Partager via

Qu’est-ce que Microsoft Defender pour le stockage ?

  • Article

Microsoft Defender for Cloud vous offre une couche native Azure d’intelligence de sécurité qui détecte les menaces potentielles pour vos comptes de stockage avec le plan Defender pour le stockage.

Defender pour le stockage permet d’empêcher les chargements de fichiers malveillants, l’exfiltration des données sensibles et la corruption des données, ce qui garantit la sécurité et l’intégrité de vos données et charges de travail.

Defender pour le stockage offre une sécurité complète en analysant les données de télémétrie du plan de données et du plan de contrôle générées par les services Stockage Blob Azure, Azure Files et Azure Data Lake Storage. Il utilise des fonctionnalités avancées de détection des menaces optimisées par Microsoft Threat Intelligence, Microsoft Defender Antivirus et la découverte des données sensibles pour vous aider à détecter et à atténuer les menaces potentielles.

Diagramme animé montrant comment Defender pour le stockage protège contre les menaces courantes qui pèsent sur les données.

Defender for Storage inclut :

  • Surveillance des activités : détectez les activités inhabituelles et potentiellement dangereuses impliquant vos comptes de stockage en analysant les modèles d’accès et les comportements. Cela peut être utile pour identifier l’accès non autorisé, les tentatives d’exfiltration de données et d’autres menaces de sécurité.

  • Détection des menaces sur les données sensibles : identifiez et protégez les données sensibles au sein de vos comptes de stockage en détectant les activités suspectes susceptibles d’indiquer une menace de sécurité potentielle. Defender pour le stockage améliore la sécurité de vos informations sensibles stockées dans Azure en surveillant les actions, comme celles associées aux modèles inhabituels d’accès aux données ou à l’exfiltration potentielle de données.

  • Analyse des programmes malveillants : analysez vos comptes de stockage pour détecter les programmes malveillants en analysant les fichiers à la recherche de menaces connues et de contenu suspect. Cela permet d’identifier et d’atténuer les risques de sécurité potentiels liés aux fichiers malveillants qui peuvent être stockés ou chargés sur vos comptes de stockage Azure. Par conséquent, il améliore l’état de la sécurité global de votre stockage de données.

Mise en route

Vous pouvez activer Defender pour le stockage sans agent au niveau de l’abonnement, aux niveaux de ressources ou à grande échelle.

Lorsque vous activez Defender pour le stockage au niveau de l’abonnement, tous les comptes de stockage existants et nouvellement créés sous cet abonnement sont automatiquement inclus et protégés. Vous pouvez également exclure des comptes de stockage spécifiques des abonnements protégés.

Remarque

Si Defender pour le stockage (classique) est activé et que vous souhaitez accéder aux fonctionnalités de sécurité et aux tarifs actuels, vous devez migrer vers le nouveau plan tarifaire.

Avantages

Diagramme montrant les avantages de l’utilisation de Defender pour le stockage pour protéger vos données.

Defender pour le stockage offre les fonctionnalités suivantes :

  • Meilleure protection contre les programmes malveillants: l’analyse des programmes malveillants parcourt et détecte en quasi-temps réel tous les types de fichiers, y compris les archives de chaque blob chargé. Elle fournit des résultats rapides et fiables, ce qui vous permet d’empêcher vos comptes de stockage de faire office de point d’entrée et de distribution pour des menaces. Découvrez-en plus sur l’analyse des programmes malveillants.

  • Amélioration de la détection des menaces et de la protection des données sensibles : la fonctionnalité de détection des menaces sur les données sensibles permet aux professionnels de la sécurité de classer par ordre de priorité et d’examiner les alertes de sécurité de manière efficace. Elle prend en compte la sensibilité des données à risque, améliorant ainsi la détection des menaces potentielles et la protection contre ces menaces. Cette fonctionnalité réduit les risques de violations de données en identifiant et en traitant rapidement les risques les plus importants. Elle améliore également la protection des données sensibles en détectant les événements d’exposition et les activités suspectes sur les ressources contenant des données sensibles. En savoir plus sur la détection des menaces sur les données sensibles.

  • Détection des entités sans identités : Defender pour le stockage détecte les activités suspectes des entités sans identités qui accèdent à vos données en utilisant des signatures d’accès partagé (jetons SAP) mal configurées et trop permissives. Ces jetons peuvent être divulgués ou compromis. Vous pouvez alors améliorer la sécurité et réduire le risque d’accès non autorisé. Cette fonctionnalité est une extension de la suite d’alertes de sécurité de supervision des activités.

  • Couverture des principales menaces sur le stockage cloud : Defender pour le stockage s’appuie sur la Veille des menaces Microsoft, des modèles comportementaux et des modèles Machine Learning pour détecter les activités inhabituelles et suspectes. Les alertes de sécurité Defender pour le stockage couvrent les principales menaces de stockage cloud, telles que l’exfiltration de données sensibles, l’altération des données et les chargements de fichiers malveillants.

  • Sécurité complète sans activation des journaux : quand vous activez Microsoft Defender pour le stockage, il analyse en continu le flux de télémétrie des plans de données et de contrôle des services Stockage Blob Azure, Azure Files et Azure Data Lake Storage. Vous n’avez pas besoin d’activer les journaux de diagnostic pour cette analyse.

  • Activation sans friction à grande échelle : Microsoft Defender pour le stockage est une solution sans agent, facile à déployer et permet une protection de sécurité à grande échelle à l’aide d’une solution Azure.

Comment Fonctionne Defender pour le stockage ?

Surveillance de l’activité

Defender pour le stockage analyse en permanence les journaux de données et de plan de contrôle des comptes de stockage protégés lorsqu’il est activé. Il n’est pas nécessaire d’activer les journaux de ressources pour bénéficier d’avantages de sécurité. Utilisez Microsoft Threat Intelligence pour identifier les signatures suspectes telles que les adresses IP malveillantes, les nœuds de sortie Tor et les applications potentiellement dangereuses. Il génère également des modèles de données et utilise des méthodes statistiques et de Machine Learning pour détecter les anomalies d’activité de base, ce qui pourrait indiquer un comportement malveillant. Vous recevez des alertes de sécurité pour les activités suspectes, mais Defender pour le stockage veille à ce que vous ne receviez pas trop d’alertes similaires. La surveillance des activités n’affecte pas les performances, la capacité d’ingestion ou l’accès à vos données.

Diagramme montrant comment la supervision de l’activité identifie les menaces pour vos données.

Analyse des programmes malveillants (avec Microsoft Defender Antivirus)

L’analyse des programmes malveillants dans Defender pour le stockage contribue à protéger les comptes de stockage contre les contenus malveillants en effectuant une analyse complète des programmes malveillants sur le contenu chargé en quasi-temps réel, en appliquant les fonctionnalités de Microsoft Defender Antivirus. Elle est conçue pour aider à répondre aux exigences de sécurité et de conformité pour gérer le contenu non approuvé. Chaque type de fichier est analysé et les résultats de l’analyse sont retournés pour chaque fichier. La fonctionnalité d’analyse des programmes malveillants est une solution SaaS sans agent qui permet une configuration simple à grande échelle, sans aucune maintenance, et qui prend en charge l’automatisation des réponses à grande échelle. Il s’agit d’une fonctionnalité configurable dans le nouveau plan Defender pour le stockage qui est facturé par Go analysé. Découvrez-en plus sur l’analyse des programmes malveillants.

Détection des menaces de données sensibles (optimisée par la découverte de données sensibles)

La fonctionnalité de détection des menaces sur les données sensibles aide les équipes de sécurité à classer par ordre de priorité et à examiner les alertes de sécurité de manière efficace. Elle prend en compte la sensibilité des données à risque, ce qui permet d’améliorer la détection et de prévenir les violations de données. La détection des menaces sur les données sensibles s’appuie sur le moteur de découverte des données sensibles, un moteur sans agent qui utilise une méthode d’échantillonnage intelligente pour trouver les ressources contenant des données sensibles. Le service est intégré aux types d’informations sensibles (SIT) et aux étiquettes de classification de Microsoft Purview, ce qui permet l’héritage transparent des paramètres de confidentialité de votre organisation.

Il s’agit d’une fonctionnalité configurable dans le nouveau plan Defender pour le stockage. Vous pouvez choisir de l’activer ou de le désactiver sans frais supplémentaires. Pour plus d’informations, consultez Détection des menaces de données sensibles.

Contrôle des prix et des coûts

Tarification par compte de stockage

Le nouveau plan Microsoft Defender pour le stockage a une tarification prévisible en fonction du nombre de comptes de stockage que vous protégez. Avec la possibilité d’activer au niveau de l’abonnement ou des ressources et d’exclure des comptes de stockage spécifiques des abonnements protégés, vous disposez d’une flexibilité accrue pour gérer votre couverture de sécurité. Le plan tarifaire simplifie le processus de calcul des coûts, ce qui vous permet d’évoluer facilement à mesure que vos besoins évoluent. D’autres frais pourraient s’appliquer aux comptes de stockage avec des transactions à volume élevé.

Analyse des programmes malveillants : facturation par Go, plafonnement mensuel et configuration

L’analyse des programmes malveillants est facturée par gigaoctet pour les données analysées. Pour garantir la prévisibilité des coûts, un plafond mensuel peut être établi pour le volume de données analysées de chaque compte de stockage, par mois. Cette limite peut être définie à l’échelle de l’abonnement, affectant tous les comptes de stockage au sein de l’abonnement ou appliquée à des comptes de stockage individuels. Sous Abonnements protégés, vous pouvez configurer des comptes de stockage spécifiques avec des limites différentes.

Par défaut, la limite est définie sur 5 000 Go par mois et par compte de stockage. Une fois ce seuil dépassé, l’analyse des blobs restants cesse, avec un intervalle de confiance de 20 Go. Pour plus d’informations sur la configuration, consultez Configurer Defender pour le stockage.

Important

L’analyse des programmes malveillants dans Defender pour le stockage n’est pas incluse gratuitement dans la première version d’évaluation de 30 jours et sera facturée à partir du premier jour conformément au schéma tarifaire disponible sur la page de tarification Defender pour le cloud. L’analyse des programmes malveillants entraîne également des frais supplémentaires pour d’autres services Azure : opérations de lecture du Stockage Azure, indexation de blob du Stockage Azure et notifications Azure Event Grid.

Activation à grande échelle avec des contrôles granulaires

Microsoft Defender pour le stockage vous permet de sécuriser vos données à grande échelle avec des contrôles granulaires. Vous pouvez appliquer des stratégies de sécurité cohérentes sur tous vos comptes de stockage au sein d’un abonnement ou les personnaliser pour des comptes spécifiques en fonction des besoins de votre entreprise. Vous pouvez également contrôler vos coûts en choisissant le niveau de protection dont vous avez besoin pour chaque ressource. Pour commencer, consultez Activer Defender pour le stockage.

Supervision de votre extrémité de fin d'analyse des logiciels malveillants

Pour garantir une protection illimitée tout en gérant efficacement les coûts, il existe deux alertes de sécurité de l’information liées à l'utilisation de l’extrémité de fin d'analyse des logiciels malveillants. La première alerte, Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview), est déclenchée lorsque votre consommation approche les 75 % du plafond mensuel fixé, ce qui vous permet d'ajuster votre extrémité de fin si nécessaire. La deuxième alerte, Malware scanning stopped: monthly gigabytes scan cap reached (Preview), vous signale que le plafond a été atteint et que l’analyse est interrompue pour le mois, ce qui signifie que les nouveaux chargements risquent de ne pas être analysés. Les deux alertes sont accompagnées de détails sur les comptes de stockage affectés afin de faciliter une action rapide et éclairée, vous permettant ainsi de maintenir le niveau de sécurité souhaité sans dépenses imprévues.

Compréhension des différences entre l’analyse des programmes malveillants et l’analyse de la réputation de hachage

Defender pour le stockage offre deux fonctionnalités permettant de détecter le contenu malveillant chargé sur des comptes de stockage : l’analyse des programmes malveillants et l’analyse de la réputation de hachage.

Analyse des programmes malveillants

L’analyse des programmes malveillants utilise Microsoft Defender Antivirus (MDAV) pour analyser les blobs chargés dans Stockage Blob et fournit une analyse complète qui inclut des analyses approfondies des fichiers et une analyse de la réputation de hachage. Cette fonctionnalité offre un niveau de détection amélioré contre les menaces potentielles.

L’analyse des programmes malveillants est une fonctionnalité complémentaire payante disponible uniquement dans le nouveau plan.

Analyse de la réputation du hachage

L’analyse de la réputation de hachage détecte les programmes malveillants potentiels dans Stockage Blob et Azure Files en comparant les valeurs de hachage des blobs/fichiers récemment chargés à celles des programmes malveillants connus de la Veille des menaces Microsoft. Les protocoles de fichiers et les types d’opérations ne sont pas tous pris en charge avec cette fonctionnalité, ce qui empêche la surveillance de certaines opérations pour détecter les chargements potentiels de programmes malveillants. Cas d’usage non pris en charge : partages de fichiers SMB et quand un objet blob est créé avec Put Block et Put blocklist. L’analyse de la réputation de hachage est disponible dans tous les plans.

En résumé, l’analyse des programmes malveillants, disponible exclusivement dans le nouveau plan de Stockage Blob, offre une approche plus complète de la détection des programmes malveillants. Elle y parvient en analysant le contenu complet des fichiers et en incorporant l’analyse de la réputation de hachage dans sa méthodologie d’analyse.

Contenu connexe