Flytta till den nya Defender for Storage-planen

Den 28 mars 2023 introducerade vi den nya Defender for Storage-planen. Den här planen erbjuder flera fördelar som inte är tillgängliga i prisplaner för Defender for Storage (klassisk) per transaktion eller per lagringskonto, till exempel:

  • Förbättrad aktivitetsövervakning: Kontinuerlig analys av dataplans- och kontrollplansaktiviteter för hotidentifiering.
  • Identifiering av komprometterade eller missbrukade SAS-token: Kontinuerlig analys av dataplans- och kontrollplansaktiviteter för hotidentifiering, inklusive identifiering av felkonfigurerade och alltför tillåtande signaturer för delad åtkomst (SAS-token) som kan läckas eller komprometteras.
  • Alternativ för att aktivera identifiering av känsligt datahot (tillägg): Identifiering av potentiella exponeringshändelser och misstänkta aktiviteter på resurser som innehåller känsliga data som resulterar i dataexfiltrering.
  • Alternativ för att aktivera skanning av skadlig kod (betalt tillägg): Realtidsidentifiering av skadliga filer över alla filtyper.
  • Förutsägbar prissättning per lagringskonto: En mer förutsägbar och flexibel prisstruktur för bättre kontroll över täckningen.
  • Detaljerade kontroller på resursnivå: Aktivera på prenumerations- eller resursnivå och exkludera specifika lagringskonton från skyddade prenumerationer, vilket ger mer detaljerad kontroll över din säkerhetstäckning.

De nya avgifterna för prissättningsplanen baseras på antalet lagringskonton som du skyddar, vilket förenklar beräkningar och möjliggör enkel skalning när dina behov ändras. Detaljerad prisinformation finns på prissidan.

För att dra nytta av dessa funktioner rekommenderar vi att du flyttar till den nya Defender for Storage-planen senast den 5 februari 2025.

Kommentar

Efter den 5 februari 2025 kan du inte längre aktivera Defender for Storage (klassisk), den äldre prisplanen per transaktion, i de flesta scenarier. Det enda undantaget är för prenumerationer som redan har prissättningen per transaktion aktiverad.

Viktiga ändringar i Defender för Lagring (klassisk)

Defender for Storage (klassisk) erbjuder två prisstrukturer: per transaktion och per lagringskonto. Från och med den 5 februari 2025 övergår den här planen till Defender för lagring med priser per lagringskonto.

Påverkan på defender för lagring (klassisk) per transaktionsplan

Den klassiska planen per transaktion är inte längre tillgänglig för nya lagringskonton och prenumerationer. Befintliga konton behåller planen utan framtida funktioner och uppdateringar, så vi rekommenderar att du går över till den nya planen för de förbättrade funktionerna och förenklade priser. Om ditt prenumerations- eller lagringskonto redan har den klassiska planen per transaktion aktiverad förblir den aktiv, men det går bara att aktivera den här planen på resursnivå för dessa befintliga prenumerationer.

Om du har principer som tillämpar den klassiska planen per transaktion utan att ange underplanen per transaktion behåller befintliga prenumerationer sin aktuella plan, medan nya prenumerationer som standard är den nya planen. Men om du anger underplanen per transaktion misslyckas den för nya prenumerationer. När du har växlat till den nya planen kan du inte längre återgå till defender för lagring (klassisk) per transaktion eller per lagringskonto på prenumerations- eller lagringskontonivå.

Påverkan i defender för lagring (klassisk) per lagringskontoplan

Den klassiska planen per lagringskonto övergår automatiskt till Defender for Storage-planen utan att aktivera tilläggsfunktioner som standard. Lagringskonton som tidigare exkluderats från skyddade prenumerationer i planen per transaktion förblir inte undantagna när de uppgraderas till den nya planen. Om du vill inaktivera skyddet på dessa lagringskonton kan du göra det i den nya planen.

Identifiera aktiva Defender for Storage-planer

Vi tillhandahåller tre alternativ för att ta reda på aktivering och konfiguration av Defender for Storage-planer:

  • KQL-fråga i Resource Graph Explorer: Använd den här KQL-frågan i Azure-portalens Resource Graph Explorer för att visa vilka planer som är aktiverade på prenumerationsnivå:

    // DF-Storage Plans
    securityresources
    | where type == "microsoft.security/pricings"
    | where name == "StorageAccounts"
    | extend pricingTier = properties.pricingTier
    | extend DefenderForStoragePlan = properties.subPlan
    | extend IsInTrialPeriod = properties.freeTrialRemainingTime
    | extend MalwareScanningEnabled = properties.extensions[0].isEnabled
    | extend MalwareScanningCapping = properties.extensions[0].additionalExtensionProperties["CapGBPerMonthPerStorageAccount"]
    | extend SensitiveDataDiscoveryEnabled = properties.extensions[1].isEnabled
    | extend IsEnabled = iff(pricingTier == "Free", "Disabled", "Enabled"), 
        DefenderForStoragePlan  = iff(isnull(DefenderForStoragePlan ), "", DefenderForStoragePlan ), 
        MalwareScanningEnabled = iff(isnull(MalwareScanningEnabled), "", MalwareScanningEnabled), 
        MalwareScanningCapping = iff(isnull(MalwareScanningCapping), "", MalwareScanningCapping), 
        SensitiveDataDiscoveryEnabled = iff(isnull(SensitiveDataDiscoveryEnabled), "", SensitiveDataDiscoveryEnabled),
        IsInTrialPeriod = iff(IsInTrialPeriod == "PT0S", "", "Yes")
    | project properties, tenantId, subscriptionId, IsInTrialPeriod, IsEnabled, DefenderForStoragePlan, MalwareScanningEnabled, MalwareScanningCapping, SensitiveDataDiscoveryEnabled
    
  • Detaljerad analys med PowerShell-skript: Kör det här PowerShell-skriptet för en mer detaljerad undersökning, inklusive information på både prenumerations- och resursnivå (med tilläggskonfiguration).

  • Arbetsbok för information om täckning på prenumerationsnivå: Använd den angivna arbetsboken för att se vilka planer som är aktiverade på prenumerationsnivå och deras konfigurationsinformation. Information om hur du kommer åt arbetsboken finns i Microsoft Defender för lagring – instrumentpanel för prisuppskattning.

Migreringsmetoder

Om du vill aktivera och konfigurera den nya Microsoft Defender for Storage-planen har du flera alternativ:

  • Inbyggd Azure-princip (rekommenderas): Tillämpa inbyggda principer för att på ett enhetligt sätt skydda alla befintliga och framtida lagringskonton i stor skala inom ett definierat omfång, till exempel hanteringsgrupper.
  • IaC-mallar (Infrastruktur som kod): Använd Terraform-, Bicep- eller Azure Resource Manager-mallar för automatisk distribution och konfiguration.
  • Azure-portalen: Migrera till den nya planen via Azure-portalen.
    1. Gå till Miljöinställningar i Defender för molnet eller fönstret Defender för moln i ett av lagringskontona.
    2. Under Lagring väljer du Ny plan tillgänglig.
    3. I fönstret Uppgradera Defender för lagringsplan väljer du dina konfigurationsalternativ och väljer sedan Uppgradera prenumeration.
  • REST API: Använd REST-API:et för att aktivera den nya planen programmatiskt.

Identifiera aktiva principer

Om du vill aktivera den nya planen måste du inaktivera de gamla Principerna för Defender för lagring:

  • "Konfigurera azure Defender för lagring som ska aktiveras"
  • "Azure Defender för Storage ska vara aktiverat"
  • "Konfigurera Att Microsoft Defender för Lagring ska aktiveras (per lagringskontoplan)"
  • "Konfigurera Microsoft Defender för lagring (klassisk) att aktiveras"
  • "Distribuera Defender för lagring (klassisk) på lagringskonton"

Du kan använda följande metoder för att identifiera aktiva principer:

Azure Resource Graph Explorer

Om du vill identifiera aktiva principer i din prenumeration med Hjälp av Azure Resource Graph Explorer kör du följande fråga som innehåller de gamla Defender for Storage-principerna. Om du har anpassade principer ändrar du frågan i enlighet med detta:

policyresources
| where type == "microsoft.authorization/policyassignments"
| where subscriptionId == "{subscriptionId}"
| where properties['displayName'] in ("Configure Azure Defender for Storage to be enabled", "Azure Defender for Storage should be enabled", "Configure Microsoft Defender for Storage to be enabled (per-storage account plan)", "Configure Microsoft Defender for Storage (Classic) to be enabled", "Deploy Defender for Storage (Classic) on storage accounts")

PowerShell

Om du vill identifiera aktiva principer i din prenumeration med hjälp av PowerShell kör du:

Get-AzPolicyAssignment -Scope "/subscriptions/{subscriptionId}"

Gå vidare

I den här artikeln har du lärt dig om att migrera till den nya Microsoft Defender for Storage-planen.