Microsoft Defender for Cloud 提供一層 Azure 原生安全情報,透過儲存體專用方案 (Defender for Storage) 來識別儲存帳戶的潛在威脅。
適用於記憶體的 Defender 可防止惡意檔案上傳、敏感數據外流和數據損毀,確保數據和工作負載的安全性和完整性。
適用於記憶體的 Defender 藉由分析 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake Storage 服務所產生的數據平面遙測,以提供完整的安全性。 它會使用 由 Microsoft Defender 威脅情報、Microsoft Defender 防病毒軟體和 敏感數據探索 提供技術支援的進階威脅偵測功能,協助您識別並降低潛在威脅。
適用於記憶體的 Defender 功能
適用於儲存的 Defender 包含下列功能:
活動監視 - 藉由分析存取模式和行為,偵測涉及記憶體帳戶的異常和潛在有害活動。 這很適合用來識別未經授權的存取、數據外泄嘗試,以及其他安全性威脅。
敏感數據威脅偵測 - 偵測可能表示潛在安全性威脅的可疑活動,以識別及保護記憶體帳戶內的敏感數據。 適用於記憶體的 Defender 藉由監視異常數據存取模式或潛在數據外流等動作,增強儲存在 Azure 中的敏感性資訊安全性。
惡意代碼掃描 - 藉由分析檔案中的已知威脅和可疑內容,掃描記憶體帳戶是否有惡意代碼。 這有助於識別並降低可能儲存或上傳至 Azure 記憶體帳戶之惡意檔案的潛在安全性風險。 因此,它會增強數據記憶體的整體安全性狀態。
您可以在訂用帳戶層級、資源層級或大規模不需代理程式地啟用適用於儲存體的Defender。
當您在訂用帳戶層級啟用適用於記憶體的Defender時,該訂用帳戶下的所有現有和新建立的記憶體帳戶都會自動包含並受到保護。 您可以將特定記憶體帳戶從受保護的訂用帳戶中排除。
注意
如果您已啟用適用於記憶體的Defender(傳統版),而且想要存取目前的安全性功能和定價,則必須 移轉至新的定價方案。
福利
適用於記憶體的 Defender 提供下列功能:
更妥善地防範惡意代碼:惡意代碼掃描會近乎即時地偵測所有文件類型,包括每個上傳 Blob 的封存。 它提供快速且可靠的結果,防止您的記憶體帳戶作為威脅的進入和發佈點。 深入瞭解惡意 代碼掃描。
改善敏感數據的威脅偵測和保護:敏感數據威脅偵測可協助安全性專業人員有效率地排定安全性警示的優先順序並檢查安全性警示。 它會考慮風險數據的敏感度,改善偵測並防範潛在威脅。 這項功能可藉由識別和解決最重要的風險來降低數據外泄的機會。 它藉由偵測包含敏感數據之資源的暴露事件和可疑活動,以改善敏感數據的敏感數據保護。 進一步了解敏感性資料威脅偵測。
偵測沒有身分識別的實體:適用於記憶體的 Defender 會偵測來自沒有身分識別的可疑活動,這些實體會使用設定錯誤且過於寬鬆的共用存取簽章 (SAS) 來存取您的數據。 這些 SAS 可能會洩漏或遭入侵。 您可以改善安全性,並降低未經授權的存取風險。 此功能會擴充活動監視安全性警示套件。
涵蓋頂級雲端記憶體威脅:適用於記憶體的 Defender 由Microsoft威脅情報、行為模型和機器學習模型提供,以偵測異常和可疑的活動。 適用於記憶體的 Defender 安全性警示涵蓋頂級雲端記憶體威脅,例如敏感數據外泄、數據損毀,以及惡意檔案上傳。
未啟用記錄的完整安全性:當您啟用適用於記憶體的 Microsoft Defender 時,它會持續分析來自 Azure Blob 記憶體、Azure 檔案記憶體和 Azure Data Lake Storage 服務的數據和控制遙測串流。 您不需要啟用診斷記錄以進行分析。
大規模無摩擦啟用:適用於儲存體的 Microsoft Defender 是無代理程式解決方案,易於部署並使用原生 Azure 解決方案啟用大規模安全性保護機制。
適用於記憶體的Defender如何運作?
活動監控
適用於記憶體的 Defender 會持續分析來自受保護記憶體帳戶的數據和控制平面記錄。 您不需要開啟資源記錄以取得安全性優點。 Microsoft威脅情報會識別可疑的簽章,例如惡意IP位址、Tor結束節點,以及潛在的危險應用程式。 它會建置數據模型,並使用統計和機器學習方法來找出基準活動異常,這可能表示惡意行為。 您會收到可疑活動的安全性警示,但適用於記憶體的 Defender 可確保您不會收到太多類似的警示。 活動監視不會影響效能、擷取容量或數據存取。
惡意代碼掃描 (由 Microsoft Defender 防毒軟體 提供電源)
適用於記憶體的 Defender 中的惡意代碼掃描可透過近乎即時地對上傳的內容執行完整惡意代碼掃描,以保護記憶體帳戶免於惡意內容,並套用Microsoft Defender 防病毒軟體功能。 它滿足安全性與合規性需求來處理不受信任的內容。 會掃描每個檔類型,並針對每個檔案傳回結果。 惡意代碼掃描是無代理程式 SaaS 解決方案,可讓您大規模進行簡單的設定,且零維護,並支援大規模自動化回應。 惡意代碼掃描是新推出的「Defender for Storage」計畫中的一個可配置功能,定價是基於每GB掃描的數量。 深入瞭解惡意 代碼掃描。
敏感性資料威脅偵測 (由「敏感性資料探索」提供)
敏感數據威脅偵測可協助安全性小組有效率地排定優先順序並檢查安全性警示。 它會考慮有風險的數據敏感度、改善偵測並防止數據外洩。 敏感數據威脅偵測是由敏感數據探索所提供,這是使用智慧取樣方法來尋找具有敏感數據的資源的無代理程序引擎。 敏感資料探索與 Microsoft Purview 的敏感資訊類型(SITs)和分類標籤整合,讓您能夠順暢地承接您組織的敏感性設定。
敏感數據威脅偵測是新「適用於記憶體的 Defender」方案中的可設定功能。 您可以不需額外費用來啟用或停用此功能。 如需詳細資訊,請瀏覽敏感性資料威脅偵測。
定價和成本控制
按儲存體帳戶計價
新的適用於儲存體的 Microsoft Defender 方案會根據您保護的儲存體帳戶數目,提供可預測的定價。 使用選項在訂用帳戶或資源層級啟用此功能,並將特定儲存體帳戶從受保護的訂用帳戶排除,增加管理安全性涵蓋範圍的靈活性。 定價方案可簡化成本計算程式,讓您在需求變更時輕鬆調整規模。 對於具有超過極大量交易的儲存體帳戶,可能會套用其他費用。
Defender for Storage 也會處理內部交易,包括 Azure Blob 儲存體生命週期管理交易。 適用於存儲的 Defender 可能會收取生命週期策略所產生的交易費用。
惡意代碼掃描 - 每 GB 計費、每月上限和設定
針對掃描的數據,惡意代碼掃描會以每 GB 為單位收費。 為了確保成本可預測性,可以為每個記憶體帳戶的掃描數據量建立每月上限。 此上限的設定適用於全訂用帳戶、影響訂用帳戶中的所有儲存體帳戶,或套用至個別儲存體帳戶。 在受保護的訂用帳戶下,您可以設定具有不同限制的特定記憶體帳戶。
根據預設,每個記憶體帳戶的每月限制會設定為10,000 GB。 超過此閾值之後,掃描會停止剩餘的 Blob,且信賴間隔為 20 GB。 如需設定詳細數據,請參閱 設定適用於記憶體的Defender。
重要
適用於記憶體的 Defender 中的惡意代碼掃描在前 30 天試用版中不包含免費,而且會根據適用於雲端的 Defender 定價頁面上可用的定價配置從第一天收取費用。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本。 惡意代碼掃描會對其他 Azure 服務產生額外費用:Azure 記憶體讀取作業、Azure 記憶體 Blob 索引編製和 Azure 事件方格通知。
運用細微控制大規模啟用
Microsoft Defender for Storage 可使用細緻的控制來大規模保護您的資料。 您可以在訂用帳戶中的所有儲存體帳戶上套用一致的安全性原則,或針對特定帳戶自訂安全性原則,以符合您的業務需求。 您可以選擇每個資源所需的保護層級來控制成本。 請參閱 啟用適用於儲存體的Defender。
監視惡意代碼掃描上限
為了確保在有效管理成本的同時不受中斷的保護,有兩個與惡意代碼掃描上限使用量相關的安全性警示。 觸發第一個警示 Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached,因為使用量接近設定每月上限的 75%,並視需要發出提醒以調整上限。 第二個警示 Malware scanning stopped: monthly gigabytes scan cap reached會在達到上限且掃描暫停當月時通知您,可能會讓新的上傳保持未掃描狀態。 這兩個警示都包含受影響記憶體帳戶的詳細數據,以提示和通知動作,確保您維持所需的安全性層級,而不會產生非預期的費用。
瞭解惡意代碼掃描與哈希信譽分析之間的差異
適用於儲存帳戶的 Defender 會使用惡意檔案掃描和哈希信譽分析,偵測上傳至儲存帳戶的惡意內容。
惡意代碼掃描
惡意代碼掃描會使用 Microsoft Defender 防病毒軟體(MDAV)掃描上傳至 Blob 存儲的 Blob,提供包含深入檔案掃描和哈希信譽分析的綜合分析。 這項功能可增強針對潛在威脅的偵測。
惡意代碼掃描是付費功能,僅適用於新方案。
哈希信譽分析
哈希信譽分析會藉由比較新上傳的 Blob 和檔案與 來自 Microsoft Defender 威脅情報之已知惡意代碼的哈希值,來偵測 Blob 記憶體和 Azure 檔案中的惡意代碼。 並非所有檔案通訊協議和作業類型都支援這項功能,導致某些作業未受到惡意代碼上傳的監視。 不支援的使用案例包括 SMB 檔案共用,以及使用 Put Block 和 Put Block List 建立 Blob 時。 哈希信譽分析適用於所有方案。
總而言之,針對 Blob 記憶體的新方案獨佔提供的惡意代碼掃描提供完整的惡意代碼偵測方法。 其可藉由分析檔案的完整內容,並將哈希信譽分析併入其方法,來達成此目的。
相關內容
- 啟用適用於儲存體的 Defender
- 請參閱適用於儲存體的 Defender 常見問題。