Overzicht van Microsoft Defender voor Storage (klassiek)
Notitie
Voer een upgrade uit naar het nieuwe Microsoft Defender for Storage-abonnement. Het bevat nieuwe functies zoals malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbarere prijsstructuur voor betere controle over dekking en kosten. Bovendien worden alle nieuwe Defender voor Storage-functies alleen uitgebracht in het nieuwe plan. Migreren naar het nieuwe plan is een eenvoudig proces. Lees hier meer over het migreren van het klassieke plan. Als u Defender for Storage (klassiek) gebruikt met prijzen per transactie of per opslagaccount, moet u migreren naar het nieuwe Abonnement voor Defender for Storage (klassiek) voor toegang tot deze functies en prijzen. Meer informatie over de voordelen van migratie naar het nieuwe Defender for Storage-abonnement.
Microsoft Defender voor Storage (klassiek) is een systeemeigen Azure-laag van beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteert om toegang te krijgen tot of misbruik te maken van uw opslagaccounts. Er worden geavanceerde mogelijkheden voor detectie van bedreigingen en Microsoft Threat Intelligence-gegevens gebruikt om contextuele beveiligingswaarschuwingen te bieden. Deze waarschuwingen bevatten ook stappen om de gedetecteerde bedreigingen te beperken en toekomstige aanvallen te voorkomen.
U kunt Microsoft Defender for Storage (klassiek) inschakelen op abonnementsniveau (aanbevolen) of op resourceniveau.
Defender for Storage (klassiek) analyseert voortdurend de gegevensstroom die wordt gegenereerd door de Azure Blob Storage-, Azure Files- en Azure Data Lake Storage-services . Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen worden weergegeven in Microsoft Defender voor Cloud. Alle details van verdachte activiteiten, samen met de relevante onderzoeksstappen, herstelacties en aanbevelingen voor beveiliging, worden hier weergegeven.
Geanalyseerde gegevens van Azure Blob Storage bevatten bewerkingstypen zoals Get Blob
, Put Blob
, Get Container ACL
en List Blobs
Get Blob Properties
. Voorbeelden van geanalyseerde Azure Files-bewerkingstypen zijn onder andere Get File
, Create File
, List Files
en Get File Properties
Put Range
.
Defender for Storage (klassiek) heeft geen toegang tot de opslagaccountgegevens en heeft geen invloed op de prestaties.
U vindt meer informatie door deze video te bekijken vanuit de Defender voor Cloud in de reeks Veldvideo's:
Zie de veelgestelde vragen voor meer informatie over Defender for Storage (klassiek).
Beschikbaarheid
Aspect | DETAILS |
---|---|
Releasestatus: | Algemene beschikbaarheid (GA) |
Prijzen: | Microsoft Defender voor Storage (klassiek) wordt gefactureerd zoals weergegeven op de pagina met prijzen |
Beveiligde opslagtypen: | Blob Storage (Standard/Premium StorageV2, blok-blobs) Azure Files (via REST API en SMB) Azure Data Lake Storage Gen2 (Standard/Premium-accounts waarvoor hiërarchische naamruimten zijn ingeschakeld) |
Clouds: | Commerciële clouds Azure Government Microsoft Azure beheerd door 21Vianet Verbonden AWS-accounts |
Wat zijn de voordelen van Microsoft Defender voor Storage (klassiek)?
Defender for Storage (klassiek) biedt:
Systeemeigen beveiliging van Azure: met inschakelen met één klik beveiligt Defender for Storage (klassiek) gegevens die zijn opgeslagen in Azure Blob, Azure Files en Data Lakes. Defender for Storage (klassiek) biedt als systeemeigen Azure-service gecentraliseerde beveiliging voor alle gegevensassets die Door Azure worden beheerd en geïntegreerd met andere Azure-beveiligingsservices, zoals Microsoft Sentinel.
Uitgebreide detectiesuite : mogelijk gemaakt door Microsoft Threat Intelligence, de detecties in Defender for Storage (klassiek) hebben betrekking op de belangrijkste opslagbedreigingen, zoals niet-geverifieerde toegang, aangetaste referenties, sociale engineering-aanvallen, gegevensexfiltratie, misbruik van bevoegdheden en schadelijke inhoud.
Reactie op schaal: de automatiseringsprogramma's van Defender voor Cloud maken het gemakkelijker om geïdentificeerde bedreigingen te voorkomen en erop te reageren. Meer informatie vindt u in Reacties op Defender voor Cloud triggers automatiseren.
Beveiligingsrisico's in cloudopslagservices
Microsoft-beveiligingsonderzoekers hebben de kwetsbaarheid voor aanvallen van opslagservices geanalyseerd. Opslagaccounts kunnen worden onderworpen aan beschadiging van gegevens, blootstelling van gevoelige inhoud, distributie van schadelijke inhoud, gegevensexfiltratie, onbevoegde toegang en meer.
De mogelijke beveiligingsrisico's worden beschreven in de bedreigingsmatrix voor cloudopslagservices en zijn gebaseerd op het MITRE ATT&CK-framework®, een knowledge base voor de tactieken en technieken die worden gebruikt in cyberaanvallen.
Wat voor soort waarschuwingen biedt Microsoft Defender for Storage (klassiek) ?
Beveiligingswaarschuwingen worden geactiveerd voor de volgende scenario's (meestal van 1-2 uur na de gebeurtenis):
Type bedreiging | Beschrijving |
---|---|
Ongebruikelijke toegang tot een account | Bijvoorbeeld toegang vanaf een TOR-afsluitknooppunt, verdachte IP-adressen, ongebruikelijke toepassingen, ongebruikelijke locaties en anonieme toegang zonder verificatie. |
Ongebruikelijk gedrag in een account | Gedrag dat afwijkt van een geleerde basislijn. Bijvoorbeeld een wijziging van toegangsmachtigingen in een account, ongebruikelijke toegangsinspectie, ongebruikelijke gegevensverkenning, ongebruikelijke verwijdering van blobs/bestanden of ongebruikelijke gegevensextractie. |
Malwaredetectie op basis van hashreputatie | Detectie van bekende malware op basis van volledige blob-/bestands-hash. Dit kan helpen bij het detecteren van ransomware, virussen, spyware en andere malware die naar een account is geüpload, voorkomen dat het de organisatie binnenkomt en verspreidt naar meer gebruikers en bronnen. Zie ook Beperkingen van hashreputatieanalyse. |
Ongebruikelijke bestandsuploads | Ongebruikelijke cloudservicepakketten en uitvoerbare bestanden die zijn geüpload naar een account. |
Openbare zichtbaarheid | Mogelijke inbraakpogingen door containers te scannen en mogelijk gevoelige gegevens op te halen uit openbaar toegankelijke containers. |
Phishingcampagnes | Wanneer inhoud die wordt gehost in Azure Storage wordt geïdentificeerd als onderdeel van een phishing-aanval die van invloed is op Microsoft 365-gebruikers. |
Tip
Zie de referentiepagina voor waarschuwingen van Defender for Storage (klassiek) voor een uitgebreide lijst met alle Defender for Storage-waarschuwingen. Het is essentieel om de vereisten te controleren, omdat bepaalde beveiligingswaarschuwingen alleen toegankelijk zijn onder het nieuwe Defender for Storage-plan. De informatie op de referentiepagina is nuttig voor eigenaren van workloads die inzicht willen hebben in detecteerbare bedreigingen en stelt SOC-teams (Security Operations Center) in staat om vertrouwd te raken met detecties voordat ze onderzoeken uitvoeren. Meer informatie over wat er in een Defender voor Cloud beveiligingswaarschuwing staat en hoe u uw waarschuwingen beheert in Beheren en reageren op beveiligingswaarschuwingen in Microsoft Defender voor Cloud.
Waarschuwingen bevatten details van het incident dat ze heeft geactiveerd en aanbevelingen voor het onderzoeken en oplossen van bedreigingen. Waarschuwingen kunnen worden geëxporteerd naar Microsoft Sentinel of een ander SIEM van derden of een ander extern hulpprogramma. Meer informatie in Stream-waarschuwingen voor een SIEM-, SOAR- of klassieke IT-implementatiemodeloplossing.
Beperkingen van hashreputatieanalyse
Tip
Als u uw geüploade blobs in bijna realtime wilt laten scannen op malware, raden we u aan om een upgrade uit te voeren naar het nieuwe Defender for Storage-abonnement. Meer informatie over malwarescans.
Hashreputatie is geen grondige bestandsinspectie . Microsoft Defender for Storage (klassiek) maakt gebruik van hashreputatieanalyse die wordt ondersteund door Microsoft Threat Intelligence om te bepalen of een geüpload bestand verdacht is. De hulpprogramma's voor bedreigingsbeveiliging scannen de geüploade bestanden niet; in plaats daarvan analyseren ze de gegevens die zijn gegenereerd op basis van de Blobs Storage- en Files-services. Defender for Storage (klassiek) vergelijkt vervolgens de hashes van nieuw geüploade bestanden met hashes van bekende virussen, trojans, spyware en ransomware.
Analyse van hashreputatie wordt niet ondersteund voor alle bestandsprotocollen en bewerkingstypen . Sommige, maar niet alle gegevenslogboeken bevatten de hash-waarde van de gerelateerde blob of het gerelateerde bestand. In sommige gevallen bevatten de gegevens geen hash-waarde. Als gevolg hiervan kunnen sommige bewerkingen niet worden gecontroleerd op bekende malware-uploads. Voorbeelden van dergelijke niet-ondersteunde gebruiksvoorbeelden zijn SMB-bestandsshares en wanneer een blob wordt gemaakt met behulp van Put Block en Put blocklist.
Volgende stappen
In dit artikel hebt u meer geleerd over Microsoft Defender for Storage (klassiek).
- Defender for Storage inschakelen (klassiek)
- Bekijk veelgestelde vragen over defender for Storage classic.