Implantar o Microsoft Defender para Armazenamento
O Microsoft Defender for Storage é uma solução nativa do Azure. Ele oferece uma camada avançada de inteligência para detectar e mitigar ameaças em contas de armazenamento. Ele usa as tecnologias Microsoft Threat Intelligence, Microsoft Defender Antimalware e Sensitive Data Discovery. Ele protege os serviços do Armazenamento de Blobs do Azure, do Arquivos do Azure e do Azure Data Lake Storage. O serviço fornece um conjunto de alertas abrangente, verificação de malware quase em tempo real (como um complemento) e detecção de ameaças a dados confidenciais sem custo extra. Isso permite que você detecte, avalie e responda rapidamente a potenciais ameaças de segurança com informações detalhadas. Ele ajuda a evitar grandes impactos em seus dados e carga de trabalho, incluindo uploads de arquivos maliciosos, exfiltração de dados confidenciais e corrupção de dados.
Com o Microsoft Defender para Armazenamento, as organizações podem personalizar sua proteção e impor políticas de segurança consistentes habilitando-as em assinaturas e contas de armazenamento com controle granular e flexibilidade.
Dica
Se você estiver usando o Microsoft Defender para Armazenamento clássico, considere migrar para o novo plano, que oferece vários benefícios em relação ao plano clássico.
Confira a Página de preços do Defender para Nuvem para saber mais sobre preços e disponibilidade regional.
Pré-requisitos
Antes de habilitar o Microsoft Defender para Armazenamento, verifique se você tem as permissões e os pré-requisitos necessários. Para obter mais informações, veja Pré-requisitos para o Microsoft Defender for Storage.
Configurar o Microsoft Defender para Armazenamento
Para habilitar e configurar Microsoft Defender para Armazenamento para garantir a máxima proteção e otimização de custo, as seguintes opções de configuração estão disponíveis:
- Habilite/desabilite o Microsoft Defender para Armazenamento nos níveis de assinatura e conta de armazenamento.
- Habilite/desabilite os recursos configuráveis de verificação de malware ou detecção de ameaças a dados confidenciais.
- Defina um limite mensal ("limite") na verificação de malware por conta de armazenamento por mês para controlar custos (o valor padrão é 5.000 GB).
- Defina métodos para configurar a resposta aos resultados da verificação de malware.
- Defina métodos para salvar resultados de verificação de malware e registro em log.
Dica
O recurso de verificação de malware tem configurações avançadas para ajudar as equipes de segurança a dar suporte a diferentes fluxos de trabalho e requisitos.
- Substitua as configurações de nível de assinatura para definir contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura.
Há várias maneiras de habilitar e configurar o Defender para Armazenamento:
- Usando a política interna do Azure (o método recomendado),
- Usando programaticamente modelos de infraestrutura como código, incluindo
- Usando o Portal do Azure
- Usando o PowerShell
- Diretamente com o REST API.
Recomendamos habilitar o Defender para Armazenamento por meio de uma política. Esse método facilita a habilitação em escala e garante que uma política de segurança consistente seja aplicada em todas as contas de armazenamento existentes e futuras dentro do escopo definido, como grupos de gerenciamento inteiros. Isso mantém as contas de armazenamento protegidas pelo Defender para Armazenamento de acordo com a configuração definida pela organização.
Observação
Para evitar a migração de volta para o plano clássico herdado, desabilite as políticas antigas do Defender para Armazenamento. Procure e desabilite as políticas chamadas de Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabled ou Configure Microsoft Defender for Storage to be enabled (per-storage account plan), ou as políticas de negação que impeçam a desabilitação do plano clássico.