新しい Defender for Storage プランに移行する
2023 年 3 月 28 日に、新しい Defender for Storage プランが導入されました。 このプランには、Defender for Storage (クラシック) のトランザクションごとまたはストレージ アカウントごとの価格プランでは使用できないいくつかの利点があります。次に例を示します。
- 強化されたアクティビティ監視: 脅威検出のためのデータ プレーンとコントロール プレーン アクティビティの継続的な分析。
- 侵害された SAS トークンまたは不正使用された SAS トークンの検出: 漏洩または侵害された可能性のある誤って構成され、過度に制限された Shared Access Signature (SAS トークン) の検出など、脅威検出のためのデータ プレーンとコントロール プレーン アクティビティの継続的な分析。
- 機密データ脅威検出 (アドオン) を有効にするオプション : 潜在的な露出イベントの検出とデータ流出の結果として生じる機密データを含むリソースに対する疑わしいアクティビティ。
- マルウェア スキャン (有料アドオン) を有効にするオプション : すべての種類のファイルで悪意のあるファイルをリアルタイムで検出。
- 予測可能なストレージ アカウントごとの価格設定: カバレッジをより適切に制御するための、予測可能で柔軟な価格構造。
- リソース レベルでの粒度制御: サブスクリプション レベルやリソース レベルで有効化でき、保護されているサブスクリプションから特定のストレージ アカウントを除外し、セキュリティ カバレッジをよりきめ細かく制御します。
新しいプランには、保護するストレージ アカウントの数に基づいて課金される価格プランも含まれています。これにより、コスト計算が簡略化され、ニーズの変化に応じたスケーリングが容易になります。 料金詳細については、「価格設定」ページを参照してください。
これらの機能を利用するには、2025 年 2 月 5 日までに新しい Defender for Storage プランに移行することをが推奨されます。
Note
2025 年 2 月 5 日以降、ほとんどのシナリオでは、従来のトランザクションごとの価格プランである Defender for Storage (クラシック) を有効にできなくなります。 唯一の例外として、トランザクションごとの価格が既に有効になっているサブスクリプションが挙げられます。
Defender for Storage (クラシック) の重要な変更
Defender for Storage (クラシック) には、トランザクションごととストレージ アカウントごとの 2 つの価格構造が用意されています。 2025 年 2 月 5 日から、このプランは、ストレージ アカウントごとの価格で Defender for Storage に移行します。
トランザクションごとの Defender for Storage (クラシック) プランへの影響
従来のトランザクションごとのプランは、新しいストレージ アカウントとサブスクリプションでは使用できなくなります。 既存のアカウントでは、今後の機能や更新プログラムなしでプランが保持されるため、強化された機能と簡略化された価格設定の場合新しいプランに移行することが推奨されます。 サブスクリプションまたはストレージ アカウントでトランザクションごとのクラシック プランが既に有効になっている場合は、アクティブなままになりますが、リソース レベルでこのプランを有効にできるのは、これらの既存のサブスクリプションに対してのみ可能です。
トランザクションごとのサブプランを指定せずに従来のトランザクションごとのプランを適用するポリシーがある場合、既存のサブスクリプションは現在のプランを保持し、新しいサブスクリプションは既定で新しいプランになります。 ただし、トランザクションごとのサブプランを指定すると、新しいサブスクリプションでは失敗します。 新しいプランに切り替えると、サブスクリプションまたはストレージ アカウント レベルで、トランザクションごとまたはストレージ アカウントごとの Defender for Storage (クラシック) プランに戻すことができるようになります。
ストレージごとの Defender for Storage (クラシック) アカウント プランへの影響
従来のストレージ アカウントごとのプランは、既定でアドオン機能を有効にすることなく、Defender for Storage プランに自動的に移行します。 トランザクションごとのプランで保護されたサブスクリプションから以前除外されたストレージ アカウントは、新しいプランに切り替えるときに除外されたままになりません。 これらのストレージ アカウントの保護を無効にする場合は、新しいプランで無効にすることができます。
アクティブな Defender for Storage プランを特定する
Defender for Storage プランの有効化と構成を確認するには、次の 3 つのオプションがあります。
Resource Graph エクスプローラーの KQL クエリ: Azure Portal の Resource Graph Explorer で次の KQL クエリを使用して、サブスクリプション レベルで有効になっているプランを表示します。
// DF-Storage Plans securityresources | where type == "microsoft.security/pricings" | where name == "StorageAccounts" | extend pricingTier = properties.pricingTier | extend DefenderForStoragePlan = properties.subPlan | extend IsInTrialPeriod = properties.freeTrialRemainingTime | extend MalwareScanningEnabled = properties.extensions[0].isEnabled | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"] | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), DefenderForStoragePlan = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled), IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes") | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabledPowerShell スクリプトを使用した詳細な分析: サブスクリプション レベルとリソース レベル (アドオン構成) の両方の情報など、より詳細な調査を行う場合は、この PowerShell スクリプトを実行します。
サブスクリプション レベルのカバレッジ詳細のワークブック: 指定されたワークブックを使用して、サブスクリプション レベルで有効になっているプランとその構成の詳細を確認します。 ワークブックにアクセスるには、「Microsoft Defender for Storage - 価格見積ダッシュボード」を参照してください。
移行の方法
新しい Microsoft Defender for Storage プランを有効にして構成するには、いくつかのオプションがあります。
- Azure 組み込みポリシー (推奨): 組み込みポリシーを適用 を管理グループなど、定義されたスコープ内のすべての既存および将来のストレージ アカウントを大規模かつ一様にセキュリティで保護します。
- Infrastructure as Code (IaC) テンプレート: 自動デプロイと構成には、 Teraform、Bicep、または Azure Resource Manager テンプレートを使用します。
- Azure Portal: Azure Portal を使用して新しいプランに移行します。
- Defender for Cloud または、ストレージ アカウントの 1 つにある Defender for Cloud の[環境設定] に移動します。
- [ストレージ] で、[利用可能な新規プラン] を選択します。
- [Defender for Storage プランのアップグレード] ペインで、構成オープンを選択し、[サブスクリプションをアップグレード] を選択します。
- REST API: REST API を使用してプログラムで新しいプランを有効にします。
アクティブなポリシーを特定する
新しいプランを有効にするには、古い Defender for Storage ポリシーを無効にしてください。
- 「Azure Defender for Storage を有効にするように構成する」
- 「Azure Defender for Storage を有効化する必要がある」
- 「Microsoft Defender for Storage を有効にするように構成する (ストレージごとのアカウント プラン)」
- 「Configure Microsoft Defender for Storage (クラシック) を有効にするように構成する」
- 「ストレージ アカウントに Defender for Storage (クラシック) をデプロイする」
次のいずれかの方法を使用すると、アクティブなコポリシーを識別できます。
Azure Resource Graph エクスプローラー
Azure Resource Graph Explorer を使用してサブスクリプション内のアクティブなポリシーを識別するには、古い Defender for Storage ポリシーを含む次のクエリを実行します。 カスタム ポリシーがある場合は、それに応じてクエリを変更します。
policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")
PowerShell
PowerShell を使用してサブスクリプション内のアクティブなポリシーを識別するには、次を実行します。
Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"
次のステップ
この記事では、新しい Microsoft Defender for Storage プランに移行する方法について説明しました。