Visão geral do Microsoft Defender para Armazenamento

O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar suas contas de armazenamento. Ele usa recursos avançados de detecção de ameaças e dados da Inteligência contra Ameaças da Microsoft para fornecer alertas de segurança contextuais. Esses alertas também incluem etapas para atenuar as ameaças detectadas e evitar ataques futuros.

Você pode habilitar o Microsoft Defender para Armazenamento no nível da assinatura (recomendado) ou no nível do recurso.

O Defender para Armazenamento analisa continuamente o fluxo de telemetria gerado pelos serviços Armazenamento de Blobs do Azure e Arquivos do Azure. Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Microsoft Defender para Nuvem com os detalhes da atividade suspeita, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.

A telemetria analisada do Armazenamento de Blobs do Azure inclui tipos de operação como Get Blob, Put Blob, Get Container ACL, List Blobs e Get Blob Properties. Exemplos de tipos de operação dos Arquivos do Azure analisados incluem Get File, Create File, List Files, Get File Properties e Put Range.

O Defender para Armazenamento não acessa os dados da conta de Armazenamento e não tem impacto sobre o desempenho dela.

Você pode saber mais assistindo a este vídeo da série de vídeos do Defender para Nuvem no Campo:

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: O Microsoft Defender para Armazenamento é cobrado conforme mostrado na página de preços
Tipos de armazenamento protegidos: Armazenamento de Blobs (Standard/Premium StorageV2, Blob de blocos)
Arquivos do Azure (via API REST e SMB)
Azure Data Lake Storage Gen2 (contas Standard/Premium com namespaces hierárquicos habilitados)
Nuvens: Nuvens comerciais
Azure Governamental
Azure China 21Vianet
Contas da AWS conectadas

Quais são os benefícios do Microsoft Defender para Armazenamento?

O Defender para Armazenamento oferece:

  • Segurança nativa do Azure – com a habilitação de um clique, o Defender para Armazenamento protege os dados armazenados no blob do Azure, nos Arquivos do Azure e nos Data Lakes. Como um serviço nativo do Azure, o Defender para Armazenamento fornece segurança centralizada em todos os ativos de dados gerenciados pelo Azure e é integrado a outros serviços de segurança do Azure, como o Microsoft Sentinel.

  • Pacote de detecção avançada – da plataforma de Inteligência contra Ameaças da Microsoft, as detecções no Defender para Armazenamento abrangem as principais ameaças ao armazenamento, como acesso não autenticado, credenciais comprometidas, ataques de engenharia social, exfiltração dos dados, abuso de privilégio e conteúdo mal-intencionado.

  • Resposta em escala – As ferramentas de automação do Defender para Nuvem facilitam a prevenção e a resposta a ameaças identificadas. Saiba mais em Automatizar respostas aos gatilhos do Defender para Nuvem.

Visão geral de alto nível dos recursos do Microsoft Azure Defender para Armazenamento.

Ameaças à segurança em serviços de armazenamento baseados em nuvem

Os pesquisadores de segurança da Microsoft analisaram a superfície de ataque dos serviços de armazenamento. As contas de armazenamento podem apresentar dados corrompidos, exposição de conteúdo confidencial, distribuição de conteúdo mal-intencionado, exfiltração dos dados, acesso não autorizado e muito mais.

Os possíveis riscos de segurança são descritos na matriz de ameaças para serviços de armazenamento baseados em nuvem e são baseados na estrutura MITRE ATT&CK® , uma base de dados de conhecimento com as táticas e técnicas empregadas por ataques cibernéticos.

A matriz de ameaças da Microsoft para ameaças de segurança de armazenamento em nuvem.

Quais tipos de alertas o Microsoft Defender para Armazenamento envia?

Alertas de segurança são disparados para os seguintes cenários (normalmente de 1 a 2 horas após o evento):

Tipo de ameaça Descrição
Acesso incomum a uma conta Por exemplo, acesso de um nó de saída do TOR, endereços IP suspeitos, aplicativos incomuns, locais incomuns e acesso anônimo sem autenticação.
Comportamento incomum em uma conta Comportamento que se desvia de uma linha de base aprendida, como a alteração das permissões de acesso em uma conta, inspeção de acesso incomum, exploração de dados incomum, exclusão incomum de blobs/arquivos ou extração de dados incomum.
Detecção de malware baseada em reputação de hash Detecção de malware conhecido com base no hash do blob/arquivo completo. Isso pode ajudar a detectar ransomware, vírus, spyware e outros malwares carregados em uma conta, impedir que entrem na organização e se distribuam para mais usuários e recursos. Confira também Limitações da análise de reputação de hash.
Uploads de arquivo incomuns Pacotes de serviço de nuvem incomuns e arquivos executáveis que foram carregados em uma conta.
Visibilidade pública Possíveis tentativas de invasão por meio da verificação de contêineres e da coleta de dados potencialmente confidenciais de contêineres acessíveis publicamente.
Campanhas de phishing Quando conteúdo hospedado no Armazenamento do Azure é identificado como parte de um ataque de phishing que está afetando os usuários do Microsoft 365.

Confira a lista completa de alertas do Microsoft Defender para Armazenamento.

Um alerta inclui detalhes sobre o incidente que o disparou e recomendações sobre como investigar e corrigir as ameaças. Os alertas podem ser exportados para o Microsoft Sentinel ou qualquer outro SIEM de terceiros ou qualquer outra ferramenta externa. Saiba mais em Transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.

Dica

Para ver uma lista abrangente de todos os alertas do Defender para Armazenamento, consulte a página de referência de alertas. Isso é útil para proprietários de cargas de trabalho que querem saber quais ameaças podem ser detectadas e ajudar as equipes de SOC a ter familiaridade com as detecções antes de investigá-las. Saiba mais sobre o que há em um alerta de segurança do Defender para Nuvem e como gerenciar seus alertas em Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem.

Explorar anomalias de segurança

Quando ocorrerem anomalias na atividade de armazenamento, você receberá uma notificação por email com informações sobre o evento de segurança suspeito. Os detalhes do evento incluem:

  • A natureza da anomalia
  • O nome da conta de armazenamento
  • A hora do evento
  • O tipo de armazenamento
  • As causas possíveis
  • As etapas de investigação
  • As etapas de correção

O email também inclui detalhes sobre possíveis causas e ações recomendadas para investigar e atenuar a ameaça potencial.

Captura de tela do email de alerta do Microsoft Defender para Armazenamento.

É possível examinar e gerenciar os alertas de segurança atuais do Bloco de alertas de segurança do Microsoft Defender para Nuvem. Selecione um alerta para obter detalhes e ações para investigar a ameaça atual e corrigir ameaças futuras.

Captura de tela de um alerta do Microsoft Defender para Armazenamento.

Limitações da análise de reputação de hash

  • A reputação de hash não é uma inspeção profunda de arquivos – o Microsoft Defender para Armazenamento usa a análise de reputação de hash compatível com a Inteligência contra Ameaças da Microsoft para determinar se um arquivo carregado é suspeito. As ferramentas de proteção contra ameaças não examinam os arquivos carregados; em vez disso, elas analisam a telemetria gerada dos serviços de Armazenamento de Blobs e Arquivos. O Defender para Armazenamento, então, compara os hashes de arquivos recém-carregados com hashes de vírus, cavalos de troia, spyware e ransomware conhecidos.

  • Não há suporte para análise de reputação de hash para todos os protocolos de arquivos e tipos de operação – alguns, mas não todos, os logs de telemetria contêm o valor de hash do blob ou arquivo relacionado. Em alguns casos, a telemetria não contém um valor de hash. Como resultado, algumas operações não podem ser monitoradas quanto a uploads de malware conhecidos. Exemplos desses casos de uso sem suporte incluem compartilhamentos de arquivos SMB e quando um blob é criado usando Colocar Bloco e Colocar Lista de Blocos.

Dica

Quando há a suspeita de que um arquivo contém malware, o Defender para Nuvem exibe um alerta e pode, opcionalmente, enviar um email ao proprietário do armazenamento solicitando a aprovação para excluir o arquivo suspeito. Para configurar essa remoção automática de arquivos indicados pela análise de reputação de hash como possíveis portadores de malware, implante uma automação de fluxo de trabalho para disparar com alertas que contenham "Possível upload de malware em uma conta de armazenamento".

Perguntas frequentes – Microsoft Defender para Armazenamento

Como fazer para estimar os encargos no nível da conta?

Para otimizar os custos, talvez você queira excluir contas de armazenamento específicas associadas ao tráfego alto das proteções do Defender para Armazenamento. Para obter uma estimativa dos custos do Defender para Armazenamento, use a Pasta de Trabalho de Estimativa de Preço no portal do Azure.

Posso excluir uma conta específica do Armazenamento do Azure de uma assinatura protegida?

Para excluir uma conta de armazenamento específica quando o Defender para Armazenamento estiver habilitado em uma assinatura, siga as instruções em Excluir uma conta de armazenamento das proteções do Microsoft Defender para Armazenamento.

Como fazer para configurar respostas automáticas para alertas de segurança?

Use a automação de fluxo de trabalho para disparar respostas automáticas para alertas de segurança do Defender para Nuvem.

Por exemplo, você pode configurar a automação para abrir tarefas ou tíquetes para pessoas ou equipes específicas em um sistema de gerenciamento de tarefas externo.

Dica

Explore as automações disponíveis nas páginas da comunidade do Defender para Cloud: automação do ServiceNow, automação do Jira, automação do Azure DevOps, automação do Slack ou crie a sua.

Use a automação para resposta automática – para definir a sua ou usar a automação pronta da comunidade (por exemplo, remover arquivos mal-intencionados após a detecção). Para conhecer mais soluções, visite a comunidade da Microsoft no GitHub. 

Próximas etapas

Neste artigo, você aprendeu sobre o Microsoft Defender para Armazenamento.