Omówienie usługi Microsoft Defender for Storage
Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu.
Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych.
Uwaga
Ten artykuł dotyczy nowego planu usługi Defender for Storage, który został uruchomiony 28 marca 2023 r. Obejmuje nowe funkcje, takie jak skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również bardziej przewidywalną strukturę cenową, aby lepiej kontrolować pokrycie i koszty. Ponadto wszystkie nowe funkcje usługi Defender zostaną dodane tylko do nowego planu. Migracja do nowego planu to prosty proces, przeczytaj tutaj, jak przeprowadzić migrację z planu klasycznego.
Usługa Microsoft Defender for Storage zapewnia kompleksowe zabezpieczenia, analizując dane telemetryczne płaszczyzny danych i płaszczyzny sterowania generowane przez usługi Azure Blob Storage, Azure Files i Azure Data Lake Storage . Korzysta z zaawansowanych funkcji wykrywania zagrożeń obsługiwanych przez usługę Microsoft Threat Intelligence, Program antywirusowy Microsoft Defender i odnajdywania poufnych danych, aby ułatwić odnajdywanie i eliminowanie potencjalnych zagrożeń.
Usługa Defender for Storage obejmuje:
- Monitorowanie aktywności
- Wykrywanie zagrożeń poufnych danych (funkcja w wersji zapoznawczej, tylko nowy plan)
- Skanowanie w poszukiwaniu złośliwego oprogramowania (tylko nowy plan)
Wprowadzenie
W przypadku prostej konfiguracji bez agenta na dużą skalę można włączyć usługę Defender for Storage na poziomie subskrypcji lub zasobów za pośrednictwem portalu lub programowo. Po włączeniu na poziomie subskrypcji wszystkie istniejące i nowo utworzone konta magazynu w ramach tej subskrypcji będą automatycznie chronione. Możesz również wykluczyć określone konta magazynu z chronionych subskrypcji.
Uwaga
Jeśli masz już włączoną usługę Defender for Storage (klasyczną) i chcesz uzyskać dostęp do nowych funkcji zabezpieczeń i cen, musisz przeprowadzić migrację do nowego planu cenowego.
Dostępność
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność |
| Dostępność funkcji: | — Monitorowanie aktywności (alerty zabezpieczeń) — ogólna dostępność - Skanowanie złośliwego oprogramowania — ogólna dostępność — Wykrywanie zagrożeń poufnych danych (odnajdywanie danych poufnych) — wersja zapoznawcza |
| Cennik: | Cennik usługi Microsoft Defender for Storage dotyczy chmur komercyjnych. Dowiedz się więcej o cenach i dostępności na region. |
Obsługiwane typy magazynu: |
Blob Storage (Standardowa/Premium StorageV2, w tym Data Lake Gen2): monitorowanie aktywności, skanowanie złośliwego oprogramowania, odnajdywanie poufnych danych Azure Files (za pośrednictwem interfejsu API REST i protokołu SMB): monitorowanie aktywności |
| Wymagane role i uprawnienia: | W przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych na poziomach subskrypcji i konta magazynu potrzebne są role właściciela (właściciel subskrypcji/właściciel konta magazynu) lub określone role z odpowiednimi akcjami danych. Aby włączyć monitorowanie aktywności, musisz mieć uprawnienia "Zabezpieczenia Administracja". Dowiedz się więcej o wymaganych uprawnieniach. |
| Chmury: |  Chmury komercyjne* Azure Government (tylko obsługa monitorowania działań w planie klasycznym) Platforma Microsoft Azure obsługiwana przez firmę 21VianetPołączenie konta platformy AWS |
* Strefa DNS platformy Azure nie jest obsługiwana w przypadku skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.
Jakie są zalety usługi Microsoft Defender for Storage?
Usługa Defender for Storage udostępnia następujące elementy:
Lepsza ochrona przed złośliwym oprogramowaniem: Skanowanie w poszukiwaniu złośliwego oprogramowania i wykrywanie niemal w czasie rzeczywistym wszystkich typów plików, w tym archiwów każdego przekazanego obiektu blob oraz zapewnia szybkie i niezawodne wyniki, co pomaga zapobiec wystąpieniu kont magazynu jako punktu wejścia i dystrybucji zagrożeń. Dowiedz się więcej o skanowaniu złośliwego oprogramowania.
Ulepszone wykrywanie zagrożeń i ochrona poufnych danych: funkcja wykrywania zagrożeń poufnych danych umożliwia specjalistom ds. zabezpieczeń efektywne określanie priorytetów i badanie alertów zabezpieczeń, biorąc pod uwagę wrażliwość danych, które mogą być zagrożone, co prowadzi do lepszego wykrywania i ochrony przed potencjalnymi zagrożeniami. Dzięki szybkiej identyfikacji i rozwiązywaniu najbardziej znaczących zagrożeń ta funkcja zmniejsza prawdopodobieństwo naruszenia danych i zwiększa ochronę poufnych danych, wykrywając zdarzenia ekspozycji i podejrzane działania dotyczące zasobów zawierających dane poufne. Dowiedz się więcej na temat wykrywania zagrożeń poufnych danych.
Wykrywanie jednostek bez tożsamości: usługa Defender for Storage wykrywa podejrzane działania generowane przez jednostki bez tożsamości, które uzyskują dostęp do danych przy użyciu nieprawidłowo skonfigurowanych i nadmiernie permisyjnych sygnatur dostępu współdzielonego (tokenów SAS), które mogły wyciekać lub naruszone, aby zwiększyć higienę zabezpieczeń i zmniejszyć ryzyko nieautoryzowanego dostępu. Ta funkcja jest rozszerzeniem pakietu alertów zabezpieczeń monitorowania aktywności.
Pokrycie najważniejszych zagrożeń związanych z magazynem w chmurze: obsługiwane przez usługę Microsoft Threat Intelligence, modele behawioralne i modele uczenia maszynowego w celu wykrywania nietypowych i podejrzanych działań. Alerty zabezpieczeń usługi Defender for Storage obejmują najważniejsze zagrożenia magazynu w chmurze, takie jak eksfiltracja poufnych danych, uszkodzenie danych i złośliwe przekazywanie plików.
Kompleksowe zabezpieczenia bez włączania dzienników: po włączeniu usługi Microsoft Defender for Storage stale analizuje strumień telemetrii płaszczyzny danych i płaszczyzny sterowania generowany przez usługi Azure Blob Storage, Azure Files i Azure Data Lake Storage bez konieczności włączania dzienników diagnostycznych.
Bezproblemowe włączanie na dużą skalę: usługa Microsoft Defender for Storage to rozwiązanie bez agentów, łatwe do wdrożenia i umożliwia ochronę zabezpieczeń na dużą skalę przy użyciu natywnego rozwiązania platformy Azure.
Jak działa usługa?
Monitorowanie aktywności
Usługa Defender for Storage stale analizuje dzienniki płaszczyzny danych i kontroli z chronionych kont magazynu po włączeniu. Nie ma potrzeby włączania dzienników zasobów w celu uzyskania korzyści zabezpieczeń. Użyj funkcji Microsoft Threat Intelligence, aby zidentyfikować podejrzane podpisy, takie jak złośliwe adresy IP, węzły wyjścia Tor i potencjalnie niebezpieczne aplikacje. Tworzy również modele danych i wykorzystuje metody statystyczne i uczenia maszynowego do wykrywania anomalii aktywności punktu odniesienia, które mogą wskazywać na złośliwe zachowanie. Otrzymujesz alerty zabezpieczeń dotyczące podejrzanych działań, ale usługa Defender for Storage gwarantuje, że nie otrzymasz zbyt wielu podobnych alertów. Monitorowanie aktywności nie wpłynie na wydajność, pojemność pozyskiwania ani dostęp do danych.
Skanowanie złośliwego oprogramowania (obsługiwane przez Program antywirusowy Microsoft Defender)
Uwaga
Rozliczenia dotyczące skanowania złośliwego oprogramowania rozpoczyna się 3 września 2023 r. Aby ograniczyć wydatki, użyj Monthly capping tej funkcji, aby ustawić limit ilości skanowanych GB miesięcznie na konto magazynu, aby ułatwić kontrolowanie kosztów.
Skanowanie złośliwego oprogramowania w usłudze Defender for Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym, stosując Program antywirusowy Microsoft Defender możliwości. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności w celu obsługi niezaufanej zawartości. Każdy typ pliku jest skanowany, a wyniki skanowania są zwracane dla każdego pliku. Funkcja skanowania złośliwego oprogramowania to bez agenta rozwiązanie SaaS, które umożliwia prostą konfigurację na dużą skalę, z zerową konserwacją i obsługuje automatyzowanie odpowiedzi na dużą skalę. Jest to konfigurowalna funkcja w nowym planie usługi Defender for Storage, która jest wyceniana za GB skanowania. Dowiedz się więcej o skanowaniu złośliwego oprogramowania.
Wykrywanie zagrożeń poufnych danych (obsługiwane przez odnajdywanie poufnych danych)
Funkcja "wykrywania zagrożeń poufnych danych" umożliwia zespołom ds. zabezpieczeń efektywne określanie priorytetów i badanie alertów zabezpieczeń, biorąc pod uwagę wrażliwość danych, które mogą być zagrożone, co prowadzi do lepszego wykrywania i zapobiegania naruszeniom danych. "Wykrywanie zagrożeń poufnych danych" jest obsługiwane przez aparat "Odnajdywanie danych poufnych", aparat bez agenta, który używa inteligentnej metody próbkowania do znajdowania zasobów z danymi poufnymi. Usługa jest zintegrowana z poufnymi typami informacji (SIT) i etykietami klasyfikacji firmy Microsoft Purview, umożliwiając bezproblemowe dziedziczenie ustawień poufności organizacji.
Jest to funkcja konfigurowalna w nowym planie usługi Defender for Storage. Możesz ją włączyć lub wyłączyć bez innych kosztów. Aby uzyskać więcej informacji, odwiedź stronę Wykrywanie zagrożeń poufnych danych.
Kontrola cen i kosztów
Cennik konta magazynu
Nowy plan usługi Microsoft Defender for Storage ma przewidywalne ceny na podstawie liczby chronionych kont magazynu. Opcja włączania na poziomie subskrypcji lub zasobu i wykluczania określonych kont magazynu z chronionych subskrypcji zwiększa elastyczność zarządzania pokryciem zabezpieczeń. Plan cenowy upraszcza proces obliczania kosztów, umożliwiając łatwe skalowanie w miarę zmian potrzeb. Inne opłaty mogą dotyczyć kont magazynu z transakcjami o dużej ilości.
Skanowanie złośliwego oprogramowania — rozliczenia na GB, miesięczne ograniczenie i konfiguracja
Opłata za skanowanie w poszukiwaniu złośliwego oprogramowania jest naliczana za każdy gigabajt dla zeskanowanych danych. Aby zapewnić przewidywalność kosztów, można ustanowić miesięczny limit dla zeskanowanego woluminu danych każdego konta magazynu na miesiąc. Ten limit można ustawić dla całej subskrypcji, wpływając na wszystkie konta magazynu w ramach subskrypcji lub zastosowany do poszczególnych kont magazynu. W ramach chronionych subskrypcji można skonfigurować określone konta magazynu z różnymi limitami.
Domyślnie limit jest ustawiony na 5000 GB miesięcznie na konto magazynu. Po przekroczeniu tego progu skanowanie zakończy się dla pozostałych obiektów blob z interwałem ufności 20 GB. Aby uzyskać szczegółowe informacje o konfiguracji, zobacz Konfigurowanie usługi Defender for Storage.
Ważne
Skanowanie złośliwego oprogramowania w usłudze Defender for Storage nie jest uwzględniane bezpłatnie w pierwszej 30-dniowej wersji próbnej i zostanie naliczone opłaty od pierwszego dnia zgodnie ze schematem cen dostępnym na stronie cennika Defender dla Chmury. Skanowanie w poszukiwaniu złośliwego oprogramowania spowoduje również naliczanie dodatkowych opłat za inne usługi platformy Azure — operacje odczytu usługi Azure Storage, indeksowanie obiektów blob usługi Azure Storage i powiadomienia usługi Azure Event Grid.
Włączanie na dużą skalę za pomocą szczegółowych kontrolek
Usługa Microsoft Defender for Storage umożliwia zabezpieczanie danych na dużą skalę przy użyciu szczegółowych kontrolek. Możesz zastosować spójne zasady zabezpieczeń na wszystkich kontach magazynu w ramach subskrypcji lub dostosować je dla określonych kont zgodnie z potrzebami biznesowymi. Możesz również kontrolować koszty, wybierając poziom ochrony potrzebny dla każdego zasobu. Aby rozpocząć pracę, odwiedź stronę włączanie usługi Defender for Storage.
Monitorowanie limitu skanowania złośliwego oprogramowania
Aby zapewnić nieprzerwaną ochronę podczas efektywnego zarządzania kosztami, istnieją dwa informacyjne alerty zabezpieczeń związane z użyciem limitu skanowania złośliwego oprogramowania. Pierwszy alert , jest wyzwalany, Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)ponieważ użycie zbliża się do 75% ustawionego miesięcznego limitu, oferując head-up, aby dostosować limit w razie potrzeby. Drugi alert, Malware Scanning stopped: monthly gigabytes scan cap reached (Preview), powiadamia o osiągnięciu limitu i skanowanie jest wstrzymane przez miesiąc, co potencjalnie powoduje, że nowe przekazywanie zostanie niezaskanowane. Oba alerty zawierają szczegółowe informacje na temat kont magazynu, których dotyczy problem, w celu ułatwienia monitowania i świadomego działania, dzięki czemu można zachować żądany poziom zabezpieczeń bez nieoczekiwanych wydatków.
Zrozumienie różnic między skanowaniem złośliwego oprogramowania a analizą reputacji skrótów
Usługa Defender for Storage oferuje dwie możliwości wykrywania złośliwej zawartości przekazanej na konta magazynu: skanowanie złośliwego oprogramowania (funkcja płatnego dodatku dostępna tylko w nowym planie) i analiza reputacji skrótu (dostępna we wszystkich planach).
Skanowanie w poszukiwaniu złośliwego oprogramowania (funkcja płatnego dodatku dostępna tylko w nowym planie)
Skanowanie w poszukiwaniu złośliwego oprogramowania używa Program antywirusowy Microsoft Defender (MDAV) do skanowania obiektów blob przekazanych do usługi Blob Storage, zapewniając kompleksową analizę obejmującą głębokie skanowanie plików i analizę reputacji skrótów. Ta funkcja zapewnia rozszerzony poziom wykrywania potencjalnych zagrożeń.
Analiza reputacji skrótu (dostępna we wszystkich planach)
Analiza reputacji skrótu wykrywa potencjalne złośliwe oprogramowanie w usłudze Blob Storage i usłudze Azure Files, porównując wartości skrótów nowo przekazanych obiektów blob/plików względem znanych złośliwego oprogramowania przez usługę Microsoft Threat Intelligence. Nie wszystkie protokoły plików i typy operacji są obsługiwane dzięki tej funkcji, co prowadzi do niemonitorowania niektórych operacji pod kątem potencjalnych przekazywania złośliwego oprogramowania. Nieobsługiwane przypadki użycia obejmują udziały plików SMB, a po utworzeniu obiektu blob przy użyciu funkcji Put Block i Put blocklist.
Podsumowując, skanowanie w poszukiwaniu złośliwego oprogramowania, które jest dostępne tylko w nowym planie usługi Blob Storage, oferuje bardziej kompleksowe podejście do wykrywania złośliwego oprogramowania, analizując pełną zawartość plików i włączając analizę reputacji skrótów w metodologii skanowania.
Następne kroki
W tym artykule przedstawiono informacje o usłudze Microsoft Defender for Storage.
- Włączanie usługi Defender for Storage
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Storage.