Implementación de Microsoft Defender para Storage
Microsoft Defender para Storage es una solución nativa de Azure que ofrece una capa avanzada de inteligencia para la detección y mitigación de amenazas en cuentas de almacenamiento, con tecnología de Inteligencia sobre amenazas de Microsoft, tecnologías antimalware de Microsoft Defender y detección de datos confidenciales. Con la protección para los servicios de Azure Blob Storage, Azure Files y Azure Data Lake Storage, se proporciona un conjunto de alertas completo, un análisis de malware casi en tiempo real (complemento) y la detección de amenazas de datos confidenciales (sin costo adicional), lo que permite la detección rápida, la evaluación de prioridades y la respuesta a posibles amenazas de seguridad con información contextual. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados.
Con Microsoft Defender para Storage, las organizaciones pueden personalizar su protección y aplicar directivas de seguridad coherentes al habilitarlo en suscripciones y cuentas de almacenamiento con control y flexibilidad granulares.
Sugerencia
Si actualmente usa Microsoft Defender para Storage clásico, considere la posibilidad de migrar al nuevo plan, que ofrece varias ventajas sobre el plan clásico.
Disponibilidad
Aspecto | Detalles |
---|---|
Estado de la versión: | Disponibilidad general (GA) |
Disponibilidad de características: | - Supervisión de actividades (alertas de seguridad): disponibilidad general (GA) - Análisis de malware – Disponibilidad general (GA) - Detección de amenazas de datos confidenciales (detección de datos confidenciales): versión preliminar Para obtener más información, visite la página de precios. |
Roles y permisos necesarios: | Para el examen de malware y la detección de amenazas de datos confidenciales en los niveles de suscripción y cuenta de almacenamiento, necesita roles de propietario (propietario de la suscripción o propietario de la cuenta de almacenamiento) o roles específicos con las acciones de datos correspondientes. Para habilitar la supervisión de actividad, necesita permisos de "Administración de seguridad". Obtenga más información sobre los permisos necesarios. |
Nubes: | Nubes comerciales de Azure* Azure Government (compatibilidad con la supervisión de actividades solo en el plan clásico) Azure China 21Vianet Cuentas de AWS conectadas |
*La zona de Azure DNS no se admite para la detección de malware y la detección de amenazas de datos confidenciales.
Requisitos previos para el examen de malware
Para habilitar y configurar el examen de malware, debe tener roles de propietario (como propietario de la suscripción o propietario de la cuenta de almacenamiento) o roles específicos con las acciones de datos necesarias. Obtenga más información sobre los permisos necesarios.
Configuración y ajustes de Microsoft Defender para Storage
Para habilitar y configurar Microsoft Defender para Storage y garantizar la máxima protección y optimización de costos, están disponibles las siguientes opciones de configuración:
- Habilite o deshabilite Microsoft Defender para Storage en los niveles de suscripción y cuenta de almacenamiento.
- Habilite o deshabilite el examen de malware o las características configurables de detección de amenazas de datos confidenciales.
- Establezca un límite mensual ("límite") en el examen de malware por cuenta de almacenamiento al mes para controlar los costos (el valor predeterminado es de 5000 GB).
- Configure métodos para establecer la respuesta a los resultados del examen de malware.
- Configure métodos para guardar el registro de resultados de análisis de malware.
Sugerencia
La característica Análisis de malware tiene configuraciones avanzadas para ayudar a los equipos de seguridad a admitir diferentes flujos de trabajo y requisitos.
- Invalide la configuración de nivel de suscripción para configurar cuentas de almacenamiento específicas con configuraciones personalizadas que difieren de las opciones configuradas en el nivel de suscripción.
Hay varias maneras de habilitar y configurar Defender para Storage: mediante la directiva integrada de Azure (el método recomendado), mediante programación con plantillas de infraestructura como código, incluidas las plantillas de Terraform, Bicep y ARM, mediante Azure Portal, con PowerShell o directamente con la API REST.
Se recomienda habilitar Defender para Storage a través de una directiva porque facilita la habilitación a gran escala y garantiza que se aplique una directiva de seguridad coherente en todas las cuentas de almacenamiento existentes y futuras dentro del ámbito definido (como grupos de administración completos). Esto mantiene las cuentas de almacenamiento protegidas con Defender para Storage, según la configuración definida de la organización.
Nota:
Para evitar la migración al plan clásico heredado, asegúrese de deshabilitar las directivas antiguas de Defender para Storage. Busque y deshabilite las directivas denominadas Configure Azure Defender for Storage to be enabled
, Azure Defender for Storage should be enabled
o Configure Microsoft Defender for Storage to be enabled (per-storage account plan)
o deniegue las que impidan la deshabilitación del plan clásico.