Microsoft Defender for Storage の概要
Microsoft Defender for Storage は、ストレージ アカウントに対する通常とは異なる潜在的に有害なアクセスの試行、すなわちストレージ アカウントの悪用を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 高度な脅威検出機能と Microsoft の脅威インテリジェンス データを使用して、コンテキストに応じたセキュリティ アラートを提供します。 これらのアラートには、検出された脅威を軽減し、将来の攻撃を防ぐための手順も含まれます。
Microsoft Defender for Storage は、サブスクリプション レベル (推奨) またはリソース レベルで有効にできます。
Defender for Storage では、Azure Blob Storage サービスと Azure Files サービスによって生成されたテレメトリ ストリームが分析されます。 悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に、Microsoft Defender for Cloud に表示されます。
分析される Azure Blob Storage のテレメトリには、Get Blob、Put Blob、Get Container ACL、List Blobs、および Get Blob Properties などの操作の種類が含まれます。 分析された Azure Files 操作の種類の例には Get File、Create File、List Files、Get File Properties、Put Range があります。
Defender for Storage ではストレージ アカウント データにアクセスしないので、そのパフォーマンスに影響はありません。
詳細については、Field ビデオ シリーズの Defender for Cloud に関する次のビデオをご覧ください。
注意
Microsoft Defender for Storage のお客様は、新しい予測可能な価格プランへの移行を選択できるようになりました。 価格モデルはストレージ アカウント単位であり、トランザクションが大量の場合は超過分の料金が発生する可能性があります。 この新しい価格プランには、すべての新しいセキュリティ機能と検出機能も含まれます。
従来のトランザクション単位の価格プランを使用しているお客様が、これらの新しい機能と価格にアクセスするには、新しいストレージ アカウント単位のプランに移行する必要があります。 従来のトランザクション単位の価格プランの料金は、ストレージ アカウント内の分析されたトランザクションの数に基づいてます。
詳細については、Microsoft Defender for Storage に関する FAQ を参照してください。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | 一般公開 (GA) |
| 価格: | Microsoft Defender for Storage は、価格ページに記載されているように課金されます |
| 保護されるストレージの種類: | Blob Storage (Standard/Premium StorageV2、ブロック BLOB) Azure Files (REST API および SMB 経由) Azure Data Lake Storage Gen2 (階層型名前空間 (HNS) が有効になっている Standard/Premium アカウント) |
| クラウド: |  商用クラウド Azure Government Azure China 21Vianet 接続されている AWS アカウント |
Microsoft Defender for Storage の利点
Defender for Storage は次を提供します。
Azure ネイティブのセキュリティ - 1 回クリックして有効にすれば、Azure Blob、Azure Files、Data Lake に格納されているデータが Defender for Storage によって保護されます。 Defender for Storage は Azure ネイティブのサービスとして、Azure で管理されるすべてのデータ資産に一元的なセキュリティを提供し、Microsoft Sentinel など他の Azure セキュリティ サービスと統合されます。
豊富な検出スイート - Microsoft の脅威インテリジェンスを利用した Defender for Storage の検出機能は、非認証アクセス、資格情報の漏洩、ソーシャル エンジニアリング攻撃、データ流出、特権の乱用、悪意のあるコンテンツなど、ストレージに関する代表的な脅威をカバーしています。
包括的な対応 - 特定された脅威は、Defender for Cloud のオートメーション ツールによって簡単に防止、対応できます。 詳細については、「Defender for Cloud のトリガーへの応答を自動化する」を参照してください。
クラウドベースのストレージ サービスにおけるセキュリティの脅威
Microsoft のセキュリティ研究者は、ストレージ サービスの攻撃面を分析しました。 ストレージ アカウントは、データの破損、機密コンテンツの漏洩、悪意のあるコンテンツの配布、データ流出、未認可のアクセスなどの対象になる可能性があります。
潜在的なセキュリティ リスクは、クラウドベースのストレージ サービスの脅威マトリックスで説明されており、サイバー攻撃で使用される戦術と手法のナレッジ ベースである MITRE ATT&CK® フレームワークに基づいています。
Microsoft Defender for Storage で提供されるアラートの種類
セキュリティ アラートは、次のシナリオでトリガーされます (通常はイベントの 1 から 2 時間後)。
| 脅威の種類 | 説明 |
|---|---|
| アカウントへの異常なアクセス | たとえば、TOR 出口ノードからのアクセス、疑わしい IP アドレス、異常なアプリケーション、通常とは異なる場所、認証なしの匿名アクセスなどです。 |
| アカウントでの異常な動作 | アカウントのアクセス許可の変更、通常とは異なるアクセスの検査、異常なデータ探索、BLOB/ファイルの異常な削除、異常なデータ抽出など、学習したベースラインから逸脱した動作。 |
| ハッシュ評価ベースのマルウェア検出 | 完全な BLOB/ファイル ハッシュに基づく既知のマルウェアの検出。 これは、ランサムウェア、ウイルス、スパイウェア、およびアカウントにアップロードされたその他のマルウェアを検出して、それが組織に侵入し、さらに多くのユーザーやリソースに拡散することを防ぐのに役立つ可能性があります。 「ハッシュ評価分析の制限事項」も参照してください。 |
| 通常とは異なるファイルのアップロード | アカウントにアップロードされた異常なクラウド サービス パッケージと実行可能ファイル。 |
| パブリックの可視性 | コンテナーのスキャンとパブリックにアクセス可能なコンテナーからの潜在的な機密データのプルによる潜在的な不法侵入の試み。 |
| フィッシング キャンペーン | Azure Storage でホストされているコンテンツが、Microsoft 365 ユーザーに影響を与えているフィッシング攻撃の一部として識別される場合。 |
Microsoft Defender for Storage アラートの完全な一覧を確認できます。
アラートには、それらをトリガーするインシデントの詳細と、脅威の調査や修復方法に関する推奨事項が含まれています。 アラートは、Microsoft Sentinel、他のサードパーティ製 SIEM、またはその他の外部ツールにエクスポートできます。 詳細については、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」を参照してください。
ヒント
すべての Defender for Storage アラートの包括的な一覧については、アラートのリファレンス ページを参照してください。 これは、検出可能な脅威を知りたいワークロード所有者に役立ち、SOC チームが検出対象を調査する前に理解しておくために役立ちます。 Defender for Cloud のセキュリティ アラートの内容と、アラートを管理する方法の詳細については、「Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う」を参照してください。
セキュリティ異常を調べる
ストレージ アクティビティの異常が発生すると、疑わしいセキュリティ イベントに関する情報を含む通知が電子メールで送信されます。 イベントの詳細には、次のものが含まれます。
- 異常の種類
- ストレージ アカウント名
- イベント時間
- ストレージの種類
- 考えられる原因
- 調査手順
- 修復手順
電子メールには、潜在的な脅威の考えられる原因と調査や緩和のための推奨されるアクションについての詳細も含まれます。
Microsoft Defender for Cloud の [セキュリティ アラート] タイルから、現在のセキュリティ アラートを確認して管理できます。 アラートを選択して、詳細な情報と、現在の脅威を調査し、今後の脅威に対処するためのアクションを表示します。
ハッシュ評価分析の制限事項
ハッシュ評価は詳細ファイル検査ではない - Microsoft Defender for Storage では、アップロードされたファイルが疑わしいかどうかを判断するため、Microsoft の脅威インテリジェンスによってサポートされているハッシュ評価分析が使われます。 脅威保護ツールでは、アップロードされたファイルはスキャンされず、Blobs Storage と Files サービスから生成されたテレメトリが分析されます。 次に、Defender for Storage によって、新しくアップロードされたファイルのハッシュと、既知のウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュが比較されます。
ハッシュ評価分析は、すべてのファイル プロトコルと操作の種類でサポートされているわけではない - テレメトリ ログの一部 (すべてではありません) には、関連する BLOB またはファイルのハッシュ値が含まれます。 場合によっては、テレメトリにハッシュ値が含まれていないことがあります。 その結果、一部の操作で、既知のマルウェアのアップロードについて、監視できない場合があります。 そのようなサポートされていないユース ケースの例には、SMB ファイル共有や、BLOB が Put Block と Put Block List を使用して作成される場合などがあります。
ヒント
ファイルにマルウェアが含まれている疑いがある場合、Defender for Cloud ではアラートが表示されます。また、必要に応じて、疑わしいファイルの削除の承認を求めるメールをストレージの所有者に送信できます。 ハッシュ評価分析によってマルウェアが含まれることが示されているファイルの自動削除を設定するには、"マルウェアがストレージ アカウントにアップロードされた可能性" を含むアラートでトリガーするワークフローの自動化をデプロイします。
FAQ - Microsoft Defender for Storage
- アカウント レベルで料金を見積もるにはどうすればよいですか?
- 保護されたサブスクリプションから特定の Azure Storage アカウントを除外することはできますか?
- セキュリティ アラートへの自動応答を構成するにはどうすればよいですか?
アカウント レベルで料金を見積もるにはどうすればよいですか?
コストを最適化するために、大量のトラフィックに関連付けられている特定の Storage アカウントを、Defender for Storage の保護から除外する必要がある場合があります。 Defender for Storage のコストの見積もりを入手するには、Azure portal で価格見積もりブックを使います。
保護されたサブスクリプションから特定の Azure Storage アカウントを除外することはできますか?
特定のストレージ アカウントを保護対象から除外する操作は、トランザクション単位の料金プランでのみ実行できます。 ストレージ アカウント単位の料金プランでは、将来的に除外をサポートする予定です。 ストレージ アカウントを除外するには、「トランザクションごとのプランで保護されたサブスクリプションからストレージ アカウントを除外する」の手順を実行します。
セキュリティアラートへの自動応答を構成するにはどうすればよいですか?
ワークフローの自動化を使用して、Defender for Cloud セキュリティ アラートへの自動応答をトリガーします。
たとえば、外部タスク管理システムで特定の担当者またはチームのタスクやチケットを開く自動化を設定できます。
ヒント
Defender for Cloud コミュニティ ページから使用可能な自動化 (ServiceNow 自動化、Jira 自動化、Azure DevOps 自動化、Slack 自動化) を参照するか、または独自の自動化を構築します。
自動応答の自動化を使用して、独自の自動化や、コミュニティからの既製の自動化 (検出時に悪意のあるファイルを削除するなど) を定義します。 その他の解決策については、GitHub の Microsoft コミュニティにアクセスしてください。
次の手順
この記事では、Microsoft Defender for Storage について説明しました。