Gambaran Umum Microsoft Defender untuk Storage
Microsoft Defender for Storage adalah lapisan native Azure dari kecerdasan keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan Anda. Ini menggunakan kemampuan deteksi ancaman tingkat lanjut dan data Inteligensi Ancaman Microsoft untuk memberikan peringatan keamanan kontekstual. Peringatan tersebut juga mencakup langkah-langkah untuk mengurangi ancaman yang terdeteksi dan mencegah serangan di masa mendatang.
Anda dapat mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan (disarankan) atau tingkat sumber daya.
Defender untuk Penyimpanan terus-menerus menganalisis aliran telemetri yang dihasilkan oleh layanan Azure Blob Storage dan Azure Files. Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Peringatan ini ditampilkan di Microsoft Defender untuk Cloud, bersama dengan detail aktivitas mencurigakan yang disertai dengan langkah investigasi yang relevan, tindakan remediasi, dan rekomendasi keamanan.
Telemetri Azure Blob Storage yang dianalisis mencakup jenis operasi seperti Get Blob, Put Blob, Get Container ACL, List Blobs, dan Get Blob Properties. Contoh jenis operasi Azure Files yang dianalisis meliputi Get File, Create File, List Files, Get File Properties, dan Put Range.
Defender untuk Storage tidak mengakses data akun Storage dan tidak berdampak pada performanya.
Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang:
Catatan
Microsoft Defender untuk pelanggan Storage sekarang dapat memilih untuk pindah ke paket harga baru yang dapat diprediksi. Model harga adalah akun per penyimpanan, di mana transaksi volume tinggi dapat dikenakan biaya kelebihan penggunaan tambahan. Paket harga baru ini juga akan mencakup semua fitur dan deteksi keamanan baru.
Pelanggan yang menggunakan paket harga per transaksi warisan perlu bermigrasi ke paket akun per penyimpanan baru untuk mengakses fitur dan harga baru ini. Biaya paket harga per transaksi warisan didasarkan pada jumlah transaksi yang dianalisis di akun penyimpanan.
Untuk detail lebih lanjut, silakan merujuk ke Microsoft Defender untuk Tanya Jawab Umum Penyimpanan.
Ketersediaan
| Aspek | Detail |
|---|---|
| Status rilis: | Ketersediaan umum (GA) |
| Harga: | Microsoft Defender for Storage ditagih seperti yang ditunjukkan pada laman harga |
| Jenis penyimpanan yang didukung: | Blob Storage (StorageV2 Standar/Premium, Blob Blok) Azure Files (melalui REST API dan SMB) Azure Data Lake Storage Gen2 (Akun Standar/Premium dengan namespace layanan hierarkis diaktifkan) |
| Cloud: |  Cloud komersial Azure Government Azure Tiongkok 21Vianet Akun AWS yang tersambung |
Apa manfaat Microsoft Defender for Storage?
Defender untuk Storage menyediakan:
Keamanan asli-Azure - Dengan pengaktifan sekali klik, Defender untuk Storage melindungi data yang disimpan di Azure Blob, Azure Files, dan Data Lakes. Sebagai layanan asli Azure, Defender untuk Storage menyediakan keamanan terpusat di semua aset data yang dikelola Azure dan terintegrasi dengan layanan keamanan Azure lainnya seperti Microsoft Sentinel.
Rangkaian deteksi kaya - Didukung oleh Inteligensi Ancaman Microsoft, deteksi di Defender untuk Storage mencakup ancaman penyimpanan teratas seperti akses yang tidak diautentikasi, informasi masuk yang disusupi, serangan rekayasa sosial, penyelundupan data, penyalahgunaan hak istimewa, dan konten berbahaya.
Respons dalam skala besar - Alat otomatisasi Defender for Cloud memudahkan pencegahan dan respons terhadap ancaman yang diidentifikasi. Pelajari selengkapnya di Respons otomatis terhadap pemicu Defender for Cloud.
Ancaman keamanan di layanan penyimpanan berbasis cloud
Peneliti keamanan Microsoft telah menganalisis permukaan serangan layanan penyimpanan. Akun penyimpanan dapat mengalami kerusakan data, paparan konten sensitif, distribusi konten berbahaya, penyelundupan data, akses tidak sah, dan banyak lagi.
Potensi risiko keamanan dijelaskan dalam matriks ancaman untuk layanan penyimpanan berbasis cloud dan didasarkan pada framework MITRE ATT&CK®, basis pengetahuan untuk taktik dan teknik yang digunakan dalam serangan siber.
Jenis peringatan apa yang disediakan Microsoft Defender for Storage?
Peringatan keamanan dipicu terhadap skenario berikut (biasanya dari 1-2 jam setelah peristiwa):
| Jenis ancaman | Deskripsi |
|---|---|
| Akses tidak biasa ke sebuah akun | Misalnya, akses dari node keluar TOR, alamat IP yang mencurigakan, aplikasi yang tidak biasa, lokasi yang tidak biasa, dan akses anonim tanpa autentikasi. |
| Perilaku tidak biasa dalam sebuah akun | Perilaku yang menyimpang dari garis besar yang dipelajari, seperti perubahan izin akses dalam sebuah akun, pemeriksaan akses yang tidak biasa, eksplorasi data yang tidak biasa, penghapusan blob/file yang tidak biasa, atau ekstraksi data yang tidak biasa. |
| Deteksi Malware berbasis reputasi hash | Deteksi malware yang diketahui berdasarkan hash blob/file penuh. Ini dapat membantu mendeteksi ransomware, virus, spyware, dan malware lain yang diunggah ke akun, mencegahnya memasuki organisasi, dan menyebar ke lebih banyak pengguna dan sumber daya. Lihat juga Batasan analisis reputasi hash. |
| Pengunggahan file yang tidak biasa | Paket layanan cloud yang tidak biasa dan file yang dapat dieksekusi yang telah diunggah ke sebuah akun. |
| Visibilitas publik | Potensi upaya pembobolan dengan memindai kontainer dan menarik data yang berpotensi sensitif dari kontainer yang dapat diakses publik. |
| Kampanye pengelabuan | Saat konten yang di-hosting di Azure Storage diidentifikasi sebagai bagian dari serangan pengelabuan yang memengaruhi pengguna Microsoft 365. |
Anda dapat melihat daftar lengkap peringatan Microsoft Defender untuk Penyimpanan.
Pemberitahuan mencakup rincian insiden yang memicunya, dan rekomendasi tentang cara menyelidiki dan memulihkan ancaman. Pemberitahuan dapat diekspor ke Microsoft Sentinel atau SIEM pihak ketiga lainnya atau alat eksternal lainnya. Pelajari selengkapnya di Pemberitahuan aliran ke solusi SIEM, SOAR, atau Manajemen Layanan TI.
Tip
Untuk daftar lengkap semua peringatan Defender untuk Storage, lihat halaman referensi peringatan. Ini berguna bagi pemilik beban kerja yang ingin mengetahui ancaman apa yang dapat dideteksi dan membantu tim SOC memahami deteksi sebelum menyelidikinya. Pelajari selengkapnya tentang isi peringatan keamanan Defender untuk Cloud, dan cara mengelola peringatan Anda di Mengelola dan merespons peringatan keamanan di Microsoft Defender untuk Cloud.
Jelajahi anomali keamanan
Saat anomali aktivitas penyimpanan terjadi, Anda menerima pemberitahuan surel dengan informasi tentang peristiwa keamanan yang mencurigakan. Detail kejadian meliputi:
- Sifat anomali
- Nama akun penyimpanan
- Waktu kejadian
- Jenis penyimpanan
- Potensi penyebabnya
- Langkah-langkah penyelidikan
- Langkah-langkah remediasi
Surel ini juga mencakup detail tentang kemungkinan penyebab dan tindakan yang disarankan untuk menyelidiki dan mengurangi potensi ancaman.
Anda dapat meninjau dan mengelola pemberitahuan keamanan saat ini dari Petak pemberitahuan keamanan di Pertahanan Microsoft untuk Cloud. Pilih pemberitahuan untuk mendapatkan detail dan tindakan guna menyelidiki ancaman saat ini dan mengatasi ancaman di masa mendatang.
Batasan analisis reputasi hash
Reputasi hash bukanlah pemeriksaan file yang mendalam - Microsoft Defender utnuk Storage menggunakan analisis reputasi hash yang didukung oleh Inteligensi Ancaman Microsoft untuk menentukan apakah file yang diunggah mencurigakan. Alat perlindungan ancaman tidak memindai file yang diunggah; tetapi menganalisis telemetri yang dihasilkan dari layanan Blobs Storage dan Files. Defender untuk Storage kemudian membandingkan hash file yang baru diunggah dengan hash virus, trojan, spyware, dan ransomware yang diketahui.
Analisis reputasi hash tidak didukung untuk semua protokol file dan jenis operasi - Beberapa, tetapi tidak semua, log telemetri berisi nilai hash dari blob atau file terkait. Dalam beberapa kasus, telemetri tidak mengandung nilai hash. Akibatnya, beberapa operasi tidak dapat dipantau untuk unggahan malware yang diketahui. Contoh kasus penggunaan yang tidak didukung tersebut meliputi berbagi file SMB dan ketika blob dibuat menggunakan Put Block dan Put Block List.
Tip
Ketika file diduga berisi malware, Defender for Cloud menampilkan pemberitahuan dan dapat secara opsional mengirim email kepada pemilik penyimpanan untuk persetujuan untuk menghapus file yang mencurigakan. Untuk menyiapkan penghapusan otomatis file yang menunjukkan analisis reputasi hash berisi malware, terapkan otomatisasi alur kerja untuk memicu pemberitahuan yang berisi "Potensi malware yang diunggah ke akun penyimpanan".
Tanya Jawab Umum - Microsoft Defender untuk Storage
- Bagaimana cara memperkirakan tagihan di tingkat akun?
- Dapatkah saya mengecualikan akun Azure Storage tertentu dari langganan yang dilindungi?
- Bagaimana cara mengonfigurasi respons otomatis untuk peringatan keamanan?
Bagaimana cara memperkirakan tagihan di tingkat akun?
Untuk mengoptimalkan biaya, Anda mungkin ingin mengecualikan akun Storage tertentu yang terkait dengan lalu lintas tinggi dari perlindungan Defender untuk Storage. Untuk mendapatkan perkiraan biaya Defender for Storage, gunakan Buku Kerja Estimasi Harga di portal Azure.
Dapatkah saya mengecualikan akun Azure Storage tertentu dari langganan yang dilindungi?
Tidak termasuk akun penyimpanan tertentu dari perlindungan hanya dimungkinkan pada paket harga per transaksi. Paket harga akun per penyimpanan akan mendukung pengecualian di masa mendatang. Untuk mengecualikan akun penyimpanan, ikuti instruksi di Mengecualikan akun penyimpanan dari langganan yang dilindungi dalam paket per transaksi.
Bagaimana cara mengonfigurasi respons otomatis untuk peringatan keamanan?
Gunakan automasi alur kerja untuk memicu respons otomatis ke peringatan keamanan Defender untuk Cloud.
Misalnya, Anda dapat mengatur automasi untuk membuka tugas atau tiket bagi personel atau tim tertentu dalam sistem manajemen tugas eksternal.
Tip
Jelajahi automasi yang tersedia dari halaman komunitas Defender untuk Cloud: Automasi ServiceNow, automasi Jira, automasi Azure DevOps, automasi Slack, atau buat sendiri.
Gunakan automasi untuk respons otomatis - menentukan apakah akan menggunakan automasi milik Anda sendiri atau yang sudah ada dari komunitas (seperti menghapus file berbahaya yang terdeteksi). Untuk solusi selengkapnya, kunjungi komunitas Microsoft di GitHub.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari tentang Microsoft Defender for Storage.