A Microsoft Defender for Storage áttekintése
A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket.
Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést.
Feljegyzés
Ez a cikk a 2023. március 28-án elindított új Defender for Storage-csomagról szól. Olyan új funkciókat tartalmaz, mint a kártevő-vizsgálat és a bizalmas adatfenyegetések észlelése. Ez a terv kiszámíthatóbb árképzési struktúrát is biztosít a lefedettség és a költségek jobb ellenőrzése érdekében. Emellett az összes új Defender-funkció csak az új csomaghoz lesz hozzáadva. Az új tervre való migrálás egy egyszerű folyamat, itt olvashat arról, hogyan migrálhat a klasszikus tervből.
A Microsoft Defender for Storage átfogó biztonságot nyújt az Azure Blob Storage, az Azure Files és az Azure Data Lake Storage szolgáltatás által létrehozott adatsík és vezérlősík telemetriai adatainak elemzésével. A Microsoft Threat Intelligence, a Microsoft Defender víruskereső és a Bizalmas adatfelderítés által nyújtott fejlett fenyegetésészlelési képességeket használja a lehetséges fenyegetések felderítéséhez és elhárításához.
A Defender for Storage a következőket tartalmazza:
- Tevékenységfigyelés
- Bizalmas adatfenyegetések észlelése (előzetes verziójú funkció, csak új csomag)
- Kártevő-vizsgálat (csak új csomag)
Első lépések
Egyszerű, ügynök nélküli, nagy léptékű beállítással engedélyezheti a Defender for Storage-t az előfizetés vagy az erőforrás szintjén a portálon keresztül vagy programozott módon. Ha az előfizetés szintjén engedélyezve van, az előfizetés alatt lévő összes meglévő és újonnan létrehozott tárfiók automatikusan védett lesz. Bizonyos tárfiókokat a védett előfizetésekből is kizárhat.
Feljegyzés
Ha már engedélyezve van a Defender for Storage (klasszikus), és hozzá szeretne férni az új biztonsági funkciókhoz és díjszabáshoz, át kell telepítenie az új díjszabási csomagra.
Elérhetőség
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Általános rendelkezésre állás (GA) |
| Szolgáltatás rendelkezésre állása: | – Tevékenységfigyelés (biztonsági riasztások) – Általános rendelkezésre állás (GA) – Kártevő-vizsgálat – Általános rendelkezésre állás (GA) – Bizalmas adatfenyegetések észlelése (bizalmas adatfelderítés) – előzetes verzió |
| Díjszabás: | A Microsoft Defender for Storage díjszabása kereskedelmi felhőkre vonatkozik. További információ a régiónkénti díjszabásról és rendelkezésre állásról . |
Támogatott tárolótípusok: |
Blob Storage (Standard/Premium StorageV2, beleértve a Data Lake Gen2-t): Tevékenységfigyelés, kártevő-vizsgálat, bizalmas adatok felderítése Azure Files (REST API-n és SMB-n keresztül): Tevékenységfigyelés |
| Szükséges szerepkörök és engedélyek: | A kártevő-vizsgálathoz és a bizalmas adatfenyegetések észleléséhez az előfizetés és a tárfiók szintjén tulajdonosi szerepkörökre (előfizetés tulajdonosára/tárfiók tulajdonosára) vagy adott szerepkörökre van szükség a megfelelő adatműveletekkel. A tevékenységfigyelés engedélyezéséhez "Biztonsági Rendszergazda" engedélyekre van szükség. További információ a szükséges engedélyekről. |
| Felhők: |  Kereskedelmi felhők* Azure Government (csak a tevékenységfigyelési támogatás a klasszikus csomagban) A 21Vianet által üzemeltetett Microsoft AzureCsatlakozás AWS-fiókok |
* Az Azure DNS-zóna nem támogatott a kártevő-vizsgálathoz és a bizalmas adatfenyegetések észleléséhez.
Mik a Microsoft Defender for Storage előnyei?
A Defender for Storage a következőket biztosítja:
Jobb védelem a kártevők ellen: A kártevő-vizsgálat közel valós időben megvizsgálja és észleli az összes fájltípust, beleértve az összes feltöltött blob archívumát is, és gyors és megbízható eredményeket biztosít, így megakadályozhatja, hogy a tárfiókok belépési és terjesztési pontként szolgálnak a fenyegetésekhez. További információ a kártevő-vizsgálatról.
Továbbfejlesztett fenyegetésészlelés és a bizalmas adatok védelme: A bizalmas adatok fenyegetésészlelési képessége lehetővé teszi a biztonsági szakemberek számára a biztonsági riasztások hatékony rangsorolását és vizsgálatát azáltal, hogy figyelembe veszik a veszélyben lévő adatok bizalmassági adatait, ami jobb észlelést és védelmet eredményez a potenciális fenyegetések ellen. A legfontosabb kockázatok gyors azonosításával és kezelésével ez a képesség csökkenti az adatszivárgások valószínűségét, és fokozza a bizalmas adatok védelmét azáltal, hogy észleli a bizalmas adatokat tartalmazó erőforrások expozíciós eseményeit és gyanús tevékenységeit. További információ a bizalmas adatfenyegetések észleléséről.
Identitás nélküli entitások észlelése: A Defender for Storage észleli azokat az identitás nélküli entitások által generált gyanús tevékenységeket, amelyek helytelenül konfigurált és túlzottan megengedő közös hozzáférésű jogosultságkódok (SAS-jogkivonatok) használatával férnek hozzá az adatokhoz, amelyek kiszivároghattak vagy megsérülhettek, így javíthatja a biztonsági higiéniát, és csökkentheti a jogosulatlan hozzáférés kockázatát. Ez a képesség a Tevékenységfigyelési biztonsági riasztások csomag kibővítése.
A leggyakoribb felhőalapú tárolási fenyegetések lefedettsége: A Microsoft Threat Intelligence, a viselkedési modellek és a gépi tanulási modellek segítségével észlelheti a szokatlan és gyanús tevékenységeket. A Defender for Storage biztonsági riasztásai a felhőbeli tárolás legfontosabb fenyegetéseit, például a bizalmas adatok kiszivárgását, az adatok sérülését és a rosszindulatú fájlfeltöltéseket fedik le.
Átfogó biztonság naplók engedélyezése nélkül: Ha a Microsoft Defender for Storage engedélyezve van, folyamatosan elemzi az adatsíkot és a vezérlősík telemetriai adatfolyamát, amelyet az Azure Blob Storage, az Azure Files és az Azure Data Lake Storage szolgáltatás generál anélkül, hogy engedélyeznie kell a diagnosztikai naplókat.
Súrlódásmentes engedélyezés nagy méretekben: A Microsoft Defender for Storage ügynök nélküli megoldás, könnyen üzembe helyezhető, és lehetővé teszi a nagy léptékű biztonsági védelmet natív Azure-megoldással.
Hogyan működik a szolgáltatás?
Tevékenység figyelése
A Defender for Storage folyamatosan elemzi a védett tárfiókokból származó adatokat és szabályozza a síknaplókat, ha engedélyezve van. A biztonsági előnyök érdekében nincs szükség az erőforrásnaplók bekapcsolására. A Microsoft Threat Intelligence használatával azonosíthat gyanús aláírásokat, például rosszindulatú IP-címeket, Tor-kilépési csomópontokat és potenciálisan veszélyes alkalmazásokat. Adatmodelleket is készít, és statisztikai és gépi tanulási módszerekkel észleli az alaptevékenység rendellenességeit, amelyek rosszindulatú viselkedésre utalhatnak. A gyanús tevékenységekre vonatkozó biztonsági riasztásokat kap, de a Defender for Storage biztosítja, hogy ne kapjon túl sok hasonló riasztást. A tevékenységfigyelés nem befolyásolja a teljesítményt, a betöltési kapacitást vagy az adatokhoz való hozzáférést.
Kártevő-vizsgálat (Microsoft Defender víruskereső)
Feljegyzés
A kártevő-vizsgálat számlázása 2023. szeptember 3-án kezdődik. A költségek csökkentése érdekében a Monthly capping funkcióval beállíthatja, hogy a tárfiókonkénti gb-onkénti beolvasott GB-nak mekkora korlátja legyen a költségek szabályozásához.
A Defender for Storage kártevő-vizsgálatával a tárfiókok védhetők meg a rosszindulatú tartalmaktól, ha közel valós időben végez teljes kártevővizsgálatot a feltöltött tartalmakon, Microsoft Defender víruskereső képességeket alkalmazva. Úgy tervezték, hogy segítsen teljesíteni a biztonsági és megfelelőségi követelményeket a nem megbízható tartalmak kezeléséhez. A rendszer minden fájltípust beolvas, és minden fájlhoz visszaadja a vizsgálati eredményeket. A kártevő-ellenőrzési képesség egy ügynök nélküli SaaS-megoldás, amely lehetővé teszi az egyszerű, nagy léptékű, karbantartás nélküli beállítást, és támogatja a nagy léptékű válasz automatizálását. Ez egy konfigurálható funkció az új Defender for Storage csomagban, amely GB-ban be van vizsgálva. További információ a kártevő-vizsgálatról.
Bizalmas adatfenyegetések észlelése (a bizalmas adatfelderítés által működtetett)
A "bizalmas adatfenyegetések észlelésének" képessége lehetővé teszi a biztonsági csapatok számára, hogy hatékonyan rangsorolják és megvizsgálják a biztonsági riasztásokat, figyelembe véve a veszélyben lévő adatok bizalmassági adatait, ami jobb észleléshez és az adatsértések megelőzéséhez vezet. A "bizalmas adatfenyegetések észlelését" az "Sensitive Data Discovery" motor hajtja, amely egy ügynök nélküli motor, amely intelligens mintavételezési módszert használ a bizalmas adatokkal rendelkező erőforrások megkereséséhez. A szolgáltatás integrálva van a Microsoft Purview bizalmas információtípusaival (SIT-kkel) és besorolási címkéivel, így zökkenőmentesen örökölheti a szervezet bizalmassági beállításait.
Ez egy konfigurálható funkció az új Defender for Storage csomagban. Dönthet úgy, hogy más költség nélkül engedélyezi vagy letiltja. További részletekért látogasson el a Bizalmas adatfenyegetések észlelésére.
Díjszabási és költségvezérlők
Tárfiókonkénti díjszabás
Az új Microsoft Defender for Storage csomag kiszámítható díjszabással rendelkezik a védett tárfiókok száma alapján. Ha az előfizetés vagy az erőforrás szintjén engedélyezi az engedélyezést, és kizár bizonyos tárfiókokat a védett előfizetésekből, nagyobb rugalmassággal kezelheti a biztonsági lefedettséget. A tarifacsomag leegyszerűsíti a költségszámítási folyamatot, így igény szerint egyszerűen méretezheti a skálázást. A nagy mennyiségű tranzakciókat tartalmazó tárfiókokra egyéb díjak is vonatkozhatnak.
Kártevő-vizsgálat – Számlázás GB-onként, havi korlát és konfiguráció
A kártevő-vizsgálat gigabájtonkénti díjat számít fel a beolvasott adatokért. A költségek kiszámíthatóságának biztosítása érdekében havi korlát állítható be az egyes tárfiókok beolvasott adatmennyiségéhez havi alapon. Ez a korlát az előfizetés egészére beállítható, az előfizetésen belüli összes tárfiókra hatással van, vagy alkalmazható az egyes tárfiókokra. A védett előfizetések alatt különböző korlátozásokkal konfigurálhat bizonyos tárfiókokat.
A korlát alapértelmezés szerint havonta 5000 GB tárfiókonként van beállítva. A küszöbérték túllépése után a fennmaradó blobok vizsgálata 20 GB megbízhatósági intervallummal megszűnik. A konfiguráció részleteiért tekintse meg a Defender for Storage konfigurálását.
Fontos
A Defender for Storage kártevőkeresése nem szerepel ingyenesen az első 30 napos próbaverzióban, és az első naptól számítjuk fel a Felhőhöz készült Defender díjszabási oldalon elérhető díjszabási sémának megfelelően. A kártevők vizsgálata további díjakat is von maga után más Azure-szolgáltatásokért– az Azure Storage olvasási műveleteiért, az Azure Storage blobindexeléséért és az Azure Event Grid-értesítésekért.
Nagy léptékű engedélyezés részletes vezérlőkkel
A Microsoft Defender for Storage lehetővé teszi az adatok nagy léptékű védelmét részletes vezérlőkkel. Konzisztens biztonsági szabályzatokat alkalmazhat az előfizetésen belüli összes tárfiókra, vagy testre szabhatja őket adott fiókokhoz az üzleti igényeinek megfelelően. A költségeket az egyes erőforrásokhoz szükséges védelmi szint kiválasztásával is szabályozhatja. Első lépésként látogasson el a Defender for Storage használatára.
A kártevő-ellenőrzési korlát monitorozása
A folyamatos védelem és a költségek hatékony kezelése érdekében két, a kártevő-ellenőrzési korlát használatával kapcsolatos információbiztonsági riasztás létezik. Az első riasztás a Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)beállított havi korlát 75%-a felé közeledve aktiválódik, és szükség esetén felfelé haladva módosíthatja a sapkát. A második riasztás értesíti, Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)ha elérte a korlátot, és a vizsgálat a hónapra szünetel, így az új feltöltések nem lesznek beolvasva. Mindkét riasztás részletes információkat tartalmaz az érintett tárfiókokról, hogy megkönnyítse a gyors és tájékozott műveletet, biztosítva, hogy váratlan költségek nélkül is fenntarthassa a kívánt biztonsági szintet.
A kártevő-vizsgálat és a kivonatok jó hírnevének elemzése közötti különbségek megértése
A Defender for Storage két lehetőséget kínál a tárfiókokba feltöltött rosszindulatú tartalmak észlelésére: kártevő-vizsgálat (fizetős bővítmény funkció, amely csak az új csomagban érhető el) és a kivonatok hírnevének elemzése (minden csomagban elérhető).
Kártevő-vizsgálat (fizetős bővítmény funkció csak az új csomagban érhető el)
A kártevő-vizsgálat Microsoft Defender víruskereső (MDAV) használatával vizsgálja a Blob Storage-ba feltöltött blobokat, és átfogó elemzést biztosít, amely magában foglalja a mély fájlvizsgálatokat és a kivonatok jó hírnevének elemzését. Ez a funkció magasabb szintű észlelést biztosít a lehetséges fenyegetések ellen.
Kivonatok jó hírnevének elemzése (minden tervben elérhető)
A kivonatok jó hírnevének elemzése a Blob Storage és az Azure Files potenciális kártevőit észleli az újonnan feltöltött blobok/fájlok kivonatértékeinek a Microsoft Threat Intelligence által ismert kártevőivel való összehasonlításával. Ezzel a képességgel nem minden fájlprotokoll és művelettípus támogatott, ami azt eredményezi, hogy egyes műveletek nem figyelik a potenciális kártevőfeltöltéseket. A nem támogatott használati esetek közé tartoznak az SMB-fájlmegosztások, valamint ha blob jön létre a Tiltás és a Put blokklista használatával.
Összefoglalva, a kártevő-vizsgálat, amely csak az új Blob Storage-csomagban érhető el, átfogóbb megközelítést kínál a kártevők észleléséhez a fájlok teljes tartalmának elemzésével és a kivonatok jó hírnevének elemzésével a vizsgálati módszertanban.
Következő lépések
Ebben a cikkben megismerkedett a Microsoft Defender for Storage szolgáltatással.