Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como habilitar e configurar o Microsoft Defender for Storage (clássico) em suas assinaturas usando vários modelos, como PowerShell, API REST e outros.
Nota
O Defender for Storage (clássico) não está disponível para novas assinaturas a partir de 5 de fevereiro de 2025.
Você também pode atualizar para o novo plano Microsoft Defender for Storage e usar recursos avançados de segurança, incluindo verificação de malware e deteção de ameaças de dados confidenciais. Tire partido de uma estrutura de preços previsível e granular que cobra por cada conta de armazenamento, com custos extras para transações de alto volume. Este novo plano de preços também engloba todos os novos recursos de segurança e deteções.
Nota
Se você usa o Defender for Storage (clássico) com preços por transação ou por conta de armazenamento, precisará migrar para o novo plano do Defender for Storage para acessar esses recursos e preços. Saiba mais sobre como migrar para o novo plano do Defender for Storage.
O Microsoft Defender for Storage é uma camada de inteligência de segurança nativa do Azure que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar suas contas de armazenamento. Ele usa recursos avançados de deteção de ameaças e dados do Microsoft Defender Threat Intelligence para fornecer alertas de segurança contextuais. Esses alertas incluem etapas para mitigar ameaças detetadas e prevenir ataques futuros.
O Microsoft Defender for Storage analisa continuamente as transações dos serviços Armazenamento de Blobs do Azure, Armazenamento Azure Data Lake e Arquivos do Azure . Quando atividades potencialmente maliciosas são detetadas, alertas de segurança são gerados. O Microsoft Defender for Cloud mostra alertas com detalhes de atividades suspeitas, etapas de investigação apropriadas, ações de correção e recomendações de segurança.
A telemetria analisada do Azure Blob Storage inclui tipos de operação como Obter Blob, Inserir Blob, Obter ACL do Contentor, Listar Blobs e Obter Propriedades do Blob. Exemplos de tipos de operação de Arquivos do Azure analisados incluem Obter Arquivo, Criar Arquivo, Listar Arquivos, Obter Propriedades de Arquivo e Colocar Intervalo.
O Defender for Storage classic não acessa os dados da conta de armazenamento e não afeta seu desempenho.
Saiba mais sobre os benefícios, recursos e limitações do Defender for Storage. Você também pode saber mais sobre o Defender for Storage no episódio do Defender for Storage da série de vídeos Defender for Cloud in the Field.
Disponibilidade
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade geral (GA) |
| Preços: | Microsoft Defender for Storage é cobrado conforme mostrado nos detalhes de preços e nos planos Defender no portal do Azure |
| Tipos de armazenamento protegidos: |
Armazenamento Blob (Standard/Premium StorageV2, Blobs de Blocos) Azure Files (via API REST e SMB) Azure Data Lake Storage Gen2 (contas Standard/Premium com namespaces hierárquicos habilitados) |
| Nuvens: |
Nuvens comerciais
Azure Government (Apenas para plano por transação)
Microsoft Azure operado pela 21Vianet
Contas da AWS conectadas |
Configurar preços por transação para uma conta de armazenamento
Você pode configurar o Microsoft Defender for Storage com preços por transação em suas contas de várias maneiras:
Modelo ARM
Para ativar o Microsoft Defender for Storage em uma conta de armazenamento específica com a opção de preços por transação usando um modelo ARM, utilize o modelo do Azure preparado.
Se você quiser desativar o Defender for Storage na conta:
- Inicie sessão no portal do Azure.
- Navegue para a sua conta de armazenamento.
- Na seção Segurança + rede do menu Conta de armazenamento, selecione Microsoft Defender for Cloud.
- Selecione Desativar.
PowerShell
Para habilitar o Microsoft Defender for Storage para uma conta de armazenamento específica com preços por transação usando o PowerShell:
Se ainda não o tiver, instale o módulo Azure Az PowerShell.
Use o cmdlet Connect-AzAccount para entrar na sua conta do Azure. Saiba mais sobre como entrar no Azure com o Azure PowerShell.
Habilite o Microsoft Defender for Storage para a conta de armazenamento desejada com o
Enable-AzSecurityAdvancedThreatProtectioncmdlet:Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"Substitua
<subscriptionId>,<resource-group>e<storage-account>pelos valores para o seu ambiente.
Se quiser desabilitar o preço por transação para uma conta de armazenamento específica, use o Disable-AzSecurityAdvancedThreatProtection cmdlet:
Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
Saiba mais sobre como usar o PowerShell com o Microsoft Defender for Cloud.
CLI do Azure
Para habilitar o Microsoft Defender for Storage para uma conta de armazenamento específica com preços por transação usando a CLI do Azure:
Se ainda não a tiver, instale a CLI do Azure.
Use o
az logincomando para entrar em sua conta do Azure. Saiba mais sobre entrar no Azure usando a CLI do Azure.Habilite o Microsoft Defender for Storage para sua assinatura com o
az security atp storage updatecomando:az security atp storage update \ --resource-group <resource-group> \ --storage-account <storage-account> \ --is-enabled true
Gorjeta
Você pode usar o comando para ver se o az security atp storage show Defender for Storage está habilitado em uma conta.
Para desativar o Microsoft Defender for Storage (clássico) para sua assinatura, use o az security atp storage update comando:
az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false
Saiba mais sobre o comando az security atp storage .
Excluir uma conta de armazenamento de uma assinatura protegida no plano de pagamento por transação
Quando uma assinatura tem o Microsoft Defender for Storage habilitado, todas as contas atuais e futuras do Armazenamento do Azure nessa assinatura são protegidas. Você pode excluir contas de armazenamento específicas das proteções do Defender for Storage usando o portal do Azure, o PowerShell ou a CLI do Azure.
Recomendamos que você habilite o Defender for Storage em toda a assinatura para proteger todas as contas de armazenamento existentes e futuras nela. No entanto, há alguns casos em que as pessoas querem excluir contas de armazenamento específicas da proteção do Defender.
A exclusão de contas de armazenamento de subscrições protegidas exige que você:
- Adicione uma tag para bloquear a herança da ativação da subscrição.
- Desative o Defender para Armazenamento (clássico).
Nota
Considere atualizar para o novo plano do Defender for Storage se tiver contas de armazenamento que gostaria de excluir do plano clássico do Defender for Storage. Você não só economizará em custos para contas com transações pesadas, mas também terá acesso a recursos de segurança aprimorados. Saiba mais sobre os benefícios de migrar para o novo plano.
As contas de armazenamento excluídas no clássico do Defender for Storage não são excluídas automaticamente quando você migra para o novo plano.
Excluir uma proteção de conta de Armazenamento do Azure em uma assinatura com preço por transação
Para excluir uma conta de Armazenamento do Azure do Microsoft Defender for Storage (clássico), você pode usar:
Usar o PowerShell para excluir uma conta de Armazenamento do Azure
Se você não tiver o módulo Azure Az PowerShell instalado, instale-o usando as instruções da documentação do Azure PowerShell.
Usando uma conta autenticada, conecte-se ao Azure com o cmdlet, conforme explicado em Entrar com o
Connect-AzAccountAzure PowerShell.Defina a tag AzDefenderPlanAutoEnable na conta de armazenamento com o cmdlet
Update-AzTag(substitua o ResourceId pelo ID de recurso da conta de armazenamento relevante):Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation MergeSe você pular esta etapa, seus recursos não marcados continuarão recebendo atualizações diárias da política de habilitação de nível de assinatura. Essa política habilita o Defender for Storage novamente na conta. Saiba mais sobre tags em Usar tags para organizar seus recursos do Azure e hierarquia de gerenciamento.
Desative o Microsoft Defender for Storage para a conta desejada na assinatura relevante com o
Disable-AzSecurityAdvancedThreatProtectioncmdlet (usando a mesma ID de recurso):Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
Usar a CLI do Azure para excluir uma conta de Armazenamento do Azure
Se você não tiver a CLI do Azure instalada, instale-a usando as instruções da documentação da CLI do Azure.
Usando uma conta autenticada, conecte-se ao Azure com o comando, conforme explicado em Entrar com a
loginCLI do Azure e insira suas credenciais de conta quando solicitado:az loginDefina a tag AzDefenderPlanAutoEnable na conta de armazenamento com o
tag updatecomando (substitua o ResourceId pelo ID do recurso da conta de armazenamento relevante):az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=offSe saltar esta etapa, os seus recursos sem marcação continuarão a receber atualizações diárias da política de habilitação ao nível da assinatura. Essa política habilita o Defender for Storage novamente na conta.
Gorjeta
Saiba mais sobre tags em az tag.
Desative o Microsoft Defender for Storage para a conta desejada na assinatura relevante com o
security atp storagecomando (usando a mesma ID de recurso):az security atp storage update --resource-group MyResourceGroup --storage-account MyStorageAccount --is-enabled false
Excluir uma conta de Armazenamento do Databricks no Azure
Excluir um espaço de trabalho Databricks ativo
O Microsoft Defender for Storage pode excluir contas de armazenamento de espaço de trabalho Databricks ativas específicas, quando o plano já estiver habilitado em uma assinatura.
Para excluir um espaço de trabalho Databricks ativo:
Inicie sessão no portal do Azure.
Navegue até Azure Databricks>
Your Databricks workspace>Tags.No campo Nome, digite
AzDefenderPlanAutoEnable.No campo Valor, insira
offe selecione Aplicar.
Navegue até Microsoft Defender for Cloud>Configurações do ambiente>
Your subscription.Desative o plano do Defender for Storage e selecione Salvar.
Reative o Defender for Storage (clássico) usando um dos métodos suportados (não é possível habilitar o Defender for Storage clássico no portal do Azure).
As tags são herdadas pela conta Armazenamento do espaço de trabalho Databricks e impedem que o Defender for Storage seja ativado.
Nota
As tags não podem ser adicionadas diretamente à conta do Armazenamento Databricks ou ao Grupo de Recursos Gerenciados.
Impedir a ativação automática em uma nova conta de armazenamento do espaço de trabalho Databricks
Ao criar um novo espaço de trabalho Databricks, você tem a capacidade de adicionar uma marca que impede que sua conta do Microsoft Defender for Storage seja ativada automaticamente.
Para impedir a ativação automática em uma nova conta de armazenamento do espaço de trabalho do Databricks:
Siga estas etapas para criar um novo espaço de trabalho do Azure Databricks.
No separador Etiquetas, introduza uma etiqueta denominada
AzDefenderPlanAutoEnable.Insira o valor
off.
Continue seguindo as instruções para criar seu novo espaço de trabalho do Azure Databricks.
A conta do Microsoft Defender for Storage herda a marca do espaço de trabalho Databricks, que impede que o Defender for Storage seja ativado automaticamente.
Desativar Microsoft Defender para Armazenamento (clássico)
Desativar preços por transação para uma subscrição
Modelo Terraform
Para desativar o Microsoft Defender for Storage (clássico) no nível de assinatura com preços por transação usando um modelo Terraform, adicione este trecho de código ao seu modelo com sua ID de parent_id assinatura como valor:
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Security/pricings@2022-03-01"
name = "StorageAccounts"
parent_id = "<subscriptionId>"
body = jsonencode({
properties = {
pricingTier = "Free"
}
})
}
Saiba mais sobre a referência do modelo ARM AzAPI.
Modelo de bíceps
Para desativar o Microsoft Defender for Storage (clássico) no nível de assinatura com preços por transação usando o Bicep, adicione o seguinte ao seu modelo Bicep:
resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
name: 'StorageAccounts'
properties: {
pricingTier: 'Free'
}
}
Saiba mais sobre a referência AzAPI do modelo Bicep.
Modelo ARM
Para desabilitar o Microsoft Defender for Storage (clássico) no nível de assinatura com preços por transação usando um modelo ARM, adicione este trecho JSON à seção de recursos do seu modelo ARM:
{
"type": "Microsoft.Security/pricings",
"apiVersion": "2022-03-01",
"name": "StorageAccounts",
"properties": {
"pricingTier": "Free",
}
}
Saiba mais sobre a referência AzAPI do modelo ARM.
PowerShell
Para desabilitar o Microsoft Defender for Storage (clássico) no nível de assinatura com preços por transação usando o PowerShell:
Se ainda não o tiver, instale o módulo Azure Az PowerShell.
Use o
Connect-AzAccountcmdlet para entrar em sua conta do Azure. Saiba mais sobre como entrar no Azure com o Azure PowerShell. Desative o Microsoft Defender for Storage para sua assinatura com oSet-AzSecurityPricingcmdlet:Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Free"
CLI do Azure
Para desabilitar o Microsoft Defender for Storage no nível de assinatura com preços por transação usando a CLI do Azure:
Se ainda não a tiver, instale a CLI do Azure.
Use o
az logincomando para entrar em sua conta do Azure. Saiba mais sobre como entrar no Azure utilizando a Azure CLI.Use estes comandos para definir o ID e o nome da assinatura:
az account set --subscription "<subscriptionId or name>"Substitua
<subscriptionId>pelo seu ID de subscrição.Desative o Microsoft Defender for Storage para sua assinatura com o
az security pricing createcomando:az security pricing create -n StorageAccounts --tier "free"
Gorjeta
Você pode usar o az security pricing show comando para ver todos os planos do Defender for Cloud habilitados para a assinatura.
Para desativar o plano, defina o valor da -tier propriedade como free.
Saiba mais sobre o az security pricing create comando.
API REST
Para ativar o Microsoft Defender for Storage ao nível de subscrição com tarifação por transação usando a API REST do Microsoft Defender for Cloud, criar uma solicitação PUT com este endpoint e corpo:
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01
{
"properties": {
"pricingTier": "Standard",
"subPlan": "PerTransaction"
}
}
Substitua {subscriptionId} pelo seu ID de subscrição.
Para desativar o plano, defina o valor da -pricingTier propriedade como Free e remova o subPlan parâmetro.
Saiba mais sobre a atualização dos planos do Defender com a API REST em HTTP, Java, Go e JavaScript.
Próximos passos
- Confira os alertas para o Armazenamento do Azure
- Saiba mais sobre os recursos e benefícios do Defender for Storage
- Confira as perguntas comuns sobre o Defender for Storage classic.