Compreender o Microsoft Defender for Storage

  • 4 minutos

O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar suas contas de armazenamento. Ele utiliza os recursos avançados de IA de segurança e Microsoft Threat Intelligence para fornecer alertas e recomendações de segurança contextuais.

Os alertas de segurança são acionados quando ocorrem anomalias de atividade. Os alertas de segurança são integrados ao Defender for Cloud e enviados por e-mail para administradores de assinatura com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças.

Quais são os benefícios do Microsoft Defender for Storage?

O Microsoft Defender for Storage fornece:

  • Segurança nativa do Azure - Com a ativação com um clique, o Defender for Storage protege os dados armazenados no Blob do Azure, nos Arquivos do Azure e nos Data Lakes. Como um serviço nativo do Azure, o Defender for Storage fornece segurança centralizada em todos os ativos de dados gerenciados pelo Azure e é integrado a outros serviços de segurança, como o Microsoft Sentinel.

  • Pacote de deteção avançado - Com tecnologia Microsoft Threat Intelligence, as deteções no Defender for Storage abrangem as principais ameaças de armazenamento, como acesso anônimo, credenciais comprometidas, engenharia social, abuso de privilégios e conteúdo mal-intencionado.

  • Resposta em escala - As ferramentas de automação do Defender for Cloud facilitam a prevenção e a resposta a ameaças identificadas. Saiba mais em Automatizar respostas aos gatilhos do Defender for Cloud.

Screenshot of Microsoft Defender for Storage threat response.

Que tipo de alertas o Microsoft Defender for Storage fornece?

Os alertas de segurança são acionados quando há:

  • Padrões de acesso suspeitos - como acesso bem-sucedido de um nó de saída do Tor ou de um IP considerado suspeito pelo Microsoft Threat Intelligence

  • Atividades suspeitas - como extração de dados anômala ou alteração incomum de permissões de acesso

  • Carregamentos de conteúdos maliciosos – como potenciais ficheiros de malware (com base na análise da reputação hash) ou alojamento de conteúdos de phishing

Os alertas incluem detalhes do incidente que os desencadeou e recomendações sobre como investigar e remediar ameaças. Os alertas podem ser exportados para o Azure Sentinel ou qualquer outro SIEM de terceiros ou qualquer outra ferramenta externa.

O que é a análise da reputação hash para malware?

Para determinar se um arquivo carregado é suspeito, o Defender for Storage usa a análise de reputação de hash suportada pelo Microsoft Threat Intelligence. As ferramentas de proteção contra ameaças não verificam os arquivos carregados. Em vez disso, examinam os logs de armazenamento e comparam os hashes de arquivos recém-carregados com os hashes de vírus conhecidos, trojans, spyware e ransomware.

Quando um ficheiro é suspeito de conter programas maliciosos, o Centro de Segurança apresenta um alerta e pode, opcionalmente, enviar um e-mail ao proprietário do armazenamento para aprovação para eliminar o ficheiro suspeito. Para configurar esta remoção automática de ficheiros que contenham malware indicado pela análise da reputação hash, implemente uma automatização de fluxo de trabalho para acionar alertas que contenham “Potencial malware carregado numa conta de armazenamento”.