Общие сведения о Microsoft Defender для хранилища
Microsoft Defender для служба хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения.
Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных.
Примечание.
Эта статья посвящена новому плану Defender для служба хранилища, который был запущен 28 марта 2023 года. Она включает новые функции, такие как сканирование вредоносных программ и обнаружение угроз конфиденциальной данных. Этот план также обеспечивает более прогнозируемую ценовую структуру для более эффективного контроля над покрытием и затратами. Кроме того, все новые функции Defender будут добавлены только в новый план. Переход к новому плану — это простой процесс, см. здесь о том, как перейти с классического плана.
Microsoft Defender для служба хранилища обеспечивает комплексную безопасность путем анализа телеметрии плоскости данных и плоскости управления, созданных службами Хранилище BLOB-объектов Azure, Файлы Azure и Azure Data Lake служба хранилища. Она использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence, антивирусная программа в Microsoft Defender и обнаружение конфиденциальных данных, чтобы помочь вам обнаружить и устранить потенциальные угрозы.
Defender для служба хранилища включает:
- Мониторинг активности
- Обнаружение угроз конфиденциальной данных (предварительная версия, только новый план)
- Сканирование вредоносных программ (только для нового плана)
Начало работы
С помощью простой настройки без агента можно включить Defender для служба хранилища на уровне подписки или ресурсов на портале или программно. При включении на уровне подписки все существующие и вновь созданные учетные записи хранения в этой подписке будут автоматически защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок.
Примечание.
Если у вас уже есть защитник для служба хранилища (классическая версия) и вы хотите получить доступ к новым функциям безопасности и ценам, вам потребуется перейти к новому ценовому плану.
Availability
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия |
| Доступность компонентов: | — Мониторинг активности (оповещения системы безопасности) — общедоступная версия (GA) — Сканирование вредоносных программ — общедоступная версия (GA) — обнаружение угроз конфиденциальной данных (обнаружение конфиденциальных данных) — предварительная версия |
| Цены. | Цены на Microsoft Defender для служба хранилища применяются к коммерческим облакам. Дополнительные сведения о ценах и доступности для каждого региона. |
Поддерживаемые типы хранилища: |
Служба хранилища BLOB-объектов (standard/хранилище класса Premium V2, включая Data Lake 2-го поколения): мониторинг активности, сканирование вредоносных программ, обнаружение конфиденциальных данных Файлы Azure (по REST API и S МБ): мониторинг активности |
| Требуемые роли и разрешения | Для обнаружения угроз сканирования вредоносных программ и конфиденциальных данных на уровнях подписки и учетных записей хранения требуются роли владельца (владелец подписки или владелец учетной записи хранения) или определенные роли с соответствующими действиями данных. Чтобы включить мониторинг активности, требуется разрешение "Безопасность Администратор". Дополнительные сведения о необходимых разрешениях. |
| Облако. |  Коммерческие облака* Azure для государственных организаций (поддержка мониторинга действий только в классическом плане) Microsoft Azure, управляемый 21Vianet подключенные учетные записи AWS. |
* Зона AZURE DNS не поддерживается для обнаружения угроз вредоносных программ и обнаружения конфиденциальных данных.
Каковы преимущества Microsoft Defender для хранилища?
Защитник для служба хранилища предоставляет следующее:
Улучшенная защита от вредоносных программ: сканирование вредоносных программ и обнаружение в практически реальном времени всех типов файлов, включая архивы каждого загруженного большого двоичного объекта, и обеспечивает быстрые и надежные результаты, помогая предотвратить использование учетных записей хранения в качестве точки входа и распространения угроз. Дополнительные сведения о проверке вредоносных программ.
Улучшено обнаружение угроз и защита конфиденциальных данных: возможность обнаружения угроз конфиденциальной информации позволяет специалистам по безопасности эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к улучшению обнаружения и защиты от потенциальных угроз. Быстро идентифицируя и устраняя наиболее значительные риски, эта возможность снижает вероятность нарушений данных и повышает защиту конфиденциальных данных путем обнаружения событий воздействия и подозрительных действий на ресурсах, содержащих конфиденциальные данные. Дополнительные сведения об обнаружении угроз конфиденциальных данных.
Обнаружение сущностей без удостоверений: Defender для служба хранилища обнаруживает подозрительные действия, созданные сущностями без удостоверений, которые обращаются к данным с помощью неправильно настроенных и чрезмерно разрешенных подписанных URL-адресов (маркеров SAS), которые могли бы утечки или компрометации, чтобы повысить гигиену безопасности и снизить риск несанкционированного доступа. Эта возможность является расширением набора оповещений системы безопасности мониторинга активности.
Охват основных угроз облачного хранилища: Powered microsoft Threat Intelligence, поведенческих моделей и моделей машинного обучения для обнаружения необычных и подозрительных действий. Оповещения системы безопасности Defender для служба хранилища охватывают основные угрозы облачного хранилища, такие как утечка конфиденциальных данных, повреждение данных и отправка вредоносных файлов.
Комплексная безопасность без включения журналов: если включена поддержка Microsoft Defender для служба хранилища, она постоянно анализирует поток телеметрии плоскости данных и плоскости управления, создаваемый Хранилище BLOB-объектов Azure, Файлы Azure и Azure Data Lake служба хранилища службы без необходимости включения журналов диагностики.
Включение без трений в масштабе: Microsoft Defender для служба хранилища — это бессерверное решение, простое развертывание и обеспечение защиты в масштабе с помощью собственного решения Azure.
Как работает служба?
Мониторинг активности
Defender для служба хранилища непрерывно анализирует журналы данных и плоскостей управления из защищенных учетных записей хранения при включении. Нет необходимости включать журналы ресурсов для преимуществ безопасности. Используйте Microsoft Threat Intelligence для выявления подозрительных подписей, таких как вредоносные IP-адреса, узлы выхода tor и потенциально опасные приложения. Он также создает модели данных и использует статистические и методы машинного обучения для выявления аномалий базовых действий, которые могут указывать на вредоносное поведение. Вы получаете оповещения системы безопасности для подозрительных действий, но Defender для служба хранилища гарантирует, что вы не получите слишком много похожих оповещений. Мониторинг активности не влияет на производительность, емкость приема или доступ к данным.
Сканирование вредоносных программ (на антивирусная программа в Microsoft Defender)
Примечание.
Выставление счетов за сканирование вредоносных программ начинается 3 сентября 2023 г. Чтобы ограничить расходы, используйте Monthly capping эту функцию, чтобы установить ограничение на количество отсканированных в ГБ в месяц для каждой учетной записи хранения, чтобы помочь вам контролировать затраты.
Сканирование вредоносных программ в Defender для служба хранилища помогает защитить учетные записи хранения от вредоносного содержимого путем выполнения полного сканирования вредоносных программ при передаче содержимого практически в режиме реального времени, применяя антивирусная программа в Microsoft Defender возможности. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Каждый тип файла сканируется, и результаты сканирования возвращаются для каждого файла. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе. Это настраиваемая функция в новом плане Defender для служба хранилища, который предоставляется по цене за отсканированные ГБ. Дополнительные сведения о проверке вредоносных программ.
Обнаружение угроз конфиденциальной данных (на языке обнаружения конфиденциальных данных)
Возможность "обнаружения угроз конфиденциальных данных" позволяет группам безопасности эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к улучшению обнаружения и предотвращения нарушений данных. "Обнаружение угроз конфиденциальных данных" работает с помощью обработчика "Обнаружение конфиденциальных данных", обработчик без агента, использующий интеллектуальный метод выборки для поиска ресурсов с конфиденциальными данными. Служба интегрирована с типами конфиденциальной информации (SIT) Microsoft Purview и метками классификации, что позволяет легко наследование параметров конфиденциальности вашей организации.
Это настраиваемая функция в новом плане Defender для служба хранилища. Вы можете включить или отключить его без других затрат. Дополнительные сведения см. в статье "Обнаружение угроз конфиденциальных данных".
Элементы управления ценами и затратами
Цены на учетную запись хранения
Новый план Microsoft Defender для служба хранилища имеет прогнозируемую цену на основе количества защищенных учетных записей хранения. Если вы можете включить на уровне подписки или ресурса и исключить определенные учетные записи хранения из защищенных подписок, у вас есть повышенная гибкость для управления покрытием безопасности. План ценообразования упрощает процесс вычисления затрат, что позволяет легко масштабироваться по мере изменения потребностей. Другие расходы могут применяться к учетным записям хранения с большим объемом транзакций.
Сканирование вредоносных программ — выставление счетов за ГБ, ежемесячное ограничение и настройка
Сканирование вредоносных программ взимается по гигабайтам на основе сканированных данных. Чтобы обеспечить прогнозируемость затрат, ежемесячное ограничение можно установить для отсканированного объема данных каждой учетной записи хранения в месяц. Это ограничение можно задать на уровне подписки, влияя на все учетные записи хранения в подписке или применяться к отдельным учетным записям хранения. В разделе защищенных подписок можно настроить определенные учетные записи хранения с различными ограничениями.
По умолчанию ограничение равно 5000 ГБ в месяц на учетную запись хранения. После превышения этого порогового значения проверка прекратится для оставшихся больших двоичных объектов с интервалом доверия в 20 ГБ. Дополнительные сведения о конфигурации см. в разделе "Настройка Defender для служба хранилища".
Внимание
Сканирование вредоносных программ в Defender для служба хранилища не включается бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице цен Defender для облака. Сканирование вредоносных программ также будет взимать дополнительную плату за другие службы Azure— служба хранилища Azure операции чтения, служба хранилища Azure индексирование BLOB-объектов и уведомления Сетка событий Azure.
Включение в масштабе с помощью детализированных элементов управления
Microsoft Defender для служба хранилища позволяет защитить данные в масштабе с помощью детализированных элементов управления. Вы можете применять согласованные политики безопасности во всех учетных записях хранения в подписке или настраивать их для определенных учетных записей в соответствии с потребностями бизнеса. Вы также можете контролировать затраты, выбрав уровень защиты, необходимый для каждого ресурса. Чтобы приступить к работе, перейдите к включению Defender для служба хранилища.
Мониторинг ограничения сканирования вредоносных программ
Чтобы обеспечить непрерывную защиту при эффективном управлении затратами, существует два оповещения информационной безопасности, связанные с сканированием вредоносных программ. Первое оповещение Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)активируется, так как использование приближается к 75 % набора ежемесячной крышки, предлагая головку для настройки крышки при необходимости. Второе оповещение уведомляет Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)вас о достижении ограничения и сканировании в течение месяца, потенциально оставляя новые отправки незасканированными. Оба оповещения содержат подробные сведения о затронутых учетных записях хранения для упрощения оперативного и информированного действия, обеспечивая поддержание требуемого уровня безопасности без непредвиденных расходов.
Общие сведения о различиях между сканированием вредоносных программ и анализом хэш-репутации
Defender для служба хранилища предоставляет две возможности для обнаружения вредоносного содержимого, отправленного в учетные записи хранения: сканирование вредоносных программ (платная функция надстройки доступна только в новом плане) и анализ репутации хэша (доступный во всех планах).
Сканирование вредоносных программ (платная функция надстройки доступна только в новом плане)
Сканирование вредоносных программ использует антивирусная программа в Microsoft Defender (MDAV) для сканирования больших двоичных объектов, отправленных в хранилище BLOB-объектов, предоставляя комплексный анализ, включающий глубокие проверки файлов и анализ репутации хэша. Эта функция обеспечивает расширенный уровень обнаружения потенциальных угроз.
Анализ репутации хэша (доступен во всех планах)
Анализ репутации хэша обнаруживает потенциальные вредоносные программы в хранилище BLOB-объектов и Файлы Azure путем сравнения хэш-значений недавно отправленных больших двоичных объектов или файлов с известными вредоносными программами Microsoft Threat Intelligence. Не все протоколы файлов и типы операций поддерживаются с этой возможностью, что приводит к тому, что некоторые операции не отслеживаются для потенциальных отправки вредоносных программ. Неподдерживаемые варианты использования включают В себя общие папки S МБ и при создании большого двоичного объекта с помощью блока put и put blocklist.
В итоге сканирование вредоносных программ, которое доступно только в новом плане для хранилища BLOB-объектов, предлагает более комплексный подход к обнаружению вредоносных программ, анализируя полное содержимое файлов и включив анализ репутации хэша в методологии сканирования.
Следующие шаги
Из этой статьи вы узнали о том, что такое Microsoft Defender для хранилища.
- Включение Defender для хранилища
- Ознакомьтесь с общими вопросами о Defender для служба хранилища.