適用於儲存體的 Microsoft Defender 概觀
適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。
其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。
注意
本文說明 2023 年 3 月 28 日推出的新適用於儲存體的 Defender 方案。 其中包含惡意程式碼掃描和敏感性資料威脅偵測等新功能。 此方案也提供更可預測的定價結構,以便更準確地控制涵蓋範圍和成本。 此外,所有新的 Defender 功能只會加入新方案之中。 移轉至新方案是一個簡單的程序,請在這裡閱讀如何從傳統方案移轉。
適用於儲存體的 Microsoft Defender 藉由分析 Azure Blob 儲存體、Azure 檔案儲存體和 Azure Data Lake Storage 服務所產生的資料平面和控制平面遙測,提供完整的安全性。 此產品使用由 Microsoft 威脅情報、Microsoft Defender 防毒軟體和敏感性資料探索所提供的進階威脅偵測功能,協助您探索並減輕潛在威脅。
適用於儲存體的 Defender 包含:
活動監控
敏感資料威脅偵測 (僅限新方案)
惡意程式碼掃描 (僅限新方案)
開始使用
透過大規模的簡單無代理程式設定,您可以透過入口網站或以程式設計方式,在訂用帳戶或資源層級啟用適用於儲存體的 Defender。 在訂用帳戶層級啟用時,該訂用帳戶下的所有現有和新建的儲存體帳戶都會自動受到保護。 您也可以從受保護的訂用帳戶中排除特定的儲存體帳戶。
注意
如果您已啟用適用於儲存體的 Defender (傳統),而且想要存取新的安全性功能和價格,則必須移轉至新的定價方案。
可用性
層面 | 詳細資料 |
---|---|
版本狀態: | 正式發行 (GA) |
功能可用性: | - 活動監視 (安全性警示) - 正式發行 (GA) - 惡意程式碼掃描 – 正式發行 (GA) - 敏感性資料威脅偵測 (敏感性資料探索) - 正式發行 (GA) |
定價: | 適用於儲存體的 Microsoft Defender 定價適用於商業雲端。 深入了解每個區域的定價和可用性。 |
支援的儲存體類型: |
Blob 儲存體 (標準/進階儲存體 V2,包括 Data Lake Gen2):活動監視、惡意程式碼掃描、敏感性資料探索 Azure 檔案儲存體 (透過 REST API 和 SMB):活動監視 |
必要的角色和權限: | 針對在訂用帳戶和儲存體帳戶層級的惡意程式碼掃描和敏感性資料威脅偵測,您需要擁有者角色 (訂用帳戶擁有者/儲存體帳戶擁有者) 或具有對應資料動作的特定角色。 若要啟用活動監視,您需要「安全性系統管理員」權限。 深入了解必要的權限。 |
雲端: | 商業雲端* Azure Government (僅限傳統方案的活動監視支援) 由世紀互聯運作的 Microsoft Azure (傳統方案上僅活動監視支援) 已連線的 AWS 帳戶 |
* 惡意程式碼掃描和敏感性資料威脅偵測不支援 Azure DNS 區域。
適用於儲存體的 Microsoft Defender 有哪些優點?
適用於儲存體的 Defender 提供下列優點:
更完善的保護,防止惡意程式碼攻擊:惡意程式碼掃描功能會以近乎即時的方式掃描和偵測所有檔案類型,包括每個上傳的 Blob 封存,並提供快速且可靠的結果,協助您保護儲存體帳戶,避免成為威脅的進入和發佈點。 深入了解惡意程式碼掃描。
改善敏感性資料的威脅偵測與保護:敏感性資料威脅偵測功能可讓安全性專業人員考慮可能面臨風險的資料敏感度,以有效排定優先順序並檢查安全性警示,進而改善潛在威脅的偵測和防護。 藉由快速識別和解決最重要的風險,這項功能可降低資料外洩的可能性,並藉由偵測包含敏感性資料之資源的外洩事件和可疑活動,來增強敏感性資料的保護。 進一步了解敏感性資料威脅偵測。
偵測沒有身分識別的實體:適用於儲存體的 Defender 會偵測實體所產生的可疑活動,這些實體沒有身分識別並使用設定錯誤且過度寬鬆的共用存取簽章 (SAS 權杖) 來存取您的資料,可能造成資料外洩或盜用,讓您可以藉此改善安全性檢疫並降低未經授權的存取風險。 這項功能是活動監控安全性警示套件的擴充。
最上層雲端儲存體威脅的涵蓋範圍:由 Microsoft 威脅情報、行為模型和機器學習模型提供,以偵測異常和可疑的活動。 適用於儲存體的 Defender 安全性警示涵蓋最上層雲端儲存體威脅,例如敏感性資料外流、資料損毀,以及惡意檔案上傳。
全方位安全性而不啟用記錄:啟用適用於儲存體的 Microsoft Defender 時,它會持續分析 Azure Blob 儲存體、Azure 檔案儲存體和 Azure Data Lake Storage 服務所產生的資料平面和控制平面遙測資料流,而不需要啟用診斷記錄。
大規模無摩擦啟用:適用於儲存體的 Microsoft Defender 是無代理程式解決方案,易於部署並使用原生 Azure 解決方案啟用大規模安全性保護機制。
服務如何運作?
活動監控
適用於儲存體的 Defender 會在啟用時,持續分析受保護儲存體帳戶的資料和控制平面記錄。 不需要開啟資源記錄就能享有安全性優點。 使用 Microsoft 威脅情報來識別可疑的簽章,例如惡意 IP 位址、Tor 結束節點,以及潛在的危險應用程式。 它還可以建置資料模型,並使用統計和機器學習方法來找出可能表示惡意行為的基準活動異常。 您會收到可疑活動的安全性警示,但適用於儲存體的 Defender 可確保您不會收到太多類似的警示。 活動監控不會影響效能、擷取容量或資料存取。
惡意程式碼掃描 (由 Microsoft Defender 防毒軟體提供)
適用於儲存體的 Defender 中的惡意程式碼掃描可透過套用 Microsoft Defender 防毒軟體功能,針對上傳的內容執行幾乎即時的完整惡意程式碼掃描,以協助保護儲存體帳戶免於惡意內容。 其設計目的是為了協助滿足處理不受信任內容的安全性與合規性需求。 系統會掃描每個檔案類型,並傳回每個檔案的掃描結果。 惡意程式碼掃描功能是無代理程式 SaaS 解決方案,可大規模進行簡單的設定,且零維護,並支援大規模自動回應。 這是新的適用於儲存體的 Defender 方案中的可設定功能,可以按掃描的 GB 數計價。 深入了解惡意程式碼掃描。
敏感性資料威脅偵測 (由「敏感性資料探索」提供)
「敏感性資料威脅偵測」功能可讓安全性小組考慮可能面臨風險的資料敏感度,以有效率地排定安全性警示的優先順序並進行檢查,進而改善偵測並防止資料外洩。 「敏感性資料威脅偵測」是由「敏感性資料探索」引擎所提供,這是使用智慧取樣方法來尋找具有敏感性資料的資源的無代理程式引擎。 此服務會與 Microsoft Purview 的敏感性資訊型別 (SIT) 和分類標籤整合,讓您順暢地繼承組織的敏感度設定。
這是新的適用於儲存體的 Defender 方案中的可設定功能。 您可以選擇啟用或停用它,而不需要其他費用。 如需詳細資訊,請瀏覽敏感性資料威脅偵測。
定價和成本控制
按儲存體帳戶計價
新的適用於儲存體的 Microsoft Defender 方案會根據您保護的儲存體帳戶數目,提供可預測的定價。 使用選項在訂用帳戶或資源層級啟用此功能,並將特定儲存體帳戶從受保護的訂用帳戶排除,增加管理安全性涵蓋範圍的靈活性。 定價方案可簡化成本計算程序,讓您可以在需求變更時輕鬆調整規模。 對於具有超過極大量交易的儲存體帳戶,可能會套用其他費用。
惡意程式碼掃描 - 每 GB 計費、每月上限和設定
惡意程式碼掃描係按每 GB 的掃描資料收費。 為了確保成本的可預測性,您可以建立每個儲存體帳戶每月掃描的資料量上限。 此上限的設定適用於全訂用帳戶、影響訂用帳戶中的所有儲存體帳戶,或套用至個別儲存體帳戶。 在受保護的訂用帳戶下,您可以設定特定儲存體帳戶使用不同限制。
根據預設,每個儲存體帳戶的限制會設定為每月 5,000 GB。 一旦超過此閾值,就會停止掃描剩餘的 Blob,且信賴區間為 20 GB。 如需設定詳細資料,請參閱設定適用於儲存體的 Defender。
重要
適用於儲存體的 Defender 中的惡意程式碼掃描未包含在前 30 天免費試用版,且會根據適用於雲端的 Defender 定價頁面上提供的定價方案,從第一天開始收費。 對其他 Azure 服務 (包括 Azure 儲存體讀取作業、Azure 儲存體 Blob 編製索引和 Azure 事件方格通知) 進行惡意程式碼掃描,也會產生額外費用。
運用細微控制大規模啟用
適用於儲存體的 Microsoft Defender 可讓您運用細微控制,大規模保護資料。 您可以在訂用帳戶中的所有儲存體帳戶上套用一致的安全性原則,或針對特定帳戶自訂安全性原則,以符合您的業務需求。 您也可以選擇每個資源所需的保護層級來控制成本。 若要開始使用,請瀏覽啟用適用於儲存體的 Defender。
監視惡意程式碼掃描上限
為了確保在有效管理成本的同時不受干擾的保護,有兩個與惡意程式碼掃描上限使用量相關的資訊安全性警示。 觸發第一個警示 Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)
,因為使用量接近設定每月上限的 75%,並視需要發出提醒以調整上限。 第二個警示 Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)
,會在達到上限且掃描暫停當月時通知您,可能會讓新的上傳保持未掃描狀態。 這兩個警示都會提供受影響儲存體帳戶的詳細資料,以輔助提示和明智的動作,確保您可以維持所需的安全性層級,而不需要非預期的費用。
了解惡意程式碼掃描與雜湊信譽分析之間的差異
適用於儲存體的 Defender 提供兩項功能來偵測上傳至儲存體帳戶的惡意內容: 惡意程式碼掃描 (僅適用於新方案之付費附加元件功能) 和 雜湊信譽分析 (適用於所有方案)。
惡意程式碼掃描 (僅適用於新方案之付費附加元件功能)
惡意程式碼掃描使用 Microsoft Defender 防毒軟體 (MDAV) 掃描上傳至 Blob 儲存體的 Blob,提供包含深層檔案掃描和雜凑信譽分析的完整分析。 這項功能會提供針對潛在威脅的增強偵測層級。
雜凑信譽分析 (適用於所有方案)
雜凑信譽分析 會藉由 Microsoft 威脅情報,比較新上傳的 Blob/檔案與已知惡意程式碼的雜凑值,以偵測 Blob 儲存體和 Azure 檔案中的潛在惡意程式碼。 這項功能並不支援所有檔案通訊協定和作業型別,導致某些作業無法監視潛在的惡意程式碼上傳。 不支援的使用案例包括 SMB 檔案共用,以及使用 Put Block 和 Put Block List 建立 Blob 時。
總而言之,只有 Blob 儲存體的新方案才會提供惡意程式碼掃描,藉由分析檔案的完整內容,並在掃描方法中納入雜凑信譽分析,以提供更全面的惡意程式碼偵測方法。
下一步
在本文中,您已了解適用於儲存體的 Microsoft Defender。
- 啟用適用於儲存體的 Defender
- 請參閱適用於儲存體的 Defender 常見問題。