Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A segurança de dados se torna uma prioridade máxima à medida que as organizações transferem dados para soluções de armazenamento em nuvem, como o Armazenamento do Microsoft Azure. Este documento descreve as ameaças comuns de segurança e os riscos associados a configurações incorretas. Ele também explica os alertas de segurança que o Microsoft Defender para Armazenamento fornece para detectar e responder a possíveis ameaças à segurança.
Ameaças à segurança em serviços de armazenamento baseados em nuvem
O Armazenamento do Microsoft Azure é uma solução de armazenamento em nuvem amplamente usada e, como qualquer serviço baseado em nuvem, é suscetível a várias ameaças à segurança. As ameaças comuns à segurança no Armazenamento do Microsoft Azure incluem:
- Abuso e vazamento de token de acesso
- Movimentação lateral de cargas de trabalho comprometidas
- Parceiros de terceiros comprometidos com permissões privilegiadas
- Roubo de credenciais
- Reconhecimento com mecanismos de pesquisa
- Coleta de dados por busca de blobs
- Ameaças internas com permissões existentes
Essas ameaças podem resultar em uploads de malware, corrupção de dados e exfiltração de dados confidenciais, representando riscos significativos.
Além das ameaças à segurança, os erros de configuração podem expor inadvertidamente recursos confidenciais. Problemas comuns de configuração incorreta:
- Controles de acesso inadequados e regras de rede, levando à exposição de dados não intencional na Internet
- Mecanismos de autenticação insuficientes
- Falta de protocolos de criptografia de dados para dados em trânsito e em repouso
Para minimizar o risco de violações de segurança e erros de configuração, as equipes de segurança empregam uma combinação de ferramentas de gerenciamento de postura e ferramentas de proteção de carga de trabalho. Essas ferramentas garantem que o Armazenamento do Azure permaneça seguro, fornecendo visibilidade sobre os primeiros sinais de violações. Elas ajudam a evitar ataques e a manter as configurações seguras.
Os pesquisadores de segurança da Microsoft analisaram a superfície de ataque dos serviços de armazenamento. Os possíveis riscos de segurança são descritos na matriz de ameaças para serviços de armazenamento baseados em nuvem, que se baseiam na estrutura MITRE ATT&CK®, uma base de dados de conhecimento das táticas e técnicas empregadas nos ataques cibernéticos.
Para uma comparação entre a verificação de malware e a análise de reputação de hash, consulte as Noções básicas sobre as diferenças entre esses métodos.
Quais tipos de alertas de segurança o Microsoft Defender para Armazenamento fornece?
Dica
Para ver uma lista abrangente de todos os alertas do Microsoft Defender para Armazenamento, consulte o guia de referência de alertas. Isso é útil para proprietários de cargas de trabalho que querem saber quais ameaças podem ser detectadas e ajudar as equipes de SOC a ter familiaridade com as detecções antes de investigá-las. Saiba mais sobre alertas de segurança do Microsoft Defender para Nuvem e como responder a eles.
Os alertas de segurança são disparados nos seguintes cenários:
| Cenário | Descrição |
|---|---|
| Upload de conteúdo mal-intencionado | A verificação de malware verifica cada blob carregado em suas contas de armazenamento. Ela detecta ransomware, vírus, spyware e outros malwares carregados na conta de armazenamento, ajudando você a impedir que entrem na organização e se espalhe. O alerta de análise de hash de malware clássico opera de forma diferente da verificação de malware. Ele compara o hash de blob/arquivo carregado com uma lista de assinaturas de hash mal-intencionadas conhecidas, em vez de analisar o conteúdo do arquivo para malware. |
| Evento de exposição de dados confidenciais | Detecção de alteração no nível de acesso permitindo acesso público não autenticado a contêineres de blob com dados confidenciais da Internet |
| Atividades suspeitas em recursos com dados confidenciais | Detecção de atividades suspeitas que ocorrem em contêineres de blob que contêm dados confidenciais |
| Tokens de autenticação comprometidos, configurados incorretamente e incomuns | Detecção de tokens SAS comprometidos usados para autenticação e operações do plano de dados e detecção de tokens SAS incomuns que podem ser gerados por um ator mal-intencionado |
| Inspeção de dados e permissões | Detecção de exploração incomum dos dados e inspeção de permissões de acesso |
| Exfiltração dos dados | Detecção de extração incomum de dados de contas de armazenamento |
| Exclusão de dados | Detecção de exclusões incomuns em contas de armazenamento |
| Tentativas de busca de blobs | Detecção de tentativas de coleta por meio da verificação e enumeração de recursos para recursos de armazenamento expostos publicamente. Leia mais sobre como detectar, investigar e impedir a busca de blobs. |
| Padrões de acesso incomuns | Detecção de acesso incomum a contas de armazenamento de locais incomuns, aplicativos e com autenticação incomum |
| Assinaturas de acesso suspeitas | Detecção de endereços IP suspeitos conhecidos pela Inteligência contra Ameaças da Microsoft, nós de saída conhecidos do Tor e aplicativos suspeitos conhecidos |
| Campanhas de phishing | Detecção de conteúdo de phishing hospedado em contas de armazenamento e identificado como parte de um ataque de phishing que afeta os usuários do Microsoft 365 |
Esses alertas de segurança fornecem detalhes sobre atividades suspeitas, etapas de investigação, ações de correção e recomendações de segurança relevantes. Os alertas podem ser exportados para o Microsoft Sentinel ou qualquer ou qualquer outra ferramenta externa SIEM/XDR. Saiba mais em como transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.