Información general de Microsoft Defender para Storage

Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft para proporcionar alertas de seguridad contextuales. Estas alertas también incluyen pasos para mitigar las amenazas detectadas y evitar ataques futuros.

Puede habilitar Microsoft Defender para Storage en el nivel de suscripción (recomendado) o de recursos.

Defender para Storage analiza continuamente el flujo de telemetría generado por los servicios Azure Blob Storage y Azure Files. Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas se muestran en Microsoft Defender for Cloud junto con los detalles de la actividad sospechosa y los pasos de investigación pertinentes, las acciones de corrección y las recomendaciones de seguridad.

La telemetría analizada de Azure Blob Storage incluye tipos de operación como Get Blob, Put Blob, Get Container ACL, List Blobs y Get Blob Properties. Entre los ejemplos de tipos de operación de Azure Files analizados se incluyen Get File, Create File, List Files, Get File Properties y Put Range.

Defender para Storage no tiene acceso a los datos de la cuenta de Storage y no afecta a su rendimiento.

Para obtener más información, vea este vídeo en la serie de vídeos del ámbito de Defender for Cloud:

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Microsoft Defender para Storage se factura como se muestra en la página de precios.
Tipos de almacenamiento protegido: Blob Storage (Storage V2 Estándar/Premium, Blobs en bloques)
Azure Files (a través de la API de REST y SMB)
Azure Data Lake Storage Gen2 (cuentas Estándar/Premium con espacios de nombres jerárquicos habilitados)
Nubes: Nubes comerciales
Azure Government
Azure China 21Vianet
Cuentas de AWS conectadas

¿Cuáles son las ventajas de Microsoft Defender para Storage?

Defender para Storage proporciona:

  • Seguridad nativa de Azure: con la habilitación en un clic, Defender para Storage protege los datos almacenados en Azure Blob Storage, Azure File Storage y Data Lake Storage. Como servicio nativo de Azure, Defender para Storage proporciona seguridad centralizada en todos los recursos de datos que administra Azure y se integra con otros servicios de seguridad de Azure, como Microsoft Sentinel.

  • Conjunto de detecciones enriquecidas: con tecnología de Inteligencia sobre amenazas de Microsoft, las detecciones de Defender para Storage abarcan las principales amenazas del almacenamiento, como el acceso no autenticado, las credenciales vulneradas, los ataques de ingeniería social, la filtración de datos, el abuso de privilegios y el contenido malintencionado.

  • Respuesta a escala: las herramientas de automatización de Defender for Cloud facilitan la prevención y la respuesta a las amenazas identificadas. Más información en Automatización de respuestas a desencadenadores de Defender for Cloud

Información general de las características de Microsoft Defender para Storage.

Amenazas de seguridad en los servicios de almacenamiento basados en la nube

Los investigadores de seguridad de Microsoft han analizado la superficie expuesta a ataques de los servicios de almacenamiento. Las cuentas de almacenamiento pueden estar sujetas a daños en los datos, exposición de contenido confidencial, distribución de contenido malintencionado, filtración de datos, acceso no autorizado, etc.

Los posibles riesgos de seguridad se describen en la matriz de amenazas para los servicios de almacenamiento basados en la nube y se basan en el marco de MITRE ATT&CK®, una knowledge base de las tácticas y técnicas empleadas en ciberataques.

Matriz de amenazas de Microsoft para las amenazas de seguridad de almacenamiento en la nube en la nube.

¿Qué tipos de alertas ofrece Microsoft Defender para Storage?

Las alertas de seguridad se desencadenan para los escenarios siguientes (normalmente entre 1 y 2 horas después del evento):

Tipo de amenaza Descripción
Acceso inusual a una cuenta Por ejemplo, el acceso desde un nodo de salida de TOR, direcciones IP sospechosas, aplicaciones y ubicaciones inusuales, y el acceso anónimo sin autenticación.
Comportamiento inusual en una cuenta Comportamiento que se desvía de una línea base aprendida, como un cambio de permisos de acceso en una cuenta, una inspección de acceso inusual, una exploración de datos inusitada, una eliminación excepcional de blobs o archivos, o una extracción de datos fuera de lo común.
Detección de malware basada en la reputación de hash Detección de malware conocido basado en hash de blob o archivo completo. Esto puede ayudar a detectar ransomware, virus, spyware y otros tipos de malware cargados en una cuenta, y evitar que penetre en la organización y se propague a más usuarios y recursos. Consulte también Limitaciones del análisis de reputación de hash.
Cargas de archivos inusuales Paquetes de servicios en la nube inusuales y archivos ejecutables que se han cargado en una cuenta.
Visibilidad pública Posibles intentos de irrupción mediante el examen de contenedores y la extracción de datos potencialmente confidenciales de contenedores accesibles públicamente.
Campañas de suplantación de identidad Cuando el contenido hospedado en Azure Storage se identifica como parte de un ataque de suplantación de identidad (phishing) que afecta a usuarios de Microsoft 365.

Puede consultar la lista completa de alertas de Microsoft Defender para Storage.

Las alertas incluyen detalles acerca del incidente que las desencadenó, así como recomendaciones sobre cómo investigarlas y corregirlas. Las alertas se pueden exportar no solo a Microsoft Sentinel, sino también a cualquier otra SIEM de terceros o cualquier otra herramienta externa. Puede encontrar más información en Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR.

Sugerencia

Para ver una lista completa de todas las alertas de Defender para Storage, consulte la página de referencia de alertas. Esto es útil para los propietarios de cargas de trabajo que desean saber qué amenazas se pueden detectar y ayudar a los equipos de SOC a familiarizarse con las detecciones antes de investigarlas. Obtenga más información sobre lo que hay en una alerta de seguridad de Defender for Cloud y cómo administrar las alertas en Administrar y responder a las alertas de seguridad en Microsoft Defender for Cloud.

Exploración de anomalías de seguridad

Cuando se producen anomalías en la actividad de almacenamiento, recibe una notificación por correo electrónico con información acerca del evento de seguridad sospechoso. Los detalles del evento incluyen:

  • La naturaleza de la anomalía
  • El nombre de la cuenta de almacenamiento
  • La hora del evento
  • El tipo de almacenamiento
  • Las causas posibles
  • Los pasos de investigación
  • Los pasos para la corrección

El correo electrónico también incluye detalles acerca de las posibles causas y las medidas recomendadas para investigar y mitigar la potencial amenaza.

Captura de pantalla del correo electrónico de alerta de Microsoft Defender para Storage.

Las alertas de seguridad vigentes se pueden revisar y administrar desde el icono Alertas de seguridad de Microsoft Defender for Cloud. Seleccione una alerta para ver los detalles y acciones para investigar la amenaza actual y solucionar amenazas futuras.

Captura de la alerta de Microsoft Defender para Storage.

Limitaciones del análisis de reputación de hash

  • La reputación de hash no es una inspección profunda de archivos: Microsoft Defender para Storage usa el análisis de reputación de hash admitido por Inteligencia sobre amenazas de Microsoft para determinar si un archivo cargado es sospechoso. Las herramientas de protección contra amenazas no analizan los archivos cargados; en su lugar, analizan la telemetría generada a partir de los servicios Blobs Storage y Files. Defender para Storage luego compara los hashes de los archivos recién cargados con hashes de virus, troyanos, spyware y ransomware conocidos.

  • El análisis de reputación de hash no se admite para todos los protocolos de archivos y tipos de operación: algunos de los registros de telemetría contienen el valor hash del blob o archivo relacionado, pero no todos. En algunos casos, la telemetría no contiene un valor hash. Como resultado, algunas operaciones no se pueden supervisar en busca de cargas de malware conocidas. Algunos ejemplos de estos casos de uso no admitidos son los recursos compartidos de archivos SMB y cuando se crea un blob mediante Put Block y Put Block List.

Sugerencia

Cuando se sospecha que un archivo contiene malware, Defender for Cloud muestra una alerta y, opcionalmente, puede enviar un correo electrónico al propietario del almacenamiento para que elimine el archivo sospechoso. Para configurar esta eliminación automática de archivos que el análisis de reputación de hash indica que contienen malware, implemente una automatización del flujo de trabajo para desencadenar alertas que contengan el "malware potencial cargado en una cuenta de almacenamiento".

Preguntas más frecuentes: Microsoft Defender para Storage

¿Cómo calculo los cargos en el nivel de cuenta?

Para optimizar los costos, es posible que desee excluir cuentas de Storage específicas asociadas con un tráfico elevado de protecciones de Defender para Storage. Para obtener una estimación de los costos de Defender para Storage, use el libro de estimación de precios en Azure Portal.

¿Puedo excluir una cuenta de Azure Storage de una suscripción protegida?

Para excluir una cuenta de Storage específica cuando se habilita Defender para Storage en una suscripción, siga las instrucciones de Excluir una cuenta de almacenamiento de las protecciones de Microsoft Defender para Storage.

¿Cómo configuro las respuestas automáticas para las alertas de seguridad?

Use la automatización del flujo de trabajo para desencadenar respuestas automáticas a las alertas de seguridad de Defender for Cloud.

Por ejemplo, puede configurar la automatización para abrir tareas o vales para personal o equipos específicos en un sistema de administración de tareas externo.

Sugerencia

Explore las automatizaciones disponibles en las páginas de la comunidad de Defender for Cloud: automatización de ServiceNow, automatización de Jira, automatización de Azure DevOps, automatización de Slack, o cree las suyas propias.

Use la automatización para las respuestas automáticas: para definir su propia automatización o usar la automatización lista para usar de la comunidad (por ejemplo, quitar archivos malintencionados tras la detección). Para ver más soluciones, visite la comunidad de Microsoft en GitHub. 

Pasos siguientes

En este artículo, ha obtenido información sobre Microsoft Defender para Storage.