¿Qué es Microsoft Defender para Storage?
Microsoft Defender for Cloud proporciona una capa nativa de inteligencia de seguridad de Azure que encuentra posibles amenazas a las cuentas de almacenamiento con el plan de Defender para Storage.
Defender para Storage ayuda a evitar cargas de archivos malintencionadas, filtración de datos confidenciales y daños en los datos, lo que garantiza la seguridad e integridad de los datos y las cargas de trabajo.
Defender para Storage proporciona seguridad completa mediante el análisis de la telemetría del plano de datos y del plano de control generada por Azure Blob Storage, Azure Files y servicios de Azure Data Lake Storage. Usa funcionalidades avanzadas de detección de amenazas con tecnología de Inteligencia sobre amenazas de Microsoft, Microsoft Defender Antivirus y Detección de datos confidenciales para ayudarle a detectar y mitigar posibles amenazas.
Defender para Storage incluye:
Supervisión de actividades: detecte actividades inusuales y potencialmente perjudiciales que impliquen a las cuentas de almacenamiento mediante el análisis de patrones de acceso y comportamientos. Esto puede ser útil para identificar el acceso no autorizado, los intentos de filtración de datos y otras amenazas de seguridad.
Detección de amenazas de datos confidenciales: identifique y proteja los datos confidenciales dentro de las cuentas de almacenamiento mediante la detección de actividades sospechosas que podrían indicar una posible amenaza de seguridad. Mediante la supervisión de acciones, como los patrones de acceso a datos inusuales o la posible filtración de datos, Defender for Storage mejora la seguridad de la información confidencial almacenada en Azure.
Examen de malware: examine las cuentas de almacenamiento en busca de malware mediante el análisis de los archivos para detectar amenazas conocidas y contenido sospechoso. Esto ayuda a identificar y mitigar los posibles riesgos de seguridad de los archivos malintencionados que se pueden almacenar o cargar en las cuentas de almacenamiento de Azure. Como resultado, mejora la posición de seguridad general del almacenamiento de datos.
Introducción
Puede habilitar Defender para Storage sin agente en el nivel de suscripción, los niveles de recursos o a gran escala.
Al habilitar Defender para Storage en el nivel de suscripción, todas las cuentas de almacenamiento existentes y recién creadas en esa suscripción se incluyen y protegen automáticamente. También puede excluir cuentas de almacenamiento específicas de suscripciones protegidas.
Nota:
Si tiene habilitado Defender para Storage (clásico) y quiere acceder a los precios y características de seguridad actuales, deberá migrar al nuevo plan de precios.
Ventajas
Defender for Storage proporciona las siguientes características:
Mejor protección contra el malware: el análisis de malware examina y detecta casi en tiempo real todos los tipos de archivos, incluidos los archivos de cada blob cargado. Proporciona resultados rápidos y confiables, lo que le ayuda a evitar que las cuentas de almacenamiento actúen como punto de entrada y distribución de amenazas. Más información sobre el examen de malware.
Detección mejorada de amenazas y protección de datos confidenciales: la funcionalidad de detección de amenazas en datos confidenciales ayuda a los profesionales de la seguridad a clasificar y examinar las alertas de seguridad de forma eficaz. Considera la confidencialidad de los datos en riesgo, lo que conduce a una mejor detección y protección contra posibles amenazas. Esta funcionalidad reduce la posibilidad de vulneraciones de los datos al identificar y solucionar de forma rápida los riesgos más significativos. También mejora la protección de datos confidenciales al detectar los eventos de exposición y las actividades sospechosas en los recursos que contienen datos confidenciales. Obtenga más información sobre la detección de amenazas de datos confidenciales.
Detección de entidades sin identidades: Defender for Storage detecta las actividades sospechosas de entidades sin identidades que acceden a los datos mediante firmas de acceso compartido mal configuradas y excesivamente permisivas (tokens de SAS). Estos tokens se podrían filtrar o poner en peligro. Por lo tanto, puede mejorar la seguridad y reducir el riesgo de acceso no autorizado. Esta funcionalidad es una expansión del conjunto de alertas de seguridad de supervisión de actividad.
Cobertura de las principales amenazas de almacenamiento en la nube: Defender for Storage se basa en Inteligencia contra amenazas Microsoft, modelos comportamentales y modelos de aprendizaje automático para detectar actividades inusuales y sospechosas. Las alertas de seguridad de Defender para Storage cubren las principales amenazas de almacenamiento en la nube, como la filtración de datos confidenciales, los datos dañados y las cargas de archivos malintencionadas.
Seguridad completa sin habilitar registros: al habilitar Microsoft Defender for Storage, se analiza continuamente el flujo de datos y de telemetría de control desde los servicios Azure Blob Storage, Azure Files y Azure Data Lake Storage. No es necesario habilitar los registros de diagnóstico para este análisis.
Habilitación sin problemas a gran escala: Microsoft Defender para Storage es una solución sin agente, fácil de implementar y permite la protección de seguridad a escala mediante una solución nativa de Azure.
¿Cómo funciona Defender para Storage?
Supervisión de la actividad
Defender para Storage analiza continuamente los registros de datos y del plano de control de las cuentas de almacenamiento protegidas cuando está habilitado. No es necesario activar los registros de recursos para obtener ventajas de seguridad. Use la Inteligencia sobre amenazas de Microsoft para identificar firmas sospechosas, como direcciones IP malintencionadas, nodos de salida de Tor y aplicaciones potencialmente peligrosas. También compila modelos de datos y usa métodos estadísticos y de aprendizaje automático para detectar anomalías de actividad de línea de base, lo que puede indicar un comportamiento malintencionado. Se recibirán alertas de seguridad de actividades sospechosas, pero Defender for Storage garantiza que no se recibirán demasiadas alertas similares. La supervisión de la actividad no afecta al rendimiento, a la capacidad de ingesta o al acceso a los datos.
Examen de malware (basado en Antivirus de Microsoft Defender)
El examen de malware en Defender for Storage ayuda a proteger las cuentas de almacenamiento frente a contenido malintencionado al realizar un examen completo de malware en contenido cargado casi en tiempo real y aplicar las funcionalidades de Antivirus de Microsoft Defender. Está diseñado para ayudar a cumplir los requisitos de seguridad y cumplimiento para controlar el contenido que no es de confianza. Cada tipo de archivo se examina y los resultados del examen se devuelven para cada archivo. La funcionalidad de examen de malware es una solución SaaS sin agente que permite una configuración sencilla a gran escala, sin mantenimiento y admite la automatización de la respuesta a gran escala. Se trata de una característica configurable en el nuevo plan de Defender para Storage que tiene un precio por GB examinado. Más información sobre el examen de malware.
Detección de amenazas de datos confidenciales (con tecnología de detección de datos confidenciales)
La característica de detección de amenazas de datos confidenciales ayuda a los equipos de seguridad a clasificar y examinar las alertas de seguridad de forma eficaz. Considera la confidencialidad de los datos en riesgo, lo que conduce a una mejor detección y ayuda a evitar infracciones de datos. La detección de amenazas en datos confidenciales se basa en el motor de detección de datos confidenciales, un motor sin agente que usa un método de muestreo inteligente para buscar recursos con datos confidenciales. El servicio se integra con los tipos de información confidencial (SIT) y las etiquetas de clasificación de Microsoft Purview, lo que permite una herencia sin problemas de la configuración de confidencialidad de su organización.
Se trata de una característica configurable en el nuevo plan de Defender para Storage. Puede optar por habilitarlo o deshabilitarlo sin costo adicional. Para más información, visite Detección de amenazas de datos confidenciales.
Controles de precios y costos
Precios por cuenta de almacenamiento
El nuevo plan de Microsoft Defender para Storage tiene precios predecibles en función del número de cuentas de almacenamiento que protege. Con la opción de habilitarse en el nivel de suscripción o de recurso y excluir cuentas de almacenamiento específicas de suscripciones protegidas, dispondrá de mayor flexibilidad para administrar su cobertura de seguridad. El plan de precios simplifica el proceso de cálculo de costos, lo que le permite escalar fácilmente a medida que cambian sus necesidades. Otros cargos pueden aplicarse a las cuentas de almacenamiento con transacciones de gran volumen.
Examen de malware: facturación por GB, límite mensual y configuración
El examen de malware se cobra por gigabyte por datos escaneados. Para garantizar la previsibilidad de costos, se puede establecer un límite mensual para el volumen de datos examinado de cada cuenta de almacenamiento, por mes. Este límite se puede establecer en toda la suscripción, lo que afecta a todas las cuentas de almacenamiento de la suscripción o se aplica a cuentas de almacenamiento individuales. En suscripciones protegidas, puede configurar cuentas de almacenamiento específicas con distintos límites.
De forma predeterminada, el límite se establece en 5000 GB al mes por cuenta de almacenamiento. Una vez superado este umbral, el examen se detendrá para el resto de blobs, con un intervalo de confianza de 20 GB. Para obtener más información sobre la configuración, consulte Configuración de Defender para Storage.
Importante
El análisis de malware en Defender para Storage no se incluye de forma gratuita en la primera versión de prueba de 30 días y se le cobrará desde el primer día de acuerdo con el esquema de precios disponible en la página de precios de Defender for Cloud. El examen de malware también incurrirá en cargos adicionales por otros servicios de Azure: operaciones de lectura de Azure Storage, indexación de blobs de Azure Storage y notificaciones de Azure Event Grid.
Habilitación a gran escala con controles granulares
Microsoft Defender para Storage le permite proteger los datos a gran escala con controles granulares. Puede aplicar directivas de seguridad coherentes en todas las cuentas de almacenamiento dentro de una suscripción o personalizarlas para cuentas específicas para satisfacer sus necesidades empresariales. También puede controlar los costos eligiendo el nivel de protección que necesita para cada recurso. Para empezar, visite Habilitación de Defender para Storage.
Supervisión del límite de análisis de malware
Para garantizar una protección ininterrumpida al administrar los costos de forma eficaz, hay dos alertas de seguridad informativa relacionadas con el uso del límite de análisis de malware. La primera alerta, Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)
, se desencadena a medida que el uso se aproxima al 75 % del límite mensual establecido, lo que ofrece un aviso para ajustar el límite si es necesario. La segunda alerta, Malware scanning stopped: monthly gigabytes scan cap reached (Preview)
, le notifica cuando se ha alcanzado el límite y el examen se pausa durante el mes, lo que podría dejar nuevas cargas sin examinar. Ambas alertas incluyen detalles sobre las cuentas de almacenamiento afectadas para facilitar la acción rápida e informada, lo que garantiza que puede mantener el nivel de seguridad deseado sin gastos inesperados.
Comprender las diferencias entre el análisis de malware y el análisis de reputación hash
Defender for Storage ofrece dos funcionalidades para detectar el contenido malintencionado cargado en las cuentas de almacenamiento: examen de malware y análisis de reputación de hash.
Examen de malware
El examen de malware usa el Antivirus de Microsoft Defender (MDAV) para examinar los blobs cargados en Blob Storage, lo que proporciona un análisis completo que incluye exámenes profundos de archivos y análisis de reputación de hash. Esta característica proporciona un nivel mejorado de detección frente a posibles amenazas.
El examen de malware es una característica de complemento de pago disponible solo en el nuevo plan.
Análisis de reputación de hash
El análisis de reputación de hash detecta posible malware en Blob Storage y Azure Files comparando los valores hash de los blobs o archivos recién cargados con los del malware conocido de la Inteligencia contra amenazas Microsoft. No todos los protocolos de archivo y los tipos de operación se admiten con esta funcionalidad, lo que provoca que no se supervisen algunas operaciones en busca de potenciales cargas de malware. Los casos de uso no admitidos incluyen recursos compartidos de archivos SMB y cuando se crea un blob mediante Put Block y Put Block List. El análisis de reputación de hash está disponible en todos los planes.
En resumen, el análisis de malware, disponible exclusivamente en el nuevo plan para Blob Storage, proporciona un enfoque más completo para la detección de malware. Esto se logra mediante el análisis del contenido completo de los archivos y la incorporación del análisis de reputación de hash en su metodología de análisis.
Contenido relacionado
- Habilitación de Defender para Storage
- Consulte las preguntas frecuentes sobre Defender para Storage.