Principy Microsoft Defenderu pro úložiště

  • 4 min

Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Využívá pokročilé funkce AI zabezpečení a analýzy hrozeb Microsoftu k poskytování kontextových výstrah zabezpečení a doporučení.

Výstrahy zabezpečení se spouštějí při výskytu anomálií v aktivitě. Výstrahy zabezpečení jsou integrované s defenderem pro cloud a odesílají se prostřednictvím e-mailu správcům předplatného s podrobnostmi o podezřelé aktivitě a doporučeních, jak vyšetřovat a opravovat hrozby.

Jaké jsou výhody Microsoft Defenderu pro úložiště?

Microsoft Defender for Storage poskytuje:

  • Nativní zabezpečení Azure – Pomocí povolení jedním kliknutím chrání Defender for Storage data uložená v Azure Blob, Azure Files a Data Lakes. Jako nativní služba Azure poskytuje Defender for Storage centralizované zabezpečení napříč všemi datovými prostředky spravovanými Azure a je integrovaný s dalšími službami zabezpečení, jako je Microsoft Sentinel.

  • Sada bohatých detekcí – Detekce v programu Defender for Storage využívající Microsoft Threat Intelligence pokrývají hlavní hrozby úložiště, jako je anonymní přístup, ohrožené přihlašovací údaje, sociální inženýrství, zneužití oprávnění a škodlivý obsah.

  • Reakce ve velkém měřítku – Nástroje pro automatizaci Defenderu pro cloud usnadňují prevenci a reakci na zjištěné hrozby. Další informace najdete v článku Automatizace odpovědí na triggery Defenderu pro cloud.

Screenshot of Microsoft Defender for Storage threat response.

Jaký druh upozornění poskytuje Microsoft Defender for Storage?

Výstrahy zabezpečení se aktivují, když je k dispozici:

  • Vzory podezřelého přístupu – například úspěšný přístup z výstupního uzlu Tor nebo z IP adresy, které microsoft Threat Intelligence považuje za podezřelé

  • Podezřelé aktivity – například neobvyklá extrakce dat nebo neobvyklá změna přístupových oprávnění

  • Nahrání škodlivého obsahu , jako jsou potenciální soubory malwaru (na základě analýzy reputace hash) nebo hostování obsahu phishingu

Výstrahy zahrnují podrobnosti o incidentu, který je aktivoval, a doporučení, jak vyšetřovat a opravovat hrozby. Výstrahy je možné exportovat do Služby Azure Sentinel nebo jakéhokoli jiného externího nástroje SIEM nebo jakéhokoli jiného externího nástroje.

Co je analýza reputace hash pro malware?

K určení, jestli je nahraný soubor podezřelý, používá Defender for Storage analýzu reputace hodnot hash podporovanou funkcí Microsoft Threat Intelligence. Nástroje ochrany před hrozbami nenaskenovávají nahrané soubory. Místo toho prozkoumávají protokoly úložiště a porovnávají hodnoty hash nově nahraných souborů s hodnotami hash známých virů, trojských koní, spywaru a ransomwaru.

Pokud je soubor podezřelý z malwaru, Security Center zobrazí výstrahu a volitelně může vlastníka úložiště poslat e-mailem ke schválení a odstranit podezřelý soubor. Pokud chcete nastavit automatické odebrání souborů obsahujících malware označený analýzou reputace hash, nasaďte automatizaci pracovního postupu, která aktivuje výstrahy obsahující potenciální malware nahraný do účtu úložiště.