Поделиться через

Переход к новому плану Defender для хранилища

  • Статья

28 марта 2023 г. мы представили новый план Defender для хранения. Этот план предлагает несколько преимуществ, недоступных в тарифных планах защитника для хранилища (классической) для каждой транзакции или для каждой учетной записи хранения, например:

  • Расширенный мониторинг активности: непрерывный анализ действий плоскости данных и плоскости управления для обнаружения угроз.
  • Обнаружение скомпрометированных или злоупотреблений маркеров SAS: непрерывный анализ действий плоскости данных и плоскости управления для обнаружения угроз, включая обнаружение неправильно настроенных и чрезмерно разрешенных подписанных URL-адресов (маркеры SAS), которые могут быть утечкой или скомпрометированы.
  • Параметр для включения обнаружения угроз конфиденциальных данных (надстройка) — обнаружение потенциальных событий воздействия и подозрительных действий на ресурсах, содержащих конфиденциальные данные, что приводит к краже данных.
  • Возможность включения сканирования вредоносных программ (платная надстройка): обнаружение вредоносных файлов в режиме реального времени во всех типах файлов.
  • Прогнозируемая цена на учетную запись хранения: более обозримая и гибкая структура ценообразования для более эффективного контроля над покрытием.
  • Детализированные элементы управления на уровне ресурсов. Включите на уровне подписки или ресурса и исключите определенные учетные записи хранения из защищенных подписок, обеспечивая более детальный контроль над покрытием безопасности.

Плата за новый тарифный план зависит от количества защищенных учетных записей хранения, упрощения вычислений и упрощения масштабирования по мере изменения потребностей. Подробные сведения о ценах см . на странице цен.

Чтобы воспользоваться этими функциями, мы рекомендуем перейти к новому плану Defender для хранения к 5 февраля 2025 г.

Примечание.

После 5 февраля 2025 г. вы больше не можете включить Defender для хранилища (классическую), устаревшую ценовую план для каждой транзакции в большинстве сценариев. Единственным исключением является подписка, которая уже включает цены на транзакции.

Важные изменения в Defender для хранилища (классическая модель)

Defender для хранилища (классический) предлагает две структуры ценообразования: для каждой транзакции и учетной записи хранения. Начиная с 5 февраля 2025 года этот план перейдет в Defender для хранения с ценами на учетную запись хранения.

Влияние на план Defender для хранилища (классическая модель) для каждой транзакции

Классический план для каждой транзакции больше не будет доступен для новых учетных записей хранения и подписок. Существующие учетные записи будут сохранять план без будущих функций и обновлений, поэтому мы рекомендуем перейти к новому плану для расширенных функций и упрощенной цены. Если у вашей подписки или учетной записи хранения уже включен классический план для каждой транзакции, он останется активным, но включение этого плана на уровне ресурсов будет возможно только для этих существующих подписок.

Если у вас есть политики, которые применяют классический план для каждой транзакции без указания подплана для каждой транзакции, существующие подписки будут сохранять текущий план, а новые подписки по умолчанию будут использоваться для нового плана. Однако если указать подплан для каждой транзакции, он завершится ошибкой для новых подписок. Переключившись на новый план, вы больше не сможете вернуться к планам защитника для хранения (классической) для каждой транзакции или учетной записи хранения на уровне подписки или учетной записи хранения.

Влияние плана учетной записи Defender для хранилища (классической) для каждой учетной записи хранения

Классический план учетной записи хранения автоматически переходит в план Defender для хранения без включения функций надстройки по умолчанию. Учетные записи хранения, ранее исключенные из защищенных подписок в плане каждой транзакции, не останутся исключенными при обновлении до нового плана. Если вы хотите отключить защиту для этих учетных записей хранения, это можно сделать в новом плане.

Определение планы активного Защитника для хранения

Мы предоставляем три варианта, чтобы узнать о включении и настройке планов хранилища Defender для хранения:

  • Запрос KQL в обозревателе resource Graph: используйте этот запрос KQL в обозревателе resource Graph портал Azure для просмотра планов, включенных на уровне подписки:

    // DF-Storage Plans
securityresources
| where type == "microsoft.security/pricings"
| where name == "StorageAccounts"
| extend pricingTier = properties.pricingTier
| extend DefenderForStoragePlan = properties.subPlan
| extend IsInTrialPeriod = properties.freeTrialRemainingTime
| extend MalwareScanningEnabled = properties.extensions[0].isEnabled
| extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
| extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
| extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
    DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
    MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
    MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
    SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
    IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
| project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled

  • Подробный анализ с помощью скрипта PowerShell. Для более подробного изучения, включая сведения как на уровне подписки, так и на уровне ресурсов (с конфигурацией надстроек), запустите этот скрипт PowerShell.

  • Книга для сведений о охвате на уровне подписки: используйте указанную книгу, чтобы узнать, какие планы включены на уровне подписки и их сведения о конфигурации. Чтобы получить доступ к книге, см . панель мониторинга оценки цен в Microsoft Defender для хранилища.

Способы миграции

Чтобы включить и настроить новый план Microsoft Defender для хранения, у вас есть несколько вариантов:

  • Встроенная политика Azure (рекомендуется) — применение встроенных политик для обеспечения единообразной защиты всех существующих и будущих учетных записей хранения в пределах определенной области, таких как группы управления.
  • Шаблоны инфраструктуры как кода (IaC): используйте шаблоны Terraform, Bicep или Azure Resource Manager для автоматического развертывания и настройки.
  • портал Azure. Переход на новый план через портал Azure.
    1. Перейдите к параметрам среды в Defender для облака или области Defender для облака в одной из учетных записей хранения.
    2. В разделе "Хранилище" выберите "Новый план", доступный.
    3. В области плана "Защитник обновления для хранилища" выберите параметры конфигурации и выберите "Обновить подписку".
  • REST API: используйте REST API для программного включения нового плана.

Определение активных политик

Чтобы включить новый план, отключите старые политики Defender для хранилища:

  • Настройка Azure Defender для хранилища для включения"
  • "Azure Defender для хранилища должен быть включен"
  • "Настройка Microsoft Defender для хранилища для включения (план учетной записи хранения)"
  • Настройка Microsoft Defender для хранилища (классической версии) для включения"
  • "Развертывание Defender для хранилища (классическая модель) в учетных записях хранения"

Для идентификации активных политик можно использовать следующие методы:

Обозреватель Azure Resource Graph

Чтобы определить активные политики в подписке с помощью обозревателя Azure Resource Graph, выполните следующий запрос, включающий старые политики Defender для хранилища. Если у вас есть настраиваемые политики, измените запрос соответствующим образом:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Чтобы определить активные политики в подписке с помощью PowerShell, выполните следующую команду:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Следующий шаг

В этой статье вы узнали о миграции в новый план Microsoft Defender для хранилища.

Включение Defender для хранилища