Overzicht van Microsoft Defender voor Storage
Microsoft Defender for Storage is een systeemeigen beveiligingslaag van Azure waarmee potentiële bedreigingen voor uw opslagaccounts worden gedetecteerd.
Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens.
Notitie
Dit artikel gaat over het nieuwe Defender for Storage-abonnement dat is gelanceerd op 28 maart 2023. Het bevat nieuwe functies zoals malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbarere prijsstructuur voor betere controle over dekking en kosten. Bovendien worden alle nieuwe Defender-functies alleen toegevoegd aan het nieuwe abonnement. Migreren naar het nieuwe plan is een eenvoudig proces. Lees hier meer over het migreren van het klassieke plan.
Microsoft Defender for Storage biedt uitgebreide beveiliging door de telemetrie van het gegevensvlak en het besturingsvlak te analyseren die worden gegenereerd door Azure Blob Storage-, Azure Files- en Azure Data Lake Storage-services . Het maakt gebruik van geavanceerde mogelijkheden voor detectie van bedreigingen, mogelijk gemaakt door Microsoft Threat Intelligence, Microsoft Defender Antivirus en Gevoelige gegevensdetectie om u te helpen potentiële bedreigingen te detecteren en te beperken.
Defender for Storage omvat:
- Activiteitscontrole
- Detectie van bedreigingen voor gevoelige gegevens (preview-functie, alleen nieuw abonnement)
- Scannen van malware (alleen nieuw abonnement)
Aan de slag
Met een eenvoudige configuratie zonder agent op schaal kunt u Defender for Storage inschakelen op abonnements- of resourceniveau via de portal of programmatisch. Wanneer deze optie is ingeschakeld op abonnementsniveau, worden alle bestaande en nieuw gemaakte opslagaccounts onder dat abonnement automatisch beveiligd. U kunt ook specifieke opslagaccounts uitsluiten van beveiligde abonnementen.
Notitie
Als u Defender for Storage (klassiek) al hebt ingeschakeld en toegang wilt krijgen tot de nieuwe beveiligingsfuncties en -prijzen, moet u migreren naar het nieuwe prijsplan.
Beschikbaarheid
| Aspect | DETAILS |
|---|---|
| Releasestatus: | Algemene beschikbaarheid (GA) |
| Beschikbaarheid van functies: | - Activiteitenbewaking (beveiligingswaarschuwingen) – Algemene beschikbaarheid (GA) - Scannen van malware – Algemene beschikbaarheid (GA) - Detectie van gevoelige gegevensbedreigingen (Detectie van gevoelige gegevens) - Preview |
| Prijzen: | Prijzen voor Microsoft Defender voor Storage zijn van toepassing op commerciële clouds. Meer informatie over prijzen en beschikbaarheid per regio. |
Ondersteunde opslagtypen: |
Blob Storage (Standard/Premium StorageV2, inclusief Data Lake Gen2): Activiteitenbewaking, Malwarescans, Detectie van gevoelige gegevens Azure Files (via REST API en SMB): Activiteitenbewaking |
| Vereiste rollen en machtigingen: | Voor malwarescans en detectie van gevoelige gegevensbedreigingen op abonnements- en opslagaccountniveaus hebt u eigenaarsrollen (abonnementseigenaar/opslagaccounteigenaar) of specifieke rollen met bijbehorende gegevensacties nodig. Als u Activiteitenbewaking wilt inschakelen, hebt u machtigingen voor beveiliging Beheer nodig. Lees meer over de vereiste machtigingen. |
| Clouds: |  Commerciële clouds* Azure Government (alleen ondersteuning voor activiteitenbewaking in het klassieke abonnement) Microsoft Azure beheerd door 21VianetVerbinding maken ed AWS-accounts |
* Azure DNS-zone wordt niet ondersteund voor malwarescans en detectie van gevoelige gegevensrisico's.
Wat zijn de voordelen van Microsoft Defender for Storage?
Defender for Storage biedt het volgende:
Betere bescherming tegen malware: de malwarescan scant en detecteert in bijna realtime alle bestandstypen, inclusief archieven van elke geüploade blob, en biedt snelle en betrouwbare resultaten, waardoor u kunt voorkomen dat uw opslagaccounts fungeren als een invoer- en distributiepunt voor bedreigingen. Meer informatie over malwarescans.
Verbeterde bedreigingsdetectie en -bescherming van gevoelige gegevens: met de functie voor detectie van gevoelige gegevens kunnen beveiligingsprofessionals efficiënt prioriteit geven aan beveiligingswaarschuwingen en deze onderzoeken door rekening te houden met de gevoeligheid van de gegevens die risico lopen, wat leidt tot betere detectie en bescherming tegen potentiële bedreigingen. Door snel de belangrijkste risico's te identificeren en aan te pakken, verlaagt deze mogelijkheid de kans op schendingen van gegevens en verbetert de bescherming van gevoelige gegevens door blootstellingsevenementen en verdachte activiteiten op resources met gevoelige gegevens te detecteren. Meer informatie over detectie van gevoelige gegevensrisico's.
Detectie van entiteiten zonder identiteiten: Defender for Storage detecteert verdachte activiteiten die worden gegenereerd door entiteiten zonder identiteiten die toegang hebben tot uw gegevens met behulp van onjuist geconfigureerde en te permissieve Shared Access Signatures (SAS-tokens) die mogelijk zijn gelekt of aangetast, zodat u de beveiligingsveiligheid kunt verbeteren en het risico op onbevoegde toegang kunt verminderen. Deze mogelijkheid is een uitbreiding van het pakket beveiligingswaarschuwingen voor activiteitenbewaking.
Dekking van de belangrijkste bedreigingen voor cloudopslag: Mogelijk gemaakt door Microsoft Threat Intelligence, gedragsmodellen en machine learning-modellen om ongebruikelijke en verdachte activiteiten te detecteren. De beveiligingswaarschuwingen van Defender for Storage hebben betrekking op de belangrijkste cloudopslagbedreigingen, zoals exfiltratie van gevoelige gegevens, beschadiging van gegevens en het uploaden van schadelijke bestanden.
Uitgebreide beveiliging zonder logboeken in te schakelen: wanneer Microsoft Defender for Storage is ingeschakeld, analyseert het continu de telemetriestroom voor het gegevensvlak en de besturingsvlak die wordt gegenereerd door Azure Blob Storage-, Azure Files- en Azure Data Lake Storage-services zonder dat diagnostische logboeken hoeven te worden ingeschakeld.
Wrijvingloze inschakeling op schaal: Microsoft Defender for Storage is een oplossing zonder agent, eenvoudig te implementeren en maakt beveiliging op schaal mogelijk met behulp van een systeemeigen Azure-oplossing.
Hoe werkt de service?
Controle van activiteiten
Defender for Storage analyseert continu gegevens- en besturingsvlaklogboeken van beveiligde opslagaccounts wanneer deze optie is ingeschakeld. U hoeft geen resourcelogboeken in te schakelen voor beveiligingsvoordelen. Gebruik Microsoft Threat Intelligence om verdachte handtekeningen te identificeren, zoals schadelijke IP-adressen, Tor-afsluitknooppunten en mogelijk gevaarlijke apps. Het bouwt ook gegevensmodellen en maakt gebruik van statistische en machine learning-methoden om afwijkingen in basislijnactiviteiten te herkennen, wat kan duiden op schadelijk gedrag. U ontvangt beveiligingswaarschuwingen voor verdachte activiteiten, maar Defender for Storage zorgt ervoor dat u niet te veel vergelijkbare waarschuwingen krijgt. Activiteitscontrole heeft geen invloed op de prestaties, opnamecapaciteit of toegang tot uw gegevens.
Malwarescans (mogelijk gemaakt door Microsoft Defender Antivirus)
Notitie
Facturering voor malware scannen begint op 3 september 2023. Als u uitgaven wilt beperken, gebruikt u de Monthly capping functie om een limiet in te stellen voor het aantal GB dat per maand wordt gescand, per opslagaccount om u te helpen uw kosten te beheren.
Met malwarescans in Defender for Storage kunt u opslagaccounts beschermen tegen schadelijke inhoud door in bijna realtime een volledige malwarescan uit te voeren op geüploade inhoud, waarbij Microsoft Defender Antivirus-mogelijkheden worden toegepast. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het afhandelen van niet-vertrouwde inhoud. Elk bestandstype wordt gescand en scanresultaten worden geretourneerd voor elk bestand. De mogelijkheid om malware te scannen is een SaaS-oplossing zonder agent die eenvoudige installatie op schaal mogelijk maakt, zonder onderhoud en ondersteuning biedt voor het automatiseren van reacties op schaal. Dit is een configureerbare functie in het nieuwe Defender for Storage-abonnement dat is geprijsd per GB gescand. Meer informatie over malwarescans.
Detectie van bedreigingen voor gevoelige gegevens (mogelijk gemaakt door Detectie van gevoelige gegevens)
Met de functie 'detectie van gevoelige gegevensrisico's' kunnen beveiligingsteams efficiënt prioriteiten stellen en beveiligingswaarschuwingen onderzoeken door rekening te houden met de gevoeligheid van de gegevens die risico lopen, wat leidt tot betere detectie en preventie van gegevensschendingen. 'Detectie van gevoelige gegevensbedreigingen' wordt mogelijk gemaakt door de engine 'Gevoelige gegevensdetectie', een engine zonder agent die gebruikmaakt van een slimme samplingmethode om resources met gevoelige gegevens te vinden. De service is geïntegreerd met de gevoelige informatietypen (SIT's) van Microsoft Purview en classificatielabels, waardoor de vertrouwelijkheidsinstellingen van uw organisatie naadloos kunnen worden overgeslagen.
Dit is een configureerbare functie in het nieuwe Defender for Storage-abonnement. U kunt ervoor kiezen om deze zonder andere kosten in of uit te schakelen. Ga naar Detectie van bedreigingen van gevoelige gegevens voor meer informatie.
Besturingselementen voor prijzen en kosten
Prijzen per opslagaccount
Het nieuwe Microsoft Defender for Storage-abonnement heeft voorspelbare prijzen op basis van het aantal opslagaccounts dat u beveiligt. Met de optie om op abonnements- of resourceniveau in te schakelen en specifieke opslagaccounts uit te sluiten van beveiligde abonnementen, hebt u meer flexibiliteit om uw beveiligingsdekking te beheren. Het prijsplan vereenvoudigt het kostenberekeningsproces, zodat u eenvoudig kunt schalen naarmate uw behoeften veranderen. Andere kosten kunnen van toepassing zijn op opslagaccounts met transacties met een hoog volume.
Scannen op malware - Facturering per GB, maandelijkse limieten en configuratie
Malwarescans worden per gigabyte in rekening gebracht voor gescande gegevens. Om de voorspelbaarheid van kosten te waarborgen, kan er per maand een maandelijkse limiet worden vastgesteld voor het gescande gegevensvolume van elk opslagaccount. Deze limiet kan worden ingesteld voor het hele abonnement, wat van invloed is op alle opslagaccounts binnen het abonnement of op afzonderlijke opslagaccounts. Onder beveiligde abonnementen kunt u specifieke opslagaccounts met verschillende limieten configureren.
De limiet is standaard ingesteld op 5000 GB per maand per opslagaccount. Zodra deze drempelwaarde is overschreden, wordt scannen beëindigd voor de resterende blobs, met een betrouwbaarheidsinterval van 20 GB. Raadpleeg Defender for Storage configureren voor configuratiedetails.
Belangrijk
Scannen van malware in Defender for Storage is niet gratis inbegrepen in de eerste proefversie van 30 dagen en wordt vanaf de eerste dag in rekening gebracht volgens het prijsschema dat beschikbaar is op de pagina met prijzen van Defender voor Cloud. Bij het scannen van malware worden ook extra kosten in rekening gebracht voor andere Azure-services: leesbewerkingen van Azure Storage, indexering van Azure Storage-blobs en Azure Event Grid-meldingen.
Inschakelen op schaal met gedetailleerde besturingselementen
Met Microsoft Defender voor Storage kunt u uw gegevens op schaal beveiligen met gedetailleerde besturingselementen. U kunt consistent beveiligingsbeleid toepassen op al uw opslagaccounts binnen een abonnement of deze aanpassen voor specifieke accounts aan uw zakelijke behoeften. U kunt uw kosten ook beheren door het beveiligingsniveau te kiezen dat u nodig hebt voor elke resource. Ga naar Defender for Storage inschakelen om aan de slag te gaan.
Uw scanlimiet voor malware bewaken
Om ononderbroken beveiliging te garanderen en kosten effectief te beheren, zijn er twee informatieve beveiligingswaarschuwingen met betrekking tot het gebruik van malwarescans. De eerste waarschuwing, Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)wordt geactiveerd omdat uw gebruik 75% van de ingestelde maandelijkse limiet nadert, met een koptekst om uw limiet indien nodig aan te passen. De tweede waarschuwing, Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)waarschuwt u wanneer de limiet is bereikt en scannen is onderbroken voor de maand, waardoor nieuwe uploads mogelijk niet-gescand blijven. Beide waarschuwingen worden geleverd met details over betrokken opslagaccounts om prompts en geïnformeerde acties te vergemakkelijken, zodat u uw gewenste beveiligingsniveau kunt behouden zonder onverwachte kosten.
Inzicht in de verschillen tussen malwarescans en hashreputatieanalyse
Defender for Storage biedt twee mogelijkheden voor het detecteren van schadelijke inhoud die is geüpload naar opslagaccounts: malwarescans (betaalde invoegtoepassingsfunctie die alleen beschikbaar is voor het nieuwe abonnement) en hashreputatieanalyse (beschikbaar in alle abonnementen).
Scannen van malware (betaalde invoegtoepassingsfunctie is alleen beschikbaar voor het nieuwe abonnement)
Malware scanning maakt gebruik van Microsoft Defender Antivirus (MDAV) om blobs te scannen die zijn geüpload naar Blob-opslag, en biedt een uitgebreide analyse met uitgebreide bestandsscans en hashreputatieanalyse. Deze functie biedt een verbeterd detectieniveau tegen mogelijke bedreigingen.
Hash-reputatieanalyse (beschikbaar in alle abonnementen)
Analyse van hashreputatie detecteert potentiële malware in Blob Storage en Azure Files door de hashwaarden van nieuw geüploade blobs/bestanden te vergelijken met die van bekende malware door Microsoft Threat Intelligence. Niet alle bestandsprotocollen en bewerkingstypen worden ondersteund met deze mogelijkheid, waardoor sommige bewerkingen niet worden bewaakt op mogelijke malware-uploads. Niet-ondersteunde use cases omvatten SMB-bestandsshares en wanneer een blob wordt gemaakt met behulp van Put Block en Put blocklist.
Kortom, Malware Scanning, dat alleen beschikbaar is in het nieuwe plan voor Blob Storage, biedt een uitgebreidere benadering van malwaredetectie door de volledige inhoud van bestanden te analyseren en hashreputatieanalyse in zijn scanmethodologie op te nemen.
Volgende stappen
In dit artikel hebt u meer geleerd over Microsoft Defender for Storage.
- Defender for Storage inschakelen
- Bekijk veelgestelde vragen over Defender for Storage.