Implantar o Microsoft Defender para Armazenamento
O Microsoft Defender para Armazenamento é uma solução nativa do Azure que oferece uma camada avançada de inteligência para detecção e mitigação de ameaças em contas de armazenamento, alimentada pela Inteligência contra Ameaças da Microsoft, tecnologias Antimalware do Microsoft Defender e Descoberta de Dados Confidenciais. Com proteção para os serviços de Armazenamento de Blobs do Azure, Arquivos do Azure e Azure Data Lake Storage, ele fornece um conjunto abrangente de alertas, verificação de malware quase em tempo real (complemento) e detecção de ameaças a dados confidenciais (sem custo adicional), permitindo rápida detecção, triagem e resposta a possíveis ameaças à segurança com informações contextuais. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos.
Com o Microsoft Defender para Armazenamento, as organizações podem personalizar sua proteção e impor políticas de segurança consistentes habilitando-as em assinaturas e contas de armazenamento com controle granular e flexibilidade.
Dica
Se você já tiver o Defender para Armazenamento (clássico) habilitado e quiser acessar os preços e os novos recursos de segurança, precisará migrar para o novo plano de preços.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | GA (Disponibilidade Geral) |
| Disponibilidade de recursos: | - Monitoramento de atividades (alertas de segurança): Disponibilidade Geral (GA) - Verificação de Malware – GA (disponibilidade geral) - Detecção de ameaças de dados confidenciais (Descoberta de Dados Confidenciais) – Versão prévia Visite a página de preços para saber mais. |
| Funções e permissões necessárias: | Para a verificação de malware e a detecção de ameaças a dados confidenciais nos níveis de assinatura e conta de armazenamento, você precisa de funções de proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para habilitar o Monitoramento de Atividades, você precisa de permissões de "Administrador de Segurança". Leia mais sobre as permissões necessárias. |
| Nuvens: |  Nuvens comerciais do Azure * Azure Governamental (somente suporte ao monitoramento de atividades no plano clássico) Azure China 21Vianet Contas da AWS conectadas |
Não há suporte na zona DNS (Sistema de Nomes de Domínio) do Azure para a verificação de malware e a detecção de ameaças a dados confidenciais.
Pré-requisitos para verificação de malware
Para habilitar e configurar a verificação de malware, você deve ter funções de proprietário (como proprietário da assinatura ou proprietário da conta de armazenamento) ou funções específicas com as ações de dados necessárias.
Configurar o Microsoft Defender para Armazenamento
Para habilitar e configurar Microsoft Defender para Armazenamento para garantir a máxima proteção e otimização de custo, as seguintes opções de configuração estão disponíveis:
- Habilite/desabilite o Microsoft Defender para Armazenamento nos níveis de assinatura e conta de armazenamento.
- Habilite/desabilite os recursos configuráveis de verificação de malware ou detecção de ameaças a dados confidenciais.
- Defina um limite mensal (“capping”) para a verificação de malware por conta de armazenamento por mês para controlar os custos (o valor padrão é 5.000 GB).
- Defina métodos para configurar a resposta aos resultados da verificação de malware.
- Defina métodos para salvar resultados de verificação de malware e registro em log.
Importante
O recurso Verificação de Malware tem configurações avançadas para ajudar as equipes de segurança a dar suporte a diferentes fluxos de trabalho e requisitos.
- Substitua as configurações no nível da assinatura para configurar contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura
Há várias maneiras de habilitar e configurar o Defender para Armazenamento: usando a política interna do Azure (o método recomendado), usando programaticamente modelos de Infraestrutura como Código, incluindo Terraform, Bicep e modelos do ARM (Azure Resource Manager), usando o portal do Azure ou diretamente com a API REST.
É recomendável habilitar o Defender para Armazenamento por meio de uma política, pois isso facilita a habilitação em escala e garante a aplicação de uma política de segurança consistente em todas as contas de armazenamento existentes e futuras dentro do escopo definido (como grupos de gerenciamento inteiros). Isso mantém as contas de armazenamento protegidas pelo Defender para Armazenamento de acordo com a configuração definida pela organização.
Observação
Para evitar a migração de volta para o plano clássico herdado, desabilite as políticas antigas do Defender para Armazenamento. Procure e desabilite as políticas denominadas Configure Azure Defender for Storage to be enabled, o Azure Defender para Armazenamento deve ser habilitado ou Configure Microsoft Defender for Storage to be enabled (per-storage account plan) ou negue as políticas que impeçam a desabilitação do plano clássico.