Wechsel zum neuen Plan für Defender für Storage

Am 28. März 2023 wurde der neue Plan für Defender für Storage eingeführt. Dieser Plan bietet mehrere Vorteile, die nicht in den Plänen „Pro Transaktion“ oder „Pro Speicherkonto“ für Defender für Storage (klassisch) verfügbar sind, z. B.:

  • Erweiterte Aktivitätsüberwachung: Kontinuierliche Analyse von Aktivitäten auf Daten- und Steuerungsebene für die Bedrohungserkennung.
  • Erkennung kompromittierter oder missbrauchter SAS-Token: Kontinuierliche Analyse von Aktivitäten auf Daten- und Steuerungsebene für die Bedrohungserkennung, einschließlich der Erkennung falsch konfigurierter und übermäßig freizügiger SAS-Token (Shared Access Signature), die möglicherweise geleakt oder kompromittiert wurden.
  • Option zum Aktivieren der Erkennung vertraulicher Daten (Add-On): Erkennung von Ereignissen zu potenzieller Exposition und von verdächtigen Aktivitäten für Ressourcen, die vertrauliche Daten enthalten, was zu Datenexfiltration führt.
  • Option zum Aktivieren der Schadsoftwareüberprüfung (kostenpflichtiges Add-On): Echtzeiterkennung bösartiger Dateien in allen Dateitypen.
  • Vorhersehbare Preise pro Speicherkonto: Eine vorhersehbarere und flexiblere Preisstruktur für eine bessere Kontrolle über die Abdeckung.
  • Präzise Steuerung auf Ressourcenebene: Aktivieren Sie diese Option auf Abonnement- oder Ressourcenebene, und schließen Sie bestimmte Speicherkonten aus geschützten Abonnements aus, sodass Sie die Sicherheitsabdeckung präziser steuern können.

Der neue Preisplan berechnet Gebühren basierend auf der Anzahl der von Ihnen geschützten Speicherkonten. Dadurch werden Kostenberechnungen vereinfacht, und bei Änderung Ihrer Anforderungen wird eine einfache Skalierung ermöglicht. Preisinformationen finden Sie auf der Seite mit den Preisen.

Damit Sie diese Features nutzen können, empfehlen wir, bis zum 5. Februar 2025 zum neuen Plan für Defender für Storage zu wechseln.

Hinweis

Nach dem 5. Februar 2025 können Sie den Legacytarif „Pro Transaktion“ für Defender für Storage (klassisch) in den meisten Szenarien nicht mehr aktivieren. Die einzige Ausnahme gilt für Abonnements, für die der Tarif „Pro Transaktion“ bereits aktiviert ist.

Wichtige Änderungen in Defender für Storage (klassisch)

Defender für Storage (klassisch) bietet zwei Preisstrukturen: pro Transaktion und pro Speicherkonto. Ab dem 5. Februar 2025 wird dieser Plan auf den Tarif „Pro Speicherkonto“ für Defender für Storage umgestellt.

Auswirkungen auf den Plan „Pro Transaktion" für Defender für Storage (klassisch)

Der klassische Plan vom Typ „Pro Transaktion“ steht nicht mehr für neue Speicherkonten und Abonnements zur Verfügung. Für vorhandene Konten wird der Plan ohne zukünftige Features und Updates beibehalten. Daher wird empfohlen, zum neuen Plan zu wechseln, um von den erweiterten Features und der vereinfachten Preisstruktur zu profitieren. Wenn für Ihr Abonnement oder Speicherkonto bereits der klassische Plan „Pro Transaktion“ aktiviert ist, bleibt er aktiv. Die Aktivierung dieses Plans auf Ressourcenebene ist jedoch nur für diese vorhandenen Abonnements möglich.

Wenn Sie über Richtlinien verfügen, die den klassischen Plan „Pro Transaktion“ erzwingen, ohne den Unterplan „Pro Transaktion“ anzugeben, behalten vorhandene Abonnements ihren aktuellen Plan bei, während neue Abonnements standardmäßig auf den neuen Plan festgelegt werden. Wenn Sie jedoch den Unterplan „Pro Transaktion“ angeben, tritt bei neuen Abonnements ein Fehler auf. Nachdem Sie zum neuen Plan gewechselt haben, können Sie nicht mehr auf die Pläne „Pro Transaktion“ oder „Pro Speicherkonto“ für Defender für Storage (klassisch) auf Abonnement- oder Speicherkontoebene umstellen.

Auswirkungen im Plan „Pro Speicherkonto“ für Defender für Storage (klassisch)

Der klassische Plan „Pro Speicherkonto“ wird automatisch auf den Plan für Defender für Storage umgestellt, ohne dass Add-On-Features standardmäßig aktiviert werden. Speicherkonten, die zuvor aus geschützten Abonnements im Plan „Pro Transaktion“ ausgeschlossen wurden, bleiben nicht ausgeschlossen, wenn ein Upgrade auf den neuen Plan ausgeführt wird. Wenn Sie den Schutz für diese Speicherkonten deaktivieren möchten, können Sie dies im neuen Plan tun.

Identifizieren aktiver Pläne für Defender für Storage

Wir bieten drei Optionen, um die Aktivierung und Konfiguration Ihrer Pläne für Defender für Storage zu ermitteln:

  • KQL-Abfrage im Resource Graph-Explorer: Verwenden Sie diese KQL-Abfrage im Resource Graph-Explorer des Azure-Portals, um anzuzeigen, welche Pläne auf Abonnementebene aktiviert sind:

    // DF-Storage Plans
    securityresources
    | where type == "microsoft.security/pricings"
    | where name == "StorageAccounts"
    | extend pricingTier = properties.pricingTier
    | extend DefenderForStoragePlan = properties.subPlan
    | extend IsInTrialPeriod = properties.freeTrialRemainingTime
    | extend MalwareScanningEnabled = properties.extensions[0].isEnabled
    | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
    | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
    | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
        DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
        MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
        MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
        SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
        IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
    | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled
    
  • Detaillierte Analyse mit PowerShell-Skript: Wenn Sie eine gründlichere Untersuchung durchführen möchten und u. a. Informationen auf Abonnement- und Ressourcenebene (mit Konfiguration von Add-Ons) abrufen möchten, führen Sie dieses PowerShell-Skript aus.

  • Arbeitsmappe für Details zur Abdeckung auf Abonnementebene: Verwenden Sie die bereitgestellte Arbeitsmappe, um die aktivierten Pläne auf Abonnementebene und ihre Konfigurationsdetails anzuzeigen. Informationen zum Zugriff auf die Arbeitsmappe finden Sie unter Dashboard für die Preisschätzung für Microsoft Defender für Storage.

Migrationsmethoden

Sie haben mehrere Optionen, um den neuen Plan für Microsoft Defender für Storage zu aktivieren und zu konfigurieren:

  • Integrierte Azure-Richtlinie (empfohlen): Wenden Sie integrierte Richtlinien an, um alle vorhandenen und zukünftigen Speicherkonten innerhalb eines definierten Bereichs (z. B. Verwaltungsgruppen) einheitlich im großen Stil zu schützen.
  • IaC-Vorlagen (Infrastructure as Code): Verwenden Sie Terraform-, Bicep- oder Azure Resource Manager-Vorlagen für die automatisierte Bereitstellung und Konfiguration.
  • Azure-Portal: Migrieren Sie über das Azure-Portal zum neuen Plan.
    1. Navigieren Sie zu Umgebungseinstellungen in Defender for Cloud oder zum Defender for Cloud-Bereich in einem der Speicherkonten.
    2. Wählen Sie unter Speicher die Option Neuer Plan verfügbar aus.
    3. Wählen Sie im Bereich Plan für Defender für Storage aktualisieren Ihre Konfigurationsoptionen und dann Abonnement aktualisieren aus.
  • REST-API: Verwenden Sie die REST-API, um den neuen Plan programmgesteuert zu aktivieren.

Identifizieren aktiver Richtlinien

Zum Aktivieren des neuen Plans müssen Sie die alten Richtlinien von Defender für Storage deaktivieren:

  • „Konfigurieren von Azure Defender für Storage für die Aktivierung“
  • „Azure Defender für Storage sollte aktiviert werden“
  • „Konfigurieren von Microsoft Defender für Storage für die Aktivierung (Plan pro Speicherkonto)“
  • „Konfigurieren zum Aktivieren von Microsoft Defender für Storage (klassisch)“
  • „Bereitstellen von Defender für Storage (klassisch) in Speicherkonten“

Zum Identifizieren aktiver Richtlinien können Sie die folgenden Methoden verwenden:

Azure Resource Graph-Explorer

Führen Sie zum Ermitteln aktiver Richtlinien in Ihrem Abonnement mithilfe des Azure Resource Graph-Explorers die folgende Abfrage aus, die die alten Richtlinien von Defender für Storage enthält. Wenn Sie über benutzerdefinierte Richtlinien verfügen, ändern Sie die Abfrage entsprechend:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Führen Sie zum Ermitteln aktiver Richtlinien in Ihrem Abonnement mithilfe von PowerShell Folgendes aus:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Nächster Schritt

In diesem Artikel haben Sie mehr über die Migration zum neuen Microsoft Defender for Storage-Plan erfahren.