Sdílet prostřednictvím


Vysvětlení bezpečnostních hrozeb a upozornění v Programu Microsoft Defender for Storage

Zabezpečení dat se stává nejvyšší prioritou při přesunu dat do řešení cloudového úložiště, jako je Azure Storage. Tento dokument popisuje běžné bezpečnostní hrozby a rizika spojená s chybně nakonfigurovanými nastaveními. Vysvětluje také výstrahy zabezpečení, které Microsoft Defender for Storage poskytuje k detekci potenciálních bezpečnostních hrozeb a odpovídá na ně.

Bezpečnostní hrozby v cloudových službách úložiště

Azure Storage je široce používané cloudové úložiště a stejně jako jakákoli cloudová služba je náchylná k různým bezpečnostním hrozbám. Mezi běžné bezpečnostní hrozby ve službě Azure Storage patří:

  • Zneužití přístupového tokenu a únik
  • Laterální přesun z ohrožených úloh
  • Ohrožení zabezpečení partnerů třetích stran s privilegovanými oprávněními
  • Krádež přihlašovacích údajů
  • Rekognoskace s vyhledávacími weby
  • Shromažďování dat podle proaktivního vyhledávání objektů blob
  • Hrozby insideru s existujícími oprávněními

Tyto hrozby můžou mít za následek nahrání malwaru, poškození dat a exfiltraci citlivých dat, což představuje významná rizika.

Diagram znázorňující běžná rizika pro data, která můžou mít za následek malware

Kromě bezpečnostních hrozeb můžou chyby konfigurace neúmyslně vystavit citlivé prostředky. Mezi běžné problémy s chybnou konfigurací patří:

  • Nedostatečné řízení přístupu a síťová pravidla, což vede k neúmyslnému vystavení dat na internetu
  • Nedostatečné mechanismy ověřování
  • Nedostatek protokolů šifrování dat pro přenášená i neaktivní uložená data

Aby se minimalizovalo riziko porušení zabezpečení a chyb konfigurace, týmy zabezpečení využívají kombinaci nástrojů pro správu stavu a nástrojů ochrany úloh. Tyto nástroje zajišťují, aby služba Azure Storage zůstala zabezpečená tím, že poskytuje přehled o včasných známkách porušení zabezpečení. Pomáhají předcházet útokům a udržovat zabezpečené konfigurace.

Bezpečnostní pracovníci Microsoftu analyzovali prostor pro útoky na služby úložiště. Potenciální bezpečnostní rizika jsou popsaná v matici hrozeb pro cloudové služby úložiště, které jsou založené na architektuře MITRE ATT&CK®, což je znalostní báze pro taktiku a techniky používané v kybernetických útocích.

Porovnání analýzy reputace malwaru a hodnoty hash najdete v tématu Vysvětlení rozdílů mezi těmito metodami.

Jaký druh výstrah zabezpečení poskytuje Microsoft Defender for Storage?

Tip

Úplný seznam všech výstrah Defenderu pro úložiště najdete na stránce s referenčními informacemi o upozorněních. To je užitečné pro vlastníky úloh, kteří chtějí vědět, jaké hrozby je možné detekovat, a pomoci týmům SOC seznámit se s detekcemi předtím, než je prošetřuje. Přečtěte si další informace o výstrahách zabezpečení cloudu a o tom, jak na ně reagovat.

Výstrahy zabezpečení se aktivují v následujících scénářích:

Scénář Popis
Nahrání škodlivého obsahu Kontrola malwaru kontroluje všechny objekty blob nahrané do vašich účtů úložiště. Detekuje ransomware, viry, spyware a další malware nahrané do účtu úložiště, což pomáhá zabránit tomu, aby vstoupil do organizace a šíří se. Klasická výstraha analýzy hodnot hash malwaru funguje jinak než kontrola malwaru. Porovná nahranou hodnotu hash objektu blob nebo souboru se seznamem známých škodlivých hodnot hash místo analýzy obsahu souboru pro malware.
Událost vystavení citlivých dat Detekce změn na úrovni přístupu umožňující neověřený veřejný přístup k kontejnerům objektů blob s citlivými daty z internetu
Podezřelé aktivity na prostředcích s citlivými daty Detekcepodezřelých
Ohrožené, chybně nakonfigurované a neobvyklé ověřovací tokeny Detekce ohrožených tokenů SAS používaných pro ověřování a operace roviny dat a detekce neobvyklých tokenů SAS, které může vygenerovat škodlivý objekt actor
Kontrola dat a oprávnění Detekce neobvyklého zkoumání dat a kontroly přístupových oprávnění
Exfiltrace dat Detekce neobvyklé extrakce dat z účtů úložiště
Odstranění dat Detekce neobvyklých odstranění v účtech úložiště
Pokusy o vyhledávání objektů blob Detekce pokusů o shromažďování vyhledáváním a výčetm prostředků veřejně vystavených prostředků úložiště
Přečtěte si další informace o tom, jak zjistit, prozkoumat a zabránit proaktivnímu vyhledávání objektů blob.
Neobvyklé vzory přístupu Detekce neobvyklého přístupu k účtům úložiště z neobvyklých umístění, aplikací a s neobvyklým ověřováním
Podezřelé přístupové podpisy Detekce známých podezřelých IP adres službou Microsoft Threat Intelligence, známými výstupními uzly Tor a známými podezřelými aplikacemi
Phishingové kampaně Detekce phishingového obsahu hostovaného v účtech úložiště a identifikovaná jako součást útoku phishing, který má vliv na uživatele Microsoftu 365

Výstrahy zabezpečení zahrnují podrobnosti o podezřelé aktivitě, relevantní kroky šetření, nápravné akce a doporučení zabezpečení. Výstrahy je možné exportovat do Microsoft Sentinelu nebo jakéhokoli jiného nástroje SIEM/XDR třetích stran. Přečtěte si další informace o tom, jak streamovat upozornění na řešení SIEM, SOAR nebo IT Service Management.