Omówienie usługi Microsoft Defender for Storage (wersja klasyczna)
Uwaga
Uaktualnij do nowego planu usługi Microsoft Defender for Storage. Obejmuje nowe funkcje, takie jak skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również bardziej przewidywalną strukturę cenową, aby lepiej kontrolować pokrycie i koszty. Ponadto wszystkie nowe funkcje usługi Defender for Storage będą dostępne tylko w nowym planie. Migracja do nowego planu to prosty proces, przeczytaj tutaj, jak przeprowadzić migrację z planu klasycznego. Jeśli używasz usługi Defender for Storage (klasycznej) z cennikiem poszczególnych transakcji lub na konto magazynu, musisz przeprowadzić migrację do nowego planu usługi Defender for Storage (wersja klasyczna), aby uzyskać dostęp do tych funkcji i cen. Dowiedz się więcej o korzyściach związanych z migracją do nowego planu usługi Defender for Storage.
Usługa Microsoft Defender for Storage (klasyczna) to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Korzysta z zaawansowanych funkcji wykrywania zagrożeń i danych analizy zagrożeń firmy Microsoft w celu zapewnienia kontekstowych alertów zabezpieczeń. Te alerty obejmują również kroki w celu wyeliminowania wykrytych zagrożeń i zapobiegania przyszłym atakom.
Usługę Microsoft Defender for Storage (klasyczną) można włączyć na poziomie subskrypcji (zalecanym) lub na poziomie zasobu.
Usługa Defender for Storage (klasyczna) stale analizuje strumień danych generowany przez usługi Azure Blob Storage, Azure Files i Azure Data Lake Storage . Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury. Wszystkie szczegóły podejrzanego działania wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń są przedstawione tutaj.
Przeanalizowane dane usługi Azure Blob Storage obejmują typy operacji, takie jak Get Blob, , Put BlobGet Container ACL, List Blobsi Get Blob Properties. Przykłady analizowanych typów operacji usługi Azure Files obejmują Get File, , Create File, List Files, Get File Propertiesi Put Range.
Usługa Defender for Storage (klasyczna) nie uzyskuje dostępu do danych konta magazynu i nie ma wpływu na jej wydajność.
Więcej informacji można dowiedzieć się, oglądając ten film wideo z Defender dla Chmury w serii wideo Field:
Aby uzyskać więcej wyjaśnień dotyczących usługi Defender for Storage (wersja klasyczna), zobacz często zadawane pytania.
Dostępność
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność |
| Cennik: | Opłata za usługę Microsoft Defender for Storage (klasyczna) jest naliczana, jak pokazano na stronie cennika |
| Typy chronionych magazynów: | Blob Storage (Standardowa/Premium StorageV2, blokowe obiekty blob) Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB) Azure Data Lake Storage Gen2 (konta w warstwie Standardowa/Premium z włączonymi hierarchicznymi przestrzeniami nazw) |
| Chmury: |  Chmury komercyjne Azure Government Platforma Microsoft Azure obsługiwana przez firmę 21VianetPołączenie konta platformy AWS |
Jakie są zalety usługi Microsoft Defender for Storage (wersja klasyczna)?
Usługa Defender for Storage (wersja klasyczna) zapewnia:
Zabezpieczenia natywne dla platformy Azure — dzięki włączeniu 1 kliknięcia usługa Defender for Storage (klasyczna) chroni dane przechowywane w usługach Azure Blob, Azure Files i Data Lake. Jako usługa natywna dla platformy Azure usługa Defender for Storage (klasyczna) zapewnia scentralizowane zabezpieczenia wszystkich zasobów danych zarządzanych przez platformę Azure i jest zintegrowana z innymi usługami zabezpieczeń platformy Azure, takimi jak Microsoft Sentinel.
Bogaty pakiet wykrywania — obsługiwane przez usługę Microsoft Threat Intelligence wykrywanie w usłudze Defender for Storage (wersja klasyczna) obejmuje najważniejsze zagrożenia magazynu, takie jak nieuwierzytelniony dostęp, naruszone poświadczenia, ataki inżynierii społecznej, eksfiltracja danych, nadużycie uprawnień i złośliwa zawartość.
Reagowanie na dużą skalę — narzędzia automatyzacji Defender dla Chmury ułatwiają zapobieganie zidentyfikowanym zagrożeniom i reagowanie na nie. Dowiedz się więcej w temacie Automatyzowanie odpowiedzi na wyzwalacze Defender dla Chmury.
Zagrożenia bezpieczeństwa w usługach magazynu w chmurze
Naukowcy zajmujący się zabezpieczeniami firmy Microsoft przeanalizowali obszar ataków usług magazynu. Konta magazynu mogą podlegać uszkodzeniem danych, narażeniem na poufne treści, złośliwą dystrybucją zawartości, eksfiltracją danych, nieautoryzowanym dostępem i nie tylko.
Potencjalne zagrożenia bezpieczeństwa opisano w macierzy zagrożeń dla usług magazynowania opartych na chmurze i są oparte na strukturze MITRE ATT&CK®, baza wiedzy taktyki i technik stosowanych w cyberatakach.
Jakiego rodzaju alerty udostępnia usługa Microsoft Defender for Storage (wersja klasyczna)?
Alerty zabezpieczeń są wyzwalane w następujących scenariuszach (zazwyczaj od 1 do 2 godzin po zdarzeniu):
| Typ zagrożenia | opis |
|---|---|
| Nietypowy dostęp do konta | Na przykład dostęp z węzła wyjścia TOR, podejrzane adresy IP, nietypowe aplikacje, nietypowe lokalizacje i anonimowy dostęp bez uwierzytelniania. |
| Nietypowe zachowanie na koncie | Zachowanie, które odbiega od poznanego punktu odniesienia. Na przykład zmiana uprawnień dostępu na koncie, nietypowa inspekcja dostępu, nietypowa eksploracja danych, nietypowe usunięcie obiektów blob/plików lub nietypowe wyodrębnianie danych. |
| Wykrywanie złośliwego oprogramowania opartego na reputacji skrótów | Wykrywanie znanego złośliwego oprogramowania na podstawie pełnego skrótu obiektu blob/pliku. Co może pomóc wykrywać oprogramowanie wymuszające okup, wirusy, programy szpiegujące i inne złośliwe oprogramowanie przekazane na konto, zapobiegać jego wejściu do organizacji i rozprzestrzeniać się na więcej użytkowników i zasobów. Zobacz również Ograniczenia analizy reputacji skrótów. |
| Nietypowe przekazywanie plików | Nietypowe pakiety usług w chmurze i pliki wykonywalne, które zostały przekazane do konta. |
| Widoczność publiczna | Potencjalne próby przerwania przez skanowanie kontenerów i ściąganie potencjalnie poufnych danych z publicznie dostępnych kontenerów. |
| Kampanie wyłudzania informacji | Gdy zawartość hostowana w usłudze Azure Storage jest identyfikowana jako część ataku wyłudzania informacji, który ma wpływ na użytkowników platformy Microsoft 365. |
Napiwek
Aby uzyskać pełną listę wszystkich alertów usługi Defender for Storage (klasycznych), zobacz stronę referencyjną alertów. Należy zapoznać się z wymaganiami wstępnymi, ponieważ niektóre alerty zabezpieczeń są dostępne tylko w ramach nowego planu usługi Defender for Storage. Informacje na stronie referencyjnej są korzystne dla właścicieli obciążeń poszukujących zrozumienia wykrywalnych zagrożeń i umożliwia zespołom usługi Security Operations Center (SOC) zapoznanie się z wykrywaniem przed przeprowadzeniem badań. Dowiedz się więcej o tym, co znajduje się w Defender dla Chmury alertach zabezpieczeń oraz jak zarządzać alertami w temacie Zarządzanie alertami zabezpieczeń i reagowanie na nie w Microsoft Defender dla Chmury.
Alerty zawierają szczegółowe informacje o zdarzeniu, które je wywołały, oraz zalecenia dotyczące sposobu badania i korygowania zagrożeń. Alerty można eksportować do usługi Microsoft Sentinel lub dowolnego innego rozwiązania SIEM innej firmy lub dowolnego innego narzędzia zewnętrznego. Dowiedz się więcej w artykule Stream alerts to a SIEM, SOAR lub IT classic deployment model solution (Alerty usługi Stream do rozwiązania SIEM, SOAR lub klasycznego modelu wdrażania IT).
Ograniczenia analizy reputacji skrótów
Napiwek
Jeśli chcesz przeskanować przekazane obiekty blob pod kątem złośliwego oprogramowania niemal w czasie rzeczywistym, zalecamy uaktualnienie do nowego planu usługi Defender for Storage. Dowiedz się więcej o skanowaniu złośliwego oprogramowania.
Reputacja skrótu nie jest głęboką inspekcją plików — usługa Microsoft Defender for Storage (klasyczna) używa analizy reputacji skrótu obsługiwanej przez usługę Microsoft Threat Intelligence w celu ustalenia, czy przekazany plik jest podejrzany. Narzędzia ochrony przed zagrożeniami nie skanują przekazanych plików; raczej analizują dane generowane z usług Blobs Storage i Files. Usługa Defender for Storage (klasyczna) porównuje skróty nowo przekazanych plików z skrótami znanych wirusów, trojanów, programów szpiegujących i oprogramowania wymuszającego okup.
Analiza reputacji skrótu nie jest obsługiwana dla wszystkich protokołów plików i typów operacji — niektóre, ale nie wszystkie, dzienniki danych zawierają wartość skrótu powiązanego obiektu blob lub pliku. W niektórych przypadkach dane nie zawierają wartości skrótu. W związku z tym niektóre operacje nie mogą być monitorowane pod kątem znanych operacji przekazywania złośliwego oprogramowania. Przykłady takich nieobsługiwanych przypadków użycia obejmują udziały plików SMB i utworzenie obiektu blob przy użyciu funkcji Put Block i Put blocklist.
Następne kroki
W tym artykule omówiono usługę Microsoft Defender for Storage (klasyczną).
- Włączanie usługi Defender for Storage (wersja klasyczna)
- Zapoznaj się z typowymi pytaniami dotyczącymi klasycznej usługi Defender for Storage.