender for Storage – Řídicí panel odhadu cen.
Metody migrace
Pokud chcete povolit a nakonfigurovat nový plán Microsoft Defenderu pro úložiště, máte několik možností:
- Předdefinované zásady Azure (doporučeno): Použijte předdefinované zásady pro jednotné zabezpečení všech stávajících a budoucích účtů úložiště ve velkém měřítku v rámci definovaného oboru, jako jsou skupiny pro správu.
- Šablony infrastruktury jako kódu (IaC): Pro automatizované nasazení a konfiguraci použijte Terraform, Bicep nebo šablony Azure Resource Manageru .
- Azure Portal: Migrace na nový plán prostřednictvím webu Azure Portal
- V některém z účtů úložiště přejděte do nastavení prostředí v programu Defender for Cloud nebo v podokně Defender for Cloud.
- V části Úložiště vyberte Nový plán k dispozici.
- V podokně plánu Upgrade Defenderu pro úložiště zvolte možnosti konfigurace a pak vyberte Upgradovat předplatné.
- REST API: K programovému povolení nového plánu použijte rozhraní REST API .
Identifikace aktivních zásad
Pokud chcete nový plán povolit, nezapomeňte zakázat staré zásady Defenderu pro úložiště:
- Konfigurace Azure Defenderu pro službu Storage, aby byla povolená
- Azure Defender for Storage by měl být povolený.
- Konfigurace Microsoft Defenderu pro úložiště tak, aby byla povolená (plán účtu úložiště)
- Konfigurace Microsoft Defenderu pro úložiště (Classic) pro povolení
- Nasazení defenderu pro úložiště (Classic) v účtech úložiště
K identifikaci aktivních zásad můžete použít následující metody:
Průzkumník služby Azure Resource Graph
Pokud chcete identifikovat aktivní zásady ve vašem předplatném pomocí Azure Resource Graph Exploreru, spusťte následující dotaz, který obsahuje staré zásady Defenderu pro úložiště. Pokud máte vlastní zásady, upravte dotaz odpovídajícím způsobem:
policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")
PowerShell
Pokud chcete identifikovat aktivní zásady ve vašem předplatném pomocí PowerShellu, spusťte:
Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"
Další krok
V tomto článku jste se dozvěděli o migraci na nový plán služby Microsoft Defender for Storage.