Panoramica delle Microsoft Defender per l'archiviazione

Microsoft Defender per l'archiviazione è un livello nativo di intelligence di sicurezza di Azure che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Usa funzionalità avanzate di rilevamento delle minacce e Microsoft dati di Threat Intelligence per fornire avvisi di sicurezza contestuali. Questi avvisi includono anche i passaggi per mitigare le minacce rilevate e prevenire attacchi futuri.

È possibile abilitare Microsoft Defender per l'archiviazione a livello di sottoscrizione (consigliato) o a livello di risorsa.

Defender for Storage analizza continuamente il flusso di telemetria generato dai servizi di Archiviazione BLOB di Azure e File di Azure. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Microsoft Defender per Cloud, insieme ai dettagli dell'attività sospetta insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.

I dati di telemetria analizzati di Archiviazione BLOB di Azure includono tipi di operazione come Get Blob, , Put BlobGet Container ACL, List Blobse Get Blob Properties. Esempi di tipi di operazione File di Azure analizzati includono Get File, , Create FileList Files, Get File Propertiese Put Range.

Defender per l'archiviazione non accede ai dati dell'account di archiviazione e non ha alcun impatto sulle prestazioni.

Per altre informazioni, vedere questo video dalla serie video Defender for Cloud nella serie video Field:

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Microsoft Defender per l'archiviazione viene fatturata come illustrato nella pagina dei prezzi
Tipi di archiviazione protetti: Archiviazione BLOB (Archiviazione Standard/PremiumV2, BLOB in blocchi) File di Azure (tramite l'API REST e SMB)Azure Data Lake Storage Gen2 (account Standard/Premium con spazi dei nomi gerarchici abilitati)
Cloud: Cloud commerciali Azure per enti pubblici account AWS connessi in Azure Cina 21Vianet

Quali sono i vantaggi offerti da Microsoft Defender per Archiviazione?

Defender for Storage fornisce:

  • Sicurezza nativa di Azure: Defender per Archiviazione consente di abilitare con un solo clic la protezione dei dati archiviati in BLOB di Azure, File di Azure e data lake. Come servizio nativo di Azure, Defender for Storage offre sicurezza centralizzata in tutti gli asset di dati gestiti da Azure ed è integrato con altri servizi di sicurezza di Azure, ad esempio Microsoft Sentinel.

  • Suite di rilevamento avanzata: basata su Microsoft Threat Intelligence, i rilevamenti in Defender for Storage coprono le principali minacce di archiviazione, ad esempio l'accesso non autenticato, le credenziali compromesse, gli attacchi di social engineering, l'esfiltrazione dei dati, l'abuso dei privilegi e il contenuto dannoso.

  • Risposta su larga scala: grazie agli strumenti di automazione di Defender per il cloud, è più facile prevenire e rispondere alle minacce identificate. Altre informazioni in Automatizzare le risposte a Defender per i trigger cloud.

Panoramica generale delle funzionalità di Microsoft Defender per l'archiviazione.

Minacce di sicurezza nei servizi di archiviazione basati sul cloud

Microsoft ricercatori di sicurezza hanno analizzato la superficie di attacco dei servizi di archiviazione. Gli account di archiviazione possono essere soggetti a danneggiamento dei dati, esposizione di contenuti sensibili, distribuzione di contenuti dannosi, esfiltrazione dei dati, accesso non autorizzato e altro ancora.

I potenziali rischi di sicurezza sono descritti nella matrice di minaccia per i servizi di archiviazione basati sul cloud e si basano sul framework MITRE ATT&CK®, un knowledge base per le tattiche e le tecniche usate negli attacchi informatici.

matrice di minaccia di Microsoft per le minacce alla sicurezza dell'archiviazione cloud.

Quali tipi di avvisi vengono forniti da Microsoft Defender per Archiviazione?

Gli avvisi di sicurezza vengono attivati per gli scenari seguenti (in genere da 1 a 2 ore dopo l'evento):

Tipo di minaccia Descrizione
Accesso insolito a un account Ad esempio, l'accesso da un nodo di uscita TOR, indirizzi IP sospetti, applicazioni insolite, posizioni insolite e accesso anonimo senza autenticazione.
Comportamento insolito in un account Comportamento che devia da una baseline appresa, ad esempio una modifica delle autorizzazioni di accesso in un account, un'ispezione di accesso insolita, un'esplorazione insolita dei dati, un'eliminazione insolita di BLOB/file o un'estrazione insolita di dati.
Rilevamento malware basato sulla reputazione hash Rilevamento del malware noto basato sull'hash blob/file completo. In questo modo è possibile rilevare ransomware, virus, spyware e altri malware caricati in un account, impedire l'immissione dell'organizzazione e la diffusione in più utenti e risorse. Vedere anche Limitazioni dell'analisi della reputazione hash.
Caricamenti di file insoliti Pacchetti di servizi cloud insoliti e file eseguibili caricati in un account.
Visibilità pubblica Potenziali tentativi di interruzione eseguendo l'analisi dei contenitori e il pull di dati potenzialmente sensibili da contenitori accessibili pubblicamente.
Campagne di phishing Quando il contenuto ospitato in Archiviazione di Azure viene identificato come parte di un attacco di phishing che influisce Microsoft 365 utenti.

È possibile consultare l'elenco completo di Microsoft Defender per gli avvisi di archiviazione.

Gli avvisi includono i dettagli dell'evento imprevisto che li ha attivati e raccomandazioni su come analizzare e risolvere le minacce. Gli avvisi possono essere esportati in Microsoft Sentinel o in qualsiasi altro strumento esterno di terze parti. Per altre informazioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT.

Suggerimento

Per un elenco completo di tutti gli avvisi di Defender for Storage, vedere la pagina di riferimento sugli avvisi. Ciò è utile per i proprietari del carico di lavoro che vogliono sapere quali minacce possono essere rilevate e aiutare i team SOC a acquisire familiarità con i rilevamenti prima di esaminarli. Altre informazioni su cosa si trova in un avviso di sicurezza Defender for Cloud e su come gestire gli avvisi in Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud.

Esplorare le anomalie della sicurezza

Quando si verificano anomalie nelle attività di archiviazione, si riceve una e-mail di notifica con le informazioni sull'evento sospetto di sicurezza. I dettagli sull'evento comprendono:

  • Natura dell'anomalia
  • Il nome dell'account di archiviazione
  • Ora dell'evento
  • Tipo di archiviazione
  • Possibili cause
  • Passaggi per l'indagine
  • Passaggi per la correzione

L'e-mail fornisce inoltre informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia.

Screenshot di Microsoft Defender per il messaggio di posta elettronica degli avvisi di archiviazione.

È possibile esaminare e gestire gli avvisi di sicurezza correnti dal riquadro avvisi di sicurezza di Microsoft Defender per gli avvisi di sicurezza di Cloud. Selezionare un avviso per informazioni dettagliate e azioni per analizzare la minaccia corrente e affrontare le minacce future.

Screenshot di un Microsoft Defender per l'avviso di archiviazione.

Limitazioni dell'analisi della reputazione hash

  • La reputazione hash non è un'ispezione approfondita dei file: Microsoft Defender per Archiviazione usa l'analisi della reputazione hash supportata da Microsoft Threat Intelligence per determinare se un file caricato è sospetto. Gli strumenti di protezione dalle minacce non analizzano i file caricati; analizzano invece i dati di telemetria generati dai servizi archiviazione BLOB e file. Defender per Archiviazione confronta quindi gli hash dei file appena caricati con hash di virus noti, trojan, spyware e ransomware.

  • L'analisi della reputazione hash non è supportata per tutti i protocolli e i tipi di operazione dei file : alcuni, ma non tutti, dei log di telemetria contengono il valore hash del BLOB o del file correlato. In alcuni casi, i dati di telemetria non contengono un valore hash. Di conseguenza, alcune operazioni non possono essere monitorate per i caricamenti noti di malware. Esempi di casi d'uso non supportati includono condivisioni file SMB e quando viene creato un BLOB usando Put Block e Put Block List.

Suggerimento

Quando si sospetta che un file contenga malware, Defender for Cloud visualizza un avviso e può inviare facoltativamente un messaggio di posta elettronica al proprietario dell'archiviazione per l'approvazione per eliminare il file sospetto. Per configurare questa rimozione automatica dei file che l'analisi della reputazione hash indica come contenenti malware, distribuire un'automazione del flusso di lavoro che venga attivata da avvisi che contengono "Potenziale malware caricato in un account di archiviazione".

Domande frequenti : Microsoft Defender per l'archiviazione

Ricerca per categorie stimare gli addebiti a livello di account?

Per ottimizzare i costi, è possibile escludere account di archiviazione specifici associati a traffico elevato da Defender per le protezioni di archiviazione. Per ottenere una stima dei costi di Defender per l'archiviazione, usare la cartella di lavoro stima prezzo nella portale di Azure.

È possibile escludere un account di archiviazione di Azure specifico da una sottoscrizione protetta?

Per escludere un account di archiviazione specifico quando Defender for Storage è abilitato in una sottoscrizione, seguire le istruzioni riportate in Escludere un account di archiviazione da Microsoft Defender per le protezioni di archiviazione.

Ricerca per categorie configurare le risposte automatiche per gli avvisi di sicurezza?

Usare l'automazione del flusso di lavoro per attivare risposte automatiche agli avvisi di sicurezza di Defender for Cloud.

Ad esempio, è possibile configurare l'automazione per aprire attività o ticket per personale o team specifici in un sistema di gestione delle attività esterne.

Suggerimento

Esplorare le automazione disponibili nelle pagine della community di Defender for Cloud: automazione di ServiceNow, automazione Jira, automazione di Azure DevOps, automazione slack o creazione personalizzata.

Usare l'automazione per la risposta automatica: per definire un'automazione personalizzata o usata dalla community , ad esempio la rimozione di file dannosi al rilevamento. Per altre soluzioni, visitare la community di Microsoft su GitHub. 

Passaggi successivi

In questo articolo sono state illustrate le Microsoft Defender per l'archiviazione.