Introducción
El flujo de procesamiento de documentos con IA de Contoso acepta la carga de archivos de socios externos para su análisis y distribución automatizados. El mes pasado, un archivo malicioso entró a través de la carga legítima de un socio, eludió los controles de red y las directivas de acceso, y se propagó a los sistemas internos antes de que el equipo de seguridad detectara la amenaza. La carga usó un token de SAS válido, por lo que los controles de acceso existentes lo trataron como tráfico autorizado. Las reglas de seguridad de red permitían la conexión porque provenía de una dirección IP de asociado conocida. Para cuando el equipo detectó la actividad inusual, el malware ya se había ejecutado en sistemas posteriores de procesamiento.
El equipo de seguridad en la nube se da cuenta de que necesitan una capa de detección de amenazas que funciona fuera de los controles de red y las directivas de acceso, una que inspecciona el contenido y analiza los patrones de acceso independientemente de cómo se concedió el acceso. Microsoft Defender para Storage proporciona esta capa. Supervisa continuamente la actividad de almacenamiento para detectar patrones sospechosos y examina los archivos cargados para el malware. También identifica cuándo los agentes de inteligencia artificial o las aplicaciones usan tokens saS comprometidos o excesivamente permisivos.
Habilitar Microsoft Defender para Storage ahora es un mandato claro para el equipo de seguridad en la nube de Contoso. Deben habilitar Microsoft Defender for Storage en todas las cuentas de almacenamiento de la canalización de IA, no solo en el depósito de carga del socio, sino también en el almacén de documentos procesados y en el repositorio de datos de entrenamiento de aprendizaje automático. A medida que avanzan en la configuración, surgen tres prioridades. En primer lugar, los costos de análisis de malware deben permanecer dentro del presupuesto a medida que crecen los volúmenes de archivos. En segundo lugar, las alertas de datos confidenciales necesitan el contexto de prioridad correcto. En tercer lugar, cada detección debe llegar a las personas adecuadas en el momento adecuado. Al final, el equipo debe tener la certeza de que el proceso de detección funciona, y no solo de que está configurado.
Objetivos de aprendizaje
Después de completar este módulo, podrá:
- Describir los tres pilares de detección de Microsoft Defender para Storage y cómo difieren del plan clásico
- Habilitación de Defender para Storage en el nivel de suscripción y recurso mediante la implementación controlada por directivas
- Configuración del examen de malware con límites mensuales de GB para el control de costos
- Configuración de la detección de amenazas de datos confidenciales
- Configuración de notificaciones de alertas y comprobación de que las salidas de Defender lleguen al equipo de seguridad adecuado