Compartir a través de

Migración al nuevo plan de Defender para Storage

  • Artículo

El 8 de marzo de 2023 lanzamos el nuevo plan de Defender para Storage. Este plan ofrece varias ventajas que no están disponibles en los planes de precios de la cuenta de Defender para Storage (clásico) por transacción o por cuenta de almacenamiento, como:

  • Supervisión mejorada de actividades: análisis continuo de actividades del plano de datos y del plano de control para la detección de amenazas.
  • Detección de tokens de SAS comprometidos o utilizados indebidamente: análisis continuo de actividades del plano de datos y del plano de control para la detección de amenazas, incluida la detección de firmas de acceso compartido mal configuradas y excesivamente permisivas (tokens de SAS) que se podrían filtrar o poner en peligro.
  • Opción para habilitar la detección de amenazas de datos confidenciales (complemento): detección de posibles eventos de exposición y actividades sospechosas en recursos que contienen datos confidenciales, lo que da lugar a la filtración de datos.
  • Opción para habilitar el análisis de malware (complemento de pago): detección en tiempo real de archivos malintencionados en todos los tipos de archivos.
  • Precios predecibles y por cuenta de almacenamiento: una estructura de precios más previsible y flexible para un mejor control sobre la cobertura.
  • Controles granulares en el nivel de recurso: los puede habilitar en el nivel de suscripción o recurso y también puede excluir cuentas de almacenamiento específicas de suscripciones protegidas, lo que proporciona un control más detallado sobre la cobertura de seguridad.

Con el nuevo plan de precios se cobra en función del número de cuentas de almacenamiento que protege, lo que simplifica los cálculos de costes y permite escalar fácilmente a medida que cambian sus necesidades. Para obtener información detallada sobre los precios, consulte la página de precios.

Para aprovechar estas características, se recomienda pasar al nuevo plan de Defender para Storage el 5 de febrero de 2025.

Nota:

Después del 5 de febrero de 2025, ya no podrá habilitar Defender para Storage (clásico), el plan de precios heredado por transacción, en la mayoría de los escenarios. La única excepción es para las suscripciones que ya tienen habilitados los precios por transacción.

Cambios importantes en Defender para Storage (clásico)

Defender para Storage (clásico) ofrece dos estructuras de precios: por transacción y por cuenta de almacenamiento. A partir del 5 de febrero de 2025, este plan pasará a Defender para Storage, con precios por cuenta de almacenamiento.

Impacto en el plan por transacción de Defender para Storage (clásico)

El plan clásico por transacción ya no estará disponible para las nuevas cuentas de almacenamiento y suscripciones. Las cuentas existentes conservarán el plan sin futuras características ni actualizaciones, por lo que le recomendamos que pase al nuevo plan para beneficiarse de las características mejoradas y los precios simplificados. Si la suscripción o la cuenta de almacenamiento ya tiene habilitado el plan clásico por transacción, permanecerá activo, pero habilitar este plan en el nivel de recurso solo será posible para estas suscripciones existentes.

Si tiene directivas que aplican el plan clásico por transacción sin especificar el subplan por transacción, las suscripciones existentes conservarán su plan actual, mientras que las nuevas suscripciones tendrán como valor predeterminado el nuevo plan. Sin embargo, si especifica el subplan por transacción, se producirá un error en las nuevas suscripciones. Una vez que cambie al nuevo plan, ya no podrá revertir a los planes de cuenta por transacción o por cuenta de almacenamiento de Defender para Storage (clásico) en el nivel de suscripción o cuenta de almacenamiento.

Impacto en el plan de cuenta por almacenamiento de Defender para Storage (clásico)

El plan clásico por cuenta de almacenamiento pasará automáticamente al plan de Defender para Storage sin habilitar las características del complemento de forma predeterminada. Las cuentas de almacenamiento excluidas previamente de las suscripciones protegidas del plan por transacción no permanecerán excluidas al actualizar al nuevo plan. Si desea deshabilitar la protección en estas cuentas de almacenamiento, puede hacerlo en el nuevo plan.

Identificación de los planes activos de Defender para Storage

Proporcionamos tres opciones para conocer la habilitación y configuración de los planes de Defender para Storage:

  • Consulta KQL en el Explorador de Resource Graph: use esta consulta KQL en el Explorador de Resource Graph de Azure Portal para ver qué planes están habilitados en el nivel de suscripción:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Análisis detallado con script de PowerShell: para una investigación más detallada, incluida la información en los niveles de suscripción y recursos (con configuración de complementos), ejecute este script de PowerShell.

  • Libro para detalles de cobertura en el nivel de suscripción: use el libro proporcionado para ver qué planes están habilitados en el nivel de suscripción y sus detalles de configuración. Para acceder al libro, consulte Microsoft Defender para Storage - Panel de estimación de precios.

Métodos de migración

Para habilitar y configurar el nuevo plan de Microsoft Defender para Storage, tiene varias opciones:

  • Directiva integrada de Azure (recomendada): aplique directivas integradas para proteger uniformemente todas las cuentas de almacenamiento existentes y futuras a escala dentro de un ámbito definido, como los grupos de administración.
  • Plantillas de infraestructura como código (IaC): use plantillas de Terraform, Bicep o Azure Resource Manager para la implementación y configuración automatizadas.
  • Azure Portal: migre al nuevo plan a través de Azure Portal.
    1. Vaya a Configuración del entorno en Defender for Cloud o en el panel Defender for Cloud en una de las cuentas de almacenamiento.
    2. En Almacenamiento, seleccione Nuevo plan disponible.
    3. En el panel Actualizar plan de Defender para Storage, elija las opciones de configuración y, a continuación, seleccione Actualizar suscripción.
  • API REST: use la API REST para habilitar el nuevo plan mediante programación.

Identificación de directivas activas

Para habilitar el nuevo plan, asegúrese de deshabilitar las directivas antiguas de Defender para Storage:

  • "Configuración para habilitar Azure Defender para Storage"
  • "Se debe habilitar Azure Defender para Storage"
  • "Configuración de Microsoft Defender para Storage para que esté habilitado (plan por cuenta de almacenamiento)"
  • "Configuración de Microsoft Defender para Storage (Clásico) para que esté habilitado"
  • "Implementación de Defender para Storage (Clásico) en cuentas de almacenamiento"

Puede utilizar cualquiera de los métodos siguientes para identificar las directivas activas:

Azure Resource Graph Explorer

Para identificar las directivas activas de la suscripción mediante el Explorador de Azure Resource Graph, ejecute la consulta siguiente que incluye las directivas antiguas de Defender para Storage. Si tiene directivas personalizadas, modifique la consulta como corresponda:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Para identificar directivas activas en la suscripción mediante PowerShell, ejecute:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Paso siguiente

En este artículo, ha aprendido a migrar al nuevo plan de Microsoft Defender para Storage.

Habilitación de Defender para Storage