Implantar o Microsoft Defender para armazenamento
O Microsoft Defender for Storage é uma solução nativa do Azure que oferece uma camada avançada de inteligência para deteção e mitigação de ameaças em contas de armazenamento, com tecnologia Microsoft Threat Intelligence, tecnologias Microsoft Defender Antimalware e Sensitive Data Discovery. Com proteção para os serviços de Armazenamento de Blobs do Azure, Arquivos do Azure e Armazenamento do Azure Data Lake, ele fornece um pacote de alertas abrangente, verificação de malware quase em tempo real (complemento) e deteção de ameaças de dados confidenciais (sem custo extra), permitindo deteção, triagem e resposta rápidas a possíveis ameaças à segurança com informações contextuais. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados.
Com o Microsoft Defender for Storage, as organizações podem personalizar sua proteção e aplicar políticas de segurança consistentes, habilitando-a em assinaturas e contas de armazenamento com controle granular e flexibilidade.
Gorjeta
Se você já tiver o Defender for Storage (clássico) ativado e quiser acessar os novos recursos de segurança e preços, precisará migrar para o novo plano de preços.
Disponibilidade
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade Geral (GA) |
| Disponibilidade de recursos: | - Monitorização de atividades (alertas de segurança) – Disponibilidade Geral (GA) - Verificação de malware – Disponibilidade Geral (GA) - Deteção de ameaças de dados sensíveis (Sensitive Data Discovery) – Pré-visualização Visite a página de preços para saber mais. |
| Funções e permissões necessárias: | Para verificação de malware e deteção de ameaças de dados confidenciais nos níveis de conta de assinatura e armazenamento, você precisa de funções de Proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para ativar o Monitoramento de Atividades, você precisa de permissões de 'Administrador de Segurança'. Leia mais sobre as permissões necessárias. |
| Nuvens: |  Nuvens comerciais do Azure* Azure Government (apenas suporte de monitoramento de atividades no plano clássico) Azure China 21Vianet Contas da AWS conectadas |
A Zona DNS (Sistema de Nomes de Domínio) do Azure não tem suporte para verificação de malware e deteção de ameaças de dados confidenciais.
Pré-requisitos para verificação de malware
Para habilitar e configurar a verificação de malware, você deve ter funções de Proprietário (como Proprietário da Assinatura ou Proprietário da Conta de Armazenamento) ou funções específicas com as ações de dados necessárias.
Instalar e configurar o Microsoft Defender para armazenamento
Para habilitar e configurar o Microsoft Defender for Storage e garantir a máxima proteção e otimização de custos, as seguintes opções de configuração estão disponíveis:
- Habilite/desabilite o Microsoft Defender for Storage nos níveis de assinatura e conta de armazenamento.
- Ativar/desativar a verificação de malware ou os recursos configuráveis de deteção de ameaças de dados confidenciais.
- Defina um limite mensal ("limite") na verificação de malware por conta de armazenamento por mês para controlar os custos (o valor padrão é 5.000 GB).
- Configure métodos para configurar a resposta aos resultados da verificação de malware.
- Configure métodos para salvar o registro de resultados da verificação de malware.
Importante
O recurso de verificação de malware tem configurações avançadas para ajudar as equipes de segurança a suportar diferentes fluxos de trabalho e requisitos.
- Substitua as configurações no nível da assinatura para configurar contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura
Há várias maneiras de habilitar e configurar o Defender for Storage: usando a política interna do Azure (o método recomendado), usando programaticamente a Infraestrutura como modelos de código, incluindo modelos Terraform, Bíceps e Azure Resource Manager (ARM), usando o portal do Azure ou diretamente com a API REST.
A habilitação do Defender for Storage por meio de uma política é recomendada porque facilita a habilitação em escala e garante que uma política de segurança consistente seja aplicada em todas as contas de armazenamento existentes e futuras dentro do escopo definido (como grupos de gerenciamento inteiros). Isso mantém as contas de armazenamento protegidas com o Defender for Storage de acordo com a configuração definida pela organização.
Nota
Para evitar a migração de volta para o plano clássico herdado, certifique-se de desativar as políticas antigas do Defender for Storage. Procure e desabilite políticas denominadas Configure Azure Defender for Storage to be enabled, o Azure Defender for Storage deve ser habilitado ou Configure Microsoft Defender for Storage to be enabled (per-storage account plan) negar políticas que impeçam a desativação do plano clássico.