你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

迁移到新的 Defender for Storage 计划

2023 年 3 月 28 日，我们推出了新的 Defender for Storage 计划。 此计划提供 Defender for Storage（经典版）按事务或按存储帐户定价计划中不提供的多项权益，例如：

• 增强的活动监视：持续分析数据平面和控制平面活动，以便进行威胁检测。
• 检测遭到入侵或滥用的 SAS 令牌：持续分析数据平面和控制平面活动，以便进行威胁检测，包括检测可能泄露或受侵害的错误配置和过于宽松的共享访问签名（SAS 令牌）。
• 启用敏感数据威胁检测（加载项）的选项：检测包含敏感数据的资源的潜在暴露事件和可疑活动，从而导致数据外泄。
• 启用恶意软件扫描（付费加载项）的选项：实时检测所有文件类型的恶意文件。
• 可预测的按存储帐户定价：更可预见和灵活的定价结构，以更好地控制覆盖范围。
• 资源级别的精细控制：可以在订阅或资源级别启用，还可以从受保护的订阅中排除特定的存储帐户，从而更精确地控制安全覆盖范围。

新的定价计划根据所保护的存储帐户数进行收费，从而简化了计算，并且可以在需求变化时轻松缩放。 有关详细定价信息，请参阅定价页。

若要利用这些功能，建议在 2025 年 2 月 5 日前迁移到新的 Defender for Storage 计划。

注意

2025 年 2 月 5 日之后，在大多数情况下，你将无法再启用旧版按事务定价计划 Defender for Storage（经典版）。 唯一的例外是已启用按事务定价的订阅。

Defender for Storage（经典版）的重要更改

Defender for Storage（经典版）提供两种定价结构：按事务和按存储帐户。 从 2025 年 2 月 5 日开始，此计划将转换为按存储帐户定价的 Defender for Storage。

对 Defender for Storage（经典版）按事务计划的影响

经典按事务计划将不再适用于新的存储帐户和订阅。 现有帐户将保留该计划，不提供未来的功能和更新；因此我们鼓励你迁移到新计划，以获得增强的功能和简化的定价。 如果订阅或存储帐户已启用经典按事务计划，则该计划将保持活动状态；但只有这些现有订阅才能在资源级别启用此计划。

如果你有强制执行经典按事务计划而不指定按事务子计划的策略，则现有订阅将保留其当前计划，而新订阅将默认为新计划。 但是，如果指定按事务子计划，则新订阅将失败。 一旦切换到新计划，你将无法再在订阅或存储帐户级别恢复到按事务或按存储帐户计划的 Defender for Storage（经典版）。

确定活动的 Defender for Storage 计划

我们提供三个选项来了解 Defender for Storage 计划启用和配置：

• Resource Graph 资源管理器中的 KQL 查询：在 Azure 门户的 Resource Graph 资源管理器中使用此 KQL 查询，查看在订阅级别启用了哪些计划：

  // DF-Storage Plans
  securityresources
  | where type == "microsoft.security/pricings"
  | where name == "StorageAccounts"
  | extend pricingTier = properties.pricingTier
  | extend DefenderForStoragePlan = properties.subPlan
  | extend IsInTrialPeriod = properties.freeTrialRemainingTime
  | extend MalwareScanningEnabled = properties.extensions[0].isEnabled
  | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
  | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
  | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
      DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
      MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
      MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
      SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
      IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
  | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled
  

• 使用 PowerShell 脚本进行详细分析：若要进行更详细的调查，包括订阅和资源级别（带加载项配置）的信息，请运行此 PowerShell 脚本。

• 订阅级别覆盖范围详细信息的工作簿：使用提供的工作簿查看在订阅级别启用了哪些计划及其配置详细信息。 若要访问工作簿，请参阅 Microsoft Defender for Storage - 价格估算仪表板。

迁移方法

若要启用和配置新的 Microsoft Defender for Storage 计划，可以选择以下几个选项：

• Azure 内置策略（建议）：应用内置策略，在定义的范围内（如管理组）大规模统一保护所有现有和未来的存储帐户。
• 基础结构即代码 (IaC) 模板：使用 Terraform、Bicep 或 Azure 资源管理器模板进行自动部署和配置。
• Azure 门户：通过 Azure 门户迁移到新计划。
  1. 导航到 Defender for Cloud 中的环境设置或其中一个存储帐户中的 Defender for Cloud 窗格。
  2. 在存储下，选择可用新计划。
  3. 在升级 Defender for Storage 计划窗格中，选择配置选项，然后选择升级订阅。
• REST API：使用 REST API，以编程方式启用新计划。

标识活动策略

若要启用新计划，请确保禁用旧的 Defender for Storage 策略：

• “将 Azure Defender for Storage 配置为启用”
• “应启用 Azure Defender for Storage”
• “配置要启用的 Microsoft Defender for Storage（按存储帐户计划）”
• “将 Microsoft Defender for Storage（经典版）配置为启用”
• “在存储帐户上部署 Defender for Storage（经典版）”

你可以使用以下方法识别活动策略：

Azure Resource Graph 资源管理器

若要使用 Azure Resource Graph 资源管理器标识订阅中的活动策略，请运行以下包含旧 Defender for Storage 策略的查询。 如果有自定义策略，请相应地修改查询：

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

若要使用 PowerShell 识别订阅中的活动策略，请运行：

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

下一步

本文介绍了如何迁移到新的 Microsoft Defender for Storage 计划。

启用 Defender for Storage