你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于存储的 Microsoft Defender 概述

Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对存储帐户的潜在威胁。
它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。

注意

本文介绍了 2023 年 3 月 28 日启动的新 Defender for Storage 计划。 该计划涵盖了恶意软件扫描和敏感数据威胁检测等新功能。 该计划的定价结构也更具可预测性,以便更好地控制覆盖范围和成本。 此外,所有新的 Defender 功能将仅增加到新计划中。 迁移到新计划这一过程简单易行,请在此处阅读有关如何从经典计划迁移的信息。

Microsoft Defender for Storage 通过分析 Azure Blob 存储Azure 文件存储Azure Data Lake Storage 服务生成的数据平面和控制平面遥测数据,提供全面的安全性。 它利用由 Microsoft 威胁情报、Microsoft Defender 防病毒和敏感数据发现提供支持的高级威胁检测功能来帮助你发现和减轻潜在威胁。

Defender for Storage 包括以下功能:

  • 活动监视
  • 敏感数据威胁检测(预览功能,仅新计划)
  • 恶意软件扫描 (仅限新计划)

显示 Defender for Storage 如何防范常见数据威胁的动画效果图。

入门

通过规模化的简单无代理设置,你可以在门户或以编程方式在订阅或资源级别启用 Defender for Storage。 启用订阅级别后,该订阅下的全部现有和新创建的存储帐户都将自动受到保护。 另外,也可以从受保护的订阅中排除特定的存储帐户。

注意

如果已启用 Defender for Storage(经典版),但想要范围新的安全功能和定价,则需要迁移到新的定价计划

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
功能可用性: - 活动监视(安全警报)- 正式发布 (GA)
- 恶意软件扫描 - 正式发布 (GA)
- 敏感数据威胁检测(敏感数据发现) - 预览版
定价: Microsoft Defender for Storage 定价适用于商业云。 详细了解各个区域的定价和可用性。


支持的存储类型:
Blob 存储(标准/高级 StorageV2,包括 Data Lake Gen2):活动监视、恶意软件扫描、敏感数据发现
Azure 文件存储(通过 REST API 和 SMB):活动监视
所需角色和权限: 对于在订阅和存储帐户级别启用敏感数据威胁检测,需要具有“所有者”角色(订阅所有者/存储帐户所有者)或具有可以执行相应数据操作的特定角色。 若要启用活动监视,需要“安全管理员”权限。 详细了解所需权限。
云: 商用云*
Azure 政府(仅在经典计划中提供活动监视支持)
由世纪互联运营的 Microsoft Azure
连接的 AWS 帐户

* 恶意软件扫描和敏感数据威胁检测不支持 Azure DNS 区域。

适用于存储的 Microsoft Defender 有哪些优点?

显示使用 Defender for Storage 保护数据的好处的示意图。

Defender for Storage 提供以下优势:

  • 更好地防范恶意软件:恶意软件扫描可近乎实时地扫描和检测所有文件类型,包括每个上传的 Blob 的存档,并提供快速可靠的结果,帮助防止存储帐户充当威胁的入口和分发点。 详细了解恶意软件扫描

  • 改进了敏感数据威胁检测和保护:敏感数据威胁检测功能使安全专业人员能够通过分析可能面临风险的数据的敏感性来有效地确定安全警报的优先级,从而更好地检测潜在威胁并提供保护。 此功能可以快速识别和解决最重要的风险并对包含敏感数据的资源检测泄露事件和可疑活动,从而降低数据泄露的可能性和增强敏感数据保护。 详细了解敏感数据威胁检测

  • 检测无标识的实体:Defender for Storage 可以检测由没有标识的实体生成的可疑活动,这些实体使用配置错误且过于宽松的共享访问签名(SAS 令牌)(可能已外泄或受损),以便改善安全机制,降低未经授权的访问风险。 此功能是活动监视安全警报套件的扩展功能。

  • 覆盖最常见的云存储空间威胁:由 Microsoft 威胁情报、行为模型和机器学习模型提供支持,用于检测异常和可疑活动。 Defender for Storage 安全警报覆盖最常见的云存储空间威胁,例如敏感数据外泄、数据损坏和恶意文件上传。

  • 无需启用日志的全面安全性:启用 Microsoft Defender for Storage 后,它将持续分析 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 生成的数据平面和控制平面遥测数据流,无需启用诊断日志的服务。

  • 大规模地顺畅启用:Microsoft Defender for Storage 是易于部署的无代理解决方案,可使用本机 Azure 解决方案实现大规模的安全保护。

该服务如何工作?

活动监视

启用 Defender for Storage 后,会持续分析受保护存储帐户中的数据和控制平面日志。 无需启用资源日志就能确保安全性。 使用 Microsoft 威胁情报识别可疑签名,例如恶意 IP 地址、Tor 退出节点和潜在危险应用。 它还能生成数据模型,并使用统计和机器学习方法来发现可能指示恶意行为的基线活动异常情况。 你收到一些可疑活动的安全警报,但 Defender for Storage 可确保这样的警报不会太多。 活动监视功能不会影响性能、引入容量或数据访问。

显示活动监视如何识别对数据的威胁活动的示意图。

由 Microsoft Defender 防病毒功能提供支持的恶意软件扫描

注意

恶意软件扫描的计费从 2023 年 9 月 3 日开始。 若要限制费用,请使用 Monthly capping 功能设置每个存储帐户每月扫描的 GB 数上限,以帮助控制成本。

Defender for Storage 中的恶意软件扫描应用 Microsoft Defender 防病毒功能,对上传的内容近乎实时地进行全面的恶意软件扫描,从而帮助保护存储帐户免受恶意内容的攻击。 它旨在满足在处理不受信任内容时的安全和合规要求。 每种文件类型都将扫描,每个文件的扫描结果都将返回。 恶意软件扫描功能是一种无代理 SaaS 解决方案,可以大规模地设置,设置过程简单,无需维护,并支持大规模自动响应。 这是新 Defender for Storage 计划中可配置的功能,按扫描的 GB 定价。 详细了解恶意软件扫描

敏感数据威胁检测(“敏感数据发现”提供支持)

“敏感数据威胁检测”功能帮助安全团队通过分析可能面临风险的数据的敏感度,有效地确定安全警报的优先级和检查警报,从而更好地检测和防止数据泄露。 “敏感数据威胁检测”由“敏感数据发现”引擎提供支持,该引擎是一种使用智能采样方法来查找包含敏感数据的资源的无代理引擎。 该服务与 Microsoft Purview 的敏感信息类型(SIT)和分类标签集成,允许无缝继承组织的敏感度设置。

这是新 Defender for Storage 计划中的可配置功能。 可以选择启用或禁用此功能,没有其他费用。 有关更多详细信息,请访问敏感数据威胁检测

定价和成本控制

按存储帐户定价

新 Microsoft Defender for Storage 计划根据所保护的存储帐户数提供可预测的定价。 由于可以在订阅或资源级别启用,以及可以从受保护的订阅中排除特定的存储账户,因此能够更加灵活地管理安全覆盖范围。 定价计划简化了成本计算过程,因而能够随需求变化轻松调整。 * 事务量大的存储帐户可能会产生其他费用。

恶意软件扫描 - 按 GB 计费,设置每月上限,配置灵活

恶意软件扫描按千兆字节对扫描的数据收费。 为了确保成本可预测性,可以针对每个存储帐户的扫描数据量设立每月的上限,按月计算。 此上限设置可以覆盖整个订阅范围,影响订阅中的所有存储帐户,也可以应用于单个存储帐户。 在受保护的订阅下,可以配置具有不同限制的特定存储帐户。

默认情况下,每个存储帐户的限制设置为每月 5,000 GB。 超过此阈值后,将停止扫描剩余 Blob,置信区间为 20 GB。 有关配置详细信息,请参阅配置 Defender for Storage

重要

Defender for Storage 中的恶意软件扫描功能在前 30 天试用期内不免费,将从第一天起根据 Defender for Cloud 定价页面上提供的定价方案收费。 恶意软件扫描还会对其他 Azure 服务产生额外的费用 - Azure 存储读取操作、Azure 存储 Blob 索引和 Azure 事件网格通知。

通过精细控件大规模启用

Microsoft Defender for Storage 可通过精细控件大规模保护数据。 可以在订阅内的所有存储帐户应用一致的安全策略,或者为特定帐户自定义安全策略,从而满足业务需求。 还可以通过选择每个资源所需的保护级别来控制成本。 如需了解如何使用该服务,请访问启用 Defender for Storage

监视恶意软件扫描上限

为了在有效管理成本的同时确保不间断的保护,有两个与恶意软件扫描上限使用情况相关的信息性安全警报。 第一个警报(Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview))将在使用率接近所设每月上限的 75% 时触发,并且会在需要时预先提醒你调整上限。 第二个警报(Malware Scanning stopped: monthly gigabytes scan cap reached (Preview))将在当月达到上限且扫描暂停(这可能会导致无法扫描新上传的内容)时通知你。 这两个警报都附带了受影响存储帐户的详细信息,以支持及时采取明智的行动,确保你能够在没有意外开支的情况下保持所需的安全级别。

了解恶意软件扫描和哈希信誉分析之间的差异

Defender for Storage 提供两项功能来检测上传到存储帐户的恶意内容:恶意软件扫描(付费附加功能,仅在新计划中可用)和哈希信誉分析(在所有计划中可用)。

恶意软件扫描(付费附加功能,仅在新计划中可用)

恶意软件扫描使用 Microsoft Defender 防病毒 (MDAV) 来扫描上传到 Blob 存储的 Blob,从而提供包括深度文件扫描和哈希信誉分析在内的综合分析。 此功能提供针对潜在威胁的增强检测级别。

哈希信誉分析(适用于所有计划)

哈希信誉分析通过比较新上传的 blob/文件的哈希值与 Microsoft 威胁情报的已知恶意软件来检测 Blob 存储和 Azure 文件存储中的潜在恶意软件。 此功能并不支持所有文件协议和操作类型,所以无法监视某些操作中潜在的恶意软件上传。 不受支持的用例包括 SMB 文件共享和使用 Put BlockPut 阻止列表创建的 Blob。

总之,恶意软件扫描(仅在 Blob 存储的新计划中可用)通过分析文件的完整内容并在扫描方法中纳入哈希信誉分析,提供了一种更全面的恶意软件检测方法。

后续步骤

本文介绍了用于存储的 Microsoft Defender。