Udostępnij za pośrednictwem

Przejście do nowego planu usługi Defender for Storage

  • Artykuł

28 marca 2023 r. wprowadziliśmy nowy plan usługi Defender for Storage. Ten plan oferuje kilka korzyści, które nie są dostępne w usłudze Defender for Storage (wersja klasyczna) dla poszczególnych transakcji lub planów cenowych dla konta magazynu, takich jak:

  • Ulepszone monitorowanie aktywności: ciągła analiza płaszczyzny danych i działań płaszczyzny sterowania na potrzeby wykrywania zagrożeń.
  • Wykrywanie naruszonych lub nadużywanych tokenów SAS: ciągła analiza działań płaszczyzny danych i płaszczyzny sterowania na potrzeby wykrywania zagrożeń, w tym wykrywanie błędnie skonfigurowanych i nadmiernie permisyjnych sygnatur dostępu współdzielonego (tokenów SAS), które mogą zostać ujawnione lub naruszone.
  • Opcja włączenia wykrywania zagrożeń poufnych danych (dodatek): wykrywanie potencjalnych zdarzeń narażenia i podejrzanych działań dotyczących zasobów zawierających poufne dane, co powoduje eksfiltrację danych.
  • Opcja włączenia skanowania złośliwego oprogramowania (płatnego dodatku): wykrywanie złośliwych plików w czasie rzeczywistym we wszystkich typach plików.
  • Przewidywalne ceny na konto magazynu: bardziej przewidywalna i elastyczna struktura cenowa w celu uzyskania lepszej kontroli nad pokryciem.
  • Szczegółowe mechanizmy kontroli na poziomie zasobu: włącz na poziomie subskrypcji lub zasobu i wyklucz określone konta magazynu z chronionych subskrypcji, zapewniając bardziej szczegółową kontrolę nad pokryciem zabezpieczeń.

Nowe opłaty za plan cenowy oparte na liczbie chronionych kont magazynu, upraszczaniu obliczeń i umożliwia łatwe skalowanie w miarę zmian potrzeb. Aby uzyskać szczegółowe informacje o cenach, zobacz stronę cennika.

Aby skorzystać z tych funkcji, zalecamy przejście do nowego planu usługi Defender for Storage do 5 lutego 2025 r.

Uwaga

Po 5 lutego 2025 r. nie można już włączyć usługi Defender for Storage (wersja klasyczna), starszego planu cenowego dla transakcji w większości scenariuszy. Jedynym wyjątkiem są subskrypcje, które mają już włączone ceny za transakcję.

Ważne zmiany w usłudze Defender for Storage (wersja klasyczna)

Usługa Defender for Storage (wersja klasyczna) oferuje dwie struktury cenowe: na transakcję i konto magazynu. Od 5 lutego 2025 r. ten plan zostanie przeniesiony do usługi Defender for Storage z cennikiem poszczególnych kont magazynu.

Wpływ na plan usługi Defender for Storage (klasyczny) na transakcję

Klasyczny plan dla transakcji nie będzie już dostępny dla nowych kont magazynu i subskrypcji. Istniejące konta zachowają plan bez przyszłych funkcji i aktualizacji, dlatego zachęcamy do przejścia do nowego planu dla rozszerzonych funkcji i uproszczonych cen. Jeśli subskrypcja lub konto magazynu ma już włączony klasyczny plan dla transakcji, pozostanie aktywny, ale włączenie tego planu na poziomie zasobu będzie możliwe tylko dla tych istniejących subskrypcji.

Jeśli masz zasady, które wymuszają klasyczny plan dla transakcji bez określania podplanu dla poszczególnych transakcji, istniejące subskrypcje zachowają bieżący plan, podczas gdy nowe subskrypcje będą domyślne dla nowego planu. Jeśli jednak określisz podplan dla poszczególnych transakcji, nie powiedzie się to w przypadku nowych subskrypcji. Po przełączeniu się do nowego planu nie można już przywrócić planu usługi Defender for Storage (klasycznej) na transakcję lub na konto magazynu na poziomie subskrypcji lub konta magazynu.

Wpływ na plan konta magazynu w usłudze Defender for Storage (wersja klasyczna)

Klasyczny plan dla konta magazynu zostanie automatycznie przeniesiony do planu usługi Defender for Storage bez włączania domyślnie funkcji dodatków. Konta magazynu wcześniej wykluczone z chronionych subskrypcji w ramach planu transakcji nie pozostaną wykluczone po uaktualnieniu do nowego planu. Jeśli chcesz wyłączyć ochronę tych kont magazynu, możesz to zrobić w nowym planie.

Identyfikowanie aktywnych planów usługi Defender for Storage

Udostępniamy trzy opcje umożliwiające uzyskanie możliwości i konfiguracji planów usługi Defender for Storage:

  • Zapytanie KQL w Eksploratorze usługi Resource Graph: użyj tego zapytania KQL w Eksploratorze usługi Resource Graph witryny Azure Portal, aby wyświetlić, które plany są włączone na poziomie subskrypcji:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Szczegółowa analiza za pomocą skryptu programu PowerShell: aby uzyskać bardziej szczegółowe badanie, w tym informacje na poziomach subskrypcji i zasobów (z konfiguracją dodatków), uruchom ten skrypt programu PowerShell.

  • Skoroszyt dla szczegółów pokrycia na poziomie subskrypcji: użyj dostarczonego skoroszytu, aby zobaczyć, które plany są włączone na poziomie subskrypcji i ich szczegóły konfiguracji. Aby uzyskać dostęp do skoroszytu, zobacz Microsoft Defender for Storage — pulpit nawigacyjny szacowania cen.

Metody migracji

Aby włączyć i skonfigurować nowy plan usługi Microsoft Defender for Storage, masz kilka opcji:

  • Wbudowane zasady platformy Azure (zalecane): stosowanie wbudowanych zasad w celu równomiernego zabezpieczenia wszystkich istniejących i przyszłych kont magazynu na dużą skalę w określonym zakresie, takich jak grupy zarządzania.
  • Szablony infrastruktury jako kodu (IaC): użyj szablonów programu Terraform, Bicep lub usługi Azure Resource Manager na potrzeby zautomatyzowanego wdrażania i konfiguracji.
  • Azure Portal: przeprowadź migrację do nowego planu za pośrednictwem witryny Azure Portal.
    1. Przejdź do obszaru Ustawienia środowiska w Defender dla Chmury lub okienku Defender dla Chmury w jednym z kont magazynu.
    2. W obszarze Magazyn wybierz pozycję Dostępny nowy plan.
    3. W okienku Uaktualnianie planu usługi Defender for Storage wybierz opcje konfiguracji, a następnie wybierz pozycję Uaktualnij subskrypcję.
  • Interfejs API REST: użyj interfejsu API REST, aby programowo włączyć nowy plan.

Identyfikowanie aktywnych zasad

Aby włączyć nowy plan, pamiętaj, aby wyłączyć stare zasady usługi Defender for Storage:

  • "Konfigurowanie usługi Azure Defender for Storage do włączenia"
  • "Usługa Azure Defender for Storage powinna być włączona"
  • "Konfigurowanie usługi Microsoft Defender for Storage do włączenia (plan dla konta magazynu)"
  • "Konfigurowanie usługi Microsoft Defender for Storage (klasycznej) do włączenia"
  • "Wdrażanie usługi Defender for Storage (klasycznej) na kontach magazynu"

Aby zidentyfikować aktywne zasady, można użyć następujących metod:

Eksplorator usługi Azure Resource Graph

Aby zidentyfikować aktywne zasady w subskrypcji przy użyciu Eksploratora usługi Azure Resource Graph, uruchom następujące zapytanie, które zawiera stare zasady usługi Defender for Storage. Jeśli masz zasady niestandardowe, zmodyfikuj odpowiednio zapytanie:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Aby zidentyfikować aktywne zasady w subskrypcji przy użyciu programu PowerShell, uruchom polecenie:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Następny krok

W tym artykule przedstawiono informacje o migracji do nowego planu usługi Microsoft Defender for Storage.

Włączanie usługi Defender for Storage