Habilitar o Microsoft Defender para Armazenamento (clássico)

  • Artigo

Esse artigo explica como você pode habilitar e configurar Microsoft Defender para Armazenamento (Clássico) em suas assinaturas usando vários modelos, como os do PowerShell, da API REST e outros.

Atualize para o novo plano do Microsoft Defender para Armazenamento e use recursos de segurança avançados, incluindo a Verificação de Malware e detecção de ameaças de dados confidenciais. Beneficie-se de uma estrutura de preços mais previsível e granular que cobra por conta de armazenamento, com custos adicionais para transações de alto volume. Esse novo plano de preços também engloba todos os novos recursos e detecções de segurança.

Observação

Se estiver usando o Defender para Armazenamento (clássico) com preços por transação ou por conta de armazenamento, você precisará migrar para o novo plano do Defender para Armazenamento (clássico) para acessar esses recursos e preços. Obtenha informações sobre a migração para o novo plano do Defender para Armazenamento.

O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar suas contas de armazenamento. Ele usa recursos avançados de detecção de ameaças e dados da Inteligência contra Ameaças da Microsoft para fornecer alertas de segurança contextuais. Esses alertas também incluem etapas para atenuar as ameaças detectadas e evitar ataques futuros.

Microsoft Defender para Armazenamento analisa continuamente as transações de serviços Armazenamento de Blobs do Azure, Azure Data Lake Storage e Arquivos do Azure. Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Alertas são mostrados no Microsoft Defender para Nuvem com os detalhes da atividade suspeita, etapas de investigação apropriadas, ações de correção e recomendações de segurança relevantes.

A telemetria analisada do Armazenamento de Blobs do Azure inclui tipos de operação como Obter Blob, Colocar Blob, Obter ACL do Contêiner, Listar Blobs e Obter Propriedades do Blob. Exemplos de tipos de operação dos Arquivos do Azure analisadas incluem Obter Arquivo, Criar Arquivo, Listar Arquivos, Obter Propriedades do Arquivo e Colocar Intervalo.

O Defender para Armazenamento clássico não acessa os dados da conta de Armazenamento e não tem impacto no seu desempenho.

Saiba mais sobre os benefícios, as funcionalidades e as limitações do Defender para Armazenamento. Você também pode saber mais sobre o Defender para Armazenamento no episódio Defender para Armazenamento da série de vídeos de Campo Defender para Nuvem.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: O Microsoft Defender para Armazenamento é cobrado conforme mostrado na página de preços e na página planos do Defender no portal do Azure
Tipos de armazenamento protegidos: Armazenamento de Blobs (Standard/Premium StorageV2, Blob de blocos)
Arquivos do Azure (via API REST e SMB)
Azure Data Lake Storage Gen2 (contas Standard/Premium com namespaces hierárquicos habilitados)
Nuvens: Nuvens comerciais
Azure Governamental (somente para o plano por transação)
Microsoft Azure operado pela 21Vianet
Contas da AWS conectadas

Configurar o Microsoft Defender para Armazenamento (clássico)

Configurar preços por transação para uma assinatura

Nos preços por transação do Defender para Armazenamento, é recomendável que você habilite o Defender para Armazenamento em cada assinatura para que todas as contas de armazenamento existentes e novas sejam protegidas. Se você deseja proteger apenas contas específicas, configure o Defender para Armazenamento em cada conta.

Você pode configurar o Microsoft Defender para Armazenamento em suas assinaturas de várias maneiras:

Modelo do Terraform

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando um modelo do Terraform, adicione este snippet de código ao modelo com sua ID de assinatura como o valor parent_id:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Standard"
      subPlan = "PerTransaction"
    }
  })
}

Para desabilitar o plano, defina o valor da propriedade pricingTier como Free e remova a propriedade subPlan.

Saiba mais sobre a referência de AzAPI do modelo do ARM.

Modelo do Bicep

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando o Bicep, adicione o seguinte ao modelo do Bicep:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'PerTransaction'
  }
}

Para desabilitar o plano, defina o valor da propriedade pricingTier como Free e remova a propriedade subPlan.

Saiba mais sobre a referência de AzAPI do modelo do Bicep.

Modelo de ARM

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando um modelo do ARM, adicione este snippet JSON à seção de recursos do modelo do ARM:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
  }
}

Para desabilitar o plano, defina o valor da propriedade pricingTier como Free e remova a propriedade subPlan.

Saiba mais sobre a referência de AzAPI do modelo do ARM.

PowerShell

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando o PowerShell:

  1. Se você ainda não o tiver, instale o módulo do Azure Az PowerShell.

  2. Use o cmdlet Connect-AzAccount para entrar na conta do Azure. Saiba mais sobre como entrar no Azure com o Azure PowerShell.

  3. Use estes comandos para registrar sua assinatura no provedor de recursos do Microsoft Defender para Nuvem:

    Set-AzContext -Subscription <subscriptionId>
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

    Substitua <subscriptionId> por sua ID da assinatura.

  4. Habilitar o Microsoft Defender para Armazenamento para sua assinatura com o cmdlet Set-AzSecurityPricing:

    Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"

Dica

Você pode usar o GetAzSecurityPricing (Az_Security) para ver todos os planos do Defender para Nuvem que estão habilitados para a assinatura.

Para desabilitar o plano, defina o valor da propriedade -PricingTier como Free.

Saiba mais sobre como usar o PowerShell com o Microsoft Defender para Nuvem.

CLI do Azure

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando a CLI do Azure:

  1. Se você ainda não a tiver, instale a CLI do Azure.

  2. Use o comando az login para entrar na sua conta do Azure. Saiba mais sobre como entrar no Azure com a CLI do Azure.

  3. Use estes comandos para definir o nome e a ID da assinatura:

    az account set --subscription "<subscriptionId or name>"

    Substitua <subscriptionId> por sua ID da assinatura.

  4. Habilitar o Microsoft Defender para Armazenamento para sua assinatura com o comando az security pricing create:

    az security pricing create -n StorageAccounts --tier "standard"

Dica

Você pode usar o comando az security pricing show para ver todos os planos do Defender para Nuvem que estão habilitados para a assinatura.

Para desabilitar o plano, defina o valor da propriedade -tier como free.

Saiba mais sobre o comando az security pricing create.

API REST

Para habilitar o Microsoft Defender para Armazenamento no nível da assinatura com preços por transação usando a API REST do Microsoft Defender para Nuvem, crie uma solicitação PUT com este ponto de extremidade e corpo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Substitua {subscriptionId} por sua ID da assinatura.

Para desabilitar o plano, defina o valor da propriedade -pricingTier como Free e remova o parâmetro subPlan.

Saiba mais sobre a atualização dos planos do Defender com a API REST em HTTP, Java, Go e JavaScript.

Configurar os preços por transação para uma conta de armazenamento

Você pode configurar Microsoft Defender para Armazenamento com preços por transação em suas contas de várias maneiras:

Modelo de ARM

Para habilitar o Microsoft Defender para Armazenamento para uma conta de armazenamento específica com preços por transação usando um modelo do ARM, use o modelo preparado do Azure.

Se quiser desabilitar o Defender para Armazenamento na conta:

  1. Entre no portal do Azure.
  2. Navegue para sua conta de armazenamento.
  3. Na seção Segurança + rede do menu Conta de armazenamento, selecione Microsoft Defender para Nuvem.
  4. Selecione Desabilitar.

PowerShell

Para habilitar o Microsoft Defender para Armazenamento para uma conta de armazenamento específica com preços por transação usando o PowerShell:

  1. Se você ainda não o tiver, instale o módulo do Azure Az PowerShell.

  2. Use o cmdlet Connect-AzAccount para entrar na sua conta do Azure. Saiba mais sobre como entrar no Azure com o Azure PowerShell.

  3. Habilitar o Microsoft Defender para Armazenamento para a conta de armazenamento desejada com o cmdlet Enable-AzSecurityAdvancedThreatProtection:

    Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

    Substitua <subscriptionId>, <resource-group> e <storage-account> pelos valores corretos para o seu ambiente.

Se quiser desabilitar os preços por transação em uma conta de armazenamento específica, use o cmdlet Disable-AzSecurityAdvancedThreatProtection:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Saiba mais sobre como usar o PowerShell com o Microsoft Defender para Nuvem.

CLI do Azure

Para habilitar o Microsoft Defender para Armazenamento para uma conta de armazenamento específica com preços por transação usando a CLI do Azure:

  1. Se você ainda não a tiver, instale a CLI do Azure.

  2. Use o comando az login para entrar na sua conta do Azure. Saiba mais sobre como entrar no Azure com a CLI do Azure.

  3. Habilitar o Microsoft Defender para Armazenamento para sua assinatura com o comando az security atp storage update:

    az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled true

Dica

Você pode usar o comando az security atp storage show para ver se o Defender para Armazenamento está habilitado em uma conta.

Para desabilitar o Microsoft Defender para Armazenamento para sua assinatura, use o comando az security atp storage update:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Saiba mais sobre o comando az security atp storage.

Excluir uma conta de armazenamento de uma assinatura protegida no plano por transação

Quando você habilita o Microsoft Defender para Armazenamento em uma assinatura para o preço por transação, todas as contas atuais e futuras do Armazenamento do Azure nessa assinatura são protegidas. Você pode excluir contas de armazenamento específicas das proteções do Defender para Armazenamento usando o portal do Azure, o PowerShell ou a CLI do Azure.

Recomendamos habilitar o Defender para Armazenamento em toda a assinatura para proteger todas as contas de armazenamento existentes e futuras. No entanto, existem alguns casos em que as pessoas desejam excluir contas de armazenamento específicas da proteção do Defender.

A exclusão de contas de armazenamento de assinaturas protegidas requer que você:

  1. Adicione uma marca para bloquear a herança da habilitação da assinatura.
  2. Desabilitar o Defender para Armazenamento (clássico).

Observação

Considere atualizar para o novo plano Defender para Armazenamento se você tiver contas de armazenamento que deseja excluir do plano clássico Defender para Armazenamento. Você não apenas economizará nos custos de contas com transações intensivas, mas também terá acesso a recursos de segurança aprimorados. Saiba mais sobre os benefícios da migração para o novo plano.

As contas de armazenamento excluídas no Defender para Armazenamento clássico não são excluídas automaticamente quando você migra para o novo plano.

Excluir uma proteção de conta de Armazenamento do Azure em uma assinatura com preços por transação

Para excluir uma conta de Armazenamento do Azure a partir do Microsoft Defender para Armazenamento (Clássico), você pode usar:

Usar o PowerShell para excluir uma conta do Armazenamento do Azure

  1. Se você não tiver o módulo do Azure Az PowerShell instalado, instale-o usando as instruções da documentação do Azure PowerShell.

  2. Usando uma conta autenticada, conecte-se ao Azure com o cmdlet Connect-AzAccount, conforme explicado em Entrar com o Azure PowerShell.

  3. Defina a marca AzDefenderPlanAutoEnable na conta de armazenamento pelo cmdlet Update-AzTag (substitua ResourceId pela ID do recurso da conta de armazenamento relevante):

    Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge

    Se você ignorar esta etapa, seus recursos não marcados continuarão recebendo atualizações diárias da política de habilitação de nível de assinatura. Essa política habilita novamente o Defender para Armazenamento na conta. Saiba mais sobre as marcas em Usar marcas para organizar os recursos do Azure e a hierarquia de gerenciamento.

  4. Desabilite o Microsoft Defender Armazenamento para a conta desejada na assinatura relevante com o cmdlet Disable-AzSecurityAdvancedThreatProtection (usando a mesma ID do recurso):

    Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>

    Saiba mais sobre este cmdlet.

Usar a CLI do Azure para excluir uma conta do Armazenamento do Azure

  1. Se você não tiver a CLI do Azure instalada, instale-a usando as instruções da documentação da CLI do Azure.

  2. Usando uma conta autenticada, conecte-se ao Azure com o comando login (conforme explicado em Entrar com CLI do Azure) e insira suas credenciais de conta quando solicitado:

    az login

  3. Defina a marca AzDefenderPlanAutoEnable na conta de armazenamento pelo comando tag update (substitua ResourceId pela ID do recurso da conta de armazenamento relevante):

    az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off

    Se você ignorar esta etapa, seus recursos não marcados continuarão recebendo atualizações diárias da política de habilitação de nível de assinatura. Essa política habilita novamente o Defender para Armazenamento na conta.

    Dica

    Saiba mais sobre as marcas em az tag.

  4. Desabilite o Microsoft Defender para Armazenamento para a conta desejada na assinatura relevante com o comando security atp storage (usando a mesma ID do recurso):

    az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false

    Saiba mais sobre esse comando.

Excluir uma conta de Armazenamento do Azure Databricks

Excluir um workspace ativo do Databricks

O Microsoft Defender para Armazenamento pode excluir contas de armazenamento de workspace ativas específicas do Databricks, quando o plano já estiver habilitado em uma assinatura.

Para excluir um workspace ativo do Databricks:

  1. Entre no portal do Azure.

  2. Navegue até Azure Databricks>Your Databricks workspace>Marcas.

  3. No campo Nome, insira AzDefenderPlanAutoEnable.

  4. No campo Valor, insira off e selecione Aplicar.

    Captura de tela mostrando o local e como aplicar a marca à conta do Azure Databricks.

  5. Navegue até as configurações do Microsoft Defender para Nuvem>Configurações de ambiente>Your subscription.

  6. Alterne o plano do Defender para Armazenamento paraDesativado e selecione Salvar.

    Captura de tela mostrando como desativar o plano do Defender para Armazenamento.

  7. Habilite novamente o Defender para Armazenamento (clássico) usando um dos métodos suportados (você não pode habilitar o Defender para Armazenamento clássico no portal do Azure).

As marcas são herdadas pela Conta de Armazenamento do workspace do Databricks e impedem que o Defender para Armazenamento seja ativado.

Observação

As marcas não podem ser adicionadas diretamente à conta de Armazenamento do Databricks ou a seu Grupo de Recursos Gerenciados.

Impedir a habilitação automática em uma nova conta de armazenamento do workspace do Databricks

Quando um novo workspace do Databricks é criado, é possível adicionar uma marca que impede que a conta do Microsoft Defender para Armazenamento seja habilitada automaticamente.

Para impedir a habilitação automática em uma nova conta de armazenamento do workspace do Databricks:

  1. Siga estas etapas para criar um novo workspace do Azure Databricks.

  2. Na guia Marcas, insira uma marca chamada AzDefenderPlanAutoEnable.

  3. Insira o valor off.

    Captura de tela que mostra como criar uma tag no workspace do Databricks.

  4. Continue seguindo as instruções para criar seu novo workspace do Azure Databricks.

A conta do Microsoft Defender para Armazenamento herda a marca do workspace do Databricks, o que impede que o Defender para Armazenamento seja ativado automaticamente.

Próximas etapas