Resumen
La canalización de procesamiento de documentos de IA de Contoso ahora funciona con una capa completa de detección de amenazas que identifica contenido malintencionado, patrones de acceso sospechosos y tokens saS en peligro antes de que se produzcan daños. Microsoft Defender para Storage proporciona esta protección a través de tres pilares de detección complementarios: la supervisión de actividades analiza continuamente los patrones de acceso y detecta comportamientos anómalos. El análisis de malware inspecciona el contenido cargado en busca de amenazas, y la detección de amenazas en datos confidenciales enriquece las alertas con contexto de clasificación para ayudar a priorizar la investigación.
Ha implementado Defender a escala mediante Azure Policy, lo que garantiza que todas las cuentas de almacenamiento de las suscripciones de producción reciban una protección coherente automáticamente. Las configuraciones personalizadas aplicadas a la cuenta de carga de asociados de Contoso proporcionan una capacidad mejorada de examen de malware donde el contenido externo crea un mayor riesgo, mientras que las cuentas internas funcionan con niveles de protección estándar. Los límites de examen mensuales controlan los costos sin sacrificar la seguridad de las cuentas de alta prioridad.
La configuración del enrutamiento de alertas garantiza que el equipo de operaciones de seguridad reciba detecciones procesables a través de notificaciones por correo electrónico y de la gestión de incidentes de Microsoft Sentinel. Las reglas de supresión de alertas reducen el ruido de los comportamientos esperados de las aplicaciones de IA, por lo que las amenazas auténticas llegan al equipo de operaciones de seguridad sin competir con falsos positivos conocidos. La supervisión del Centro de almacenamiento y la validación del examen de malware confirman que la cobertura funciona según lo previsto en todo el entorno.
Piense en el incidente que abrió este módulo. Un archivo malintencionado llegó a través de un canal de asociado legítimo con un token saS válido, omitió todas las redes y el control de acceso que el equipo tenía y se extendió a los sistemas internos antes de que nadie notó. La configuración que ha creado en este módulo aborda cada punto de error de esa cadena. El análisis antimalware intercepta el archivo en el momento de la subida, antes de que llegue a fases posteriores del procesamiento. La supervisión de la actividad detecta que el token SAS se está utilizando de formas que no concuerdan con los patrones normales de acceso del socio. Es probable que el almacén de documentos posterior estuviera clasificado, por lo que la detección de amenazas de datos confidenciales eleva la prioridad de la alerta. El equipo de SOC sabe inmediatamente que algo valioso estaba en riesgo. El mismo ataque, con esta configuración, se convierte en una carga bloqueada y una alerta enrutada en lugar de una infracción de varios sistemas.
Esta capa de detección de amenazas completa la estrategia de defensa en profundidad desarrollada en los tres módulos de esta ruta de aprendizaje. El refuerzo de cuentas estableció líneas de base de configuración seguras. Los controles de red y de acceso crearon defensas perimetrales. Defender para Storage añade la capacidad de detección que identifica amenazas sin importar cómo eludan o sorteen las dos primeras capas. Juntos, estos controles proporcionan una protección completa para las cuentas de almacenamiento que admiten cargas de trabajo de IA y canalizaciones de procesamiento de documentos.
La seguridad del almacenamiento requiere atención continua a medida que evoluciona el entorno. Use los informes de cumplimiento de Azure Policy para identificar nuevas cuentas de almacenamiento que requieren protección. Revise el Centro de almacenamiento periódicamente para confirmar que la cobertura sigue siendo coherente. Supervise las alertas de límite de análisis de malware para ajustar las asignaciones de capacidad a medida que cambian los volúmenes de carga. La seguridad es un proceso continuo y Defender para Storage proporciona las herramientas para mantener la detección de amenazas eficaz a medida que crece el entorno en la nube.