Defender pour le stockage

Effectué

Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage.
Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données.

Microsoft Defender pour le stockage offre une sécurité complète en analysant les données de télémétrie du plan de données et du plan de contrôle générées par les services Stockage Blob Azure, Azure Files et Azure Data Lake Storage. Il utilise des fonctionnalités avancées de détection des menaces optimisées par Microsoft Threat Intelligence, Microsoft Defender Antivirus et la découverte des données sensibles pour vous aider à détecter et à atténuer les menaces potentielles.

Defender pour le stockage inclut :

  • Analyse des activités
  • Détection des menaces de données sensibles (fonctionnalité d’évaluation, nouveau plan uniquement)
  • Analyse des programmes malveillants (nouveau plan uniquement)

Diagramme montrant comment Microsoft Defender pour le stockage fournit une sécurité complète en analysant le plan de données et le plan de contrôle.

Mise en route

Avec une configuration simple sans agent à grande échelle, vous pouvez activer Defender pour le stockage au niveau de l’abonnement ou des ressources via le portail ou par programme. Lorsqu’il est activé au niveau de l’abonnement, tous les comptes de stockage existants et nouvellement créés sous cet abonnement sont automatiquement protégés. Vous pouvez également exclure des comptes de stockage spécifiques des abonnements protégés.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale (GA)
Disponibilité des fonctionnalités : – Suivi d'activité (alertes de sécurité) – Disponibilité Générale (GA)
– Analyse des logiciels malveillants – Disponibilité générale (GA)
- Détection des menaces de données sensibles (découverte des données sensibles) – Préversion
Prix : La tarification de Microsoft Defender pour le stockage s’applique aux clouds commerciaux. En savoir plus sur la tarification et la disponibilité par région.


Types de stockage pris en charge :
Stockage Blob (Standard/Premium V2, y compris Data Lake Gen2) : supervision de l’activité, analyse des programmes malveillants, découverte de données sensibles
Azure Files (via l’API REST et SMB) : supervision de l’activité
Rôles et autorisations obligatoires : Pour l’analyse des programmes malveillants et la détection des menaces de données sensibles au niveau de l’abonnement et du compte de stockage, vous avez besoin de rôles Propriétaire (propriétaire de l’abonnement/du compte de stockage) ou de rôles spécifiques avec les actions de données correspondantes. Pour activer la supervision de l’activité, vous avez besoin d’autorisations « Administrateur de la sécurité ». En savoir plus sur les autorisations exigées.
Clouds : Icône « Oui ». Clouds commerciaux*
Icône du n° Azure Government (uniquement la prise en charge du monitoring des activités sur le plan classique)
Icône du n° Microsoft Azure exploité par 21Vianet
Icône du n° Comptes AWS connectés

Remarque

La zone Azure DNS n’est pas prise en charge pour l’analyse des programmes malveillants et pour la détection des menaces aux données sensibles.

Quels sont les avantages de Microsoft Defender for Storage ?

Diagramme montrant les avantages de la protection du cloud de Microsoft Defender pour le stockage.

Defender pour le stockage fournit les éléments suivants :

  • Meilleure protection contre les programmes malveillants : l’analyse des programmes malveillants analyse et détecte en quasi-temps réel tous les types de fichiers, y compris les archives de chaque objet blob chargé, et fournit des résultats rapides et fiables, ce qui vous aide à empêcher vos comptes de stockage de faire office de point d’entrée et de distribution pour les menaces. En savoir plus sur l’analyse des programmes malveillants.
  • Amélioration de la détection des menaces et de la protection des données sensibles : la fonctionnalité de détection des menaces de données sensibles permet aux professionnels de la sécurité de hiérarchiser et d’examiner efficacement les alertes de sécurité en tenant compte de la sensibilité des données susceptibles d’être menacées, ce qui permet d’améliorer la détection et la protection contre les menaces potentielles. En identifiant et en traitant rapidement les risques les plus importants, cette fonctionnalité réduit le risque de violations de données et améliore la protection des données sensibles en détectant les événements d’exposition et les activités suspectes sur les ressources contenant des données sensibles. En savoir plus sur la détection des menaces sur les données sensibles.
  • Détection des entités sans identités : Defender pour le stockage détecte les activités suspectes générées par les entités sans identités qui accèdent à vos données à l’aide de signatures d’accès partagé mal configurées et trop permissives qui auraient pu fuiter ou compromettre afin d’améliorer l’hygiène de la sécurité et de réduire le risque d’accès non autorisé. Cette fonctionnalité est une extension de la suite d’alertes de sécurité de supervision des activités.
  • Couverture des principales menaces de stockage cloud : optimisée par Microsoft Threat Intelligence, des modèles comportementaux et des modèles Machine Learning pour détecter les activités inhabituelles et suspectes. Les alertes de sécurité Defender pour le stockage couvrent les principales menaces de stockage cloud, telles que l’exfiltration de données sensibles, l’altération des données et les chargements de fichiers malveillants.
  • Sécurité complète sans activer les journaux : lorsque Microsoft Defender pour le stockage est activé, il analyse en permanence le flux de télémétrie du plan de données et de contrôle généré par les services Stockage Blob Azure, Azure Files et Azure Data Lake Storage sans qu’il soit nécessaire d’activer les journaux de diagnostic.
  • Activation sans friction à grande échelle : Microsoft Defender pour le stockage est une solution sans agent, facile à déployer et permet une protection de sécurité à grande échelle à l’aide d’une solution Azure.

Comment fonctionne le service ?

Surveillance de l’activité

Defender pour le stockage analyse en permanence les journaux de données et de plan de contrôle des comptes de stockage protégés lorsqu’il est activé. Il n’est pas nécessaire d’activer les journaux de ressources pour bénéficier d’avantages de sécurité. Utilisez Microsoft Threat Intelligence pour identifier les signatures suspectes telles que les adresses IP malveillantes, les nœuds de sortie Tor et les applications potentiellement dangereuses. Il génère également des modèles de données et utilise des méthodes statistiques et de Machine Learning pour détecter les anomalies d’activité de base, ce qui pourrait indiquer un comportement malveillant. Vous recevez des alertes de sécurité pour les activités suspectes, mais Defender pour le stockage garantit que vous n’obtiendrez pas trop d’alertes similaires. La supervision de l’activité n’affecte pas les performances, la capacité d’ingestion ni l’accès à vos données.

Diagramme montrant comment fonctionne la surveillance d’activité de Defender pour le stockage.

Analyse des programmes malveillants (optimisée par Microsoft Defender Antivirus)

L’analyse des programmes malveillants dans Defender pour le stockage permet de protéger les comptes de stockage contre les contenus malveillants par l’entremise d’une analyse complète en quasi-temps réel des programmes malveillants sur le contenu chargé, en appliquant les fonctionnalités de Microsoft Defender Antivirus. Elle est conçue pour aider à répondre aux exigences de sécurité et de conformité pour gérer le contenu non approuvé. Chaque type de fichier est analysé et les résultats de l’analyse sont retournés pour chaque fichier. La fonctionnalité d’analyse des programmes malveillants est une solution SaaS sans agent qui permet une configuration simple à grande échelle, sans maintenance, et prend en charge l’automatisation de la réponse à grande échelle. Il s’agit d’une fonctionnalité configurable dans le nouveau plan Defender pour le stockage qui est facturé par Go analysé.

Détection des menaces de données sensibles (optimisée par la découverte de données sensibles)

La fonctionnalité de détection des menaces de données sensibles permet aux équipes de sécurité de hiérarchiser et d’examiner efficacement les alertes de sécurité en tenant compte de la sensibilité des données qui pourraient être menacées, ce qui permet d’améliorer la détection et de prévenir les violations de données. La détection des menaces de données sensibles est optimisée par le moteur Sensitive Data Discovery, un moteur sans agent qui utilise une méthode d’échantillonnage intelligente pour rechercher des ressources contenant des données sensibles. Le service est intégré aux types d’informations sensibles (SIT) et aux étiquettes de classification de Microsoft Purview, ce qui permet l’héritage transparent des paramètres de confidentialité de votre organisation.

Il s’agit d’une fonctionnalité configurable dans le nouveau plan Defender pour le stockage. Vous pouvez choisir de l’activer ou de le désactiver sans frais supplémentaires.

Contrôle des prix et des coûts

Tarification par compte de stockage

Le nouveau plan Microsoft Defender pour le stockage a une tarification prévisible en fonction du nombre de comptes de stockage que vous protégez. Avec la possibilité d’activer au niveau de l’abonnement ou des ressources et d’exclure des comptes de stockage spécifiques des abonnements protégés, vous disposez d’une flexibilité accrue pour gérer votre couverture de sécurité. Le plan tarifaire simplifie le processus de calcul des coûts, ce qui vous permet d’évoluer facilement à mesure que vos besoins évoluent. D’autres frais pourraient s’appliquer aux comptes de stockage avec des transactions à volume élevé.

Analyse des programmes malveillants – Facturation par Go, plafonnement mensuel et configuration

L’analyse des programmes malveillants est facturée par gigaoctet pour les données analysées. Pour garantir la prévisibilité des coûts, un plafond mensuel peut être établi pour le volume de données analysées de chaque compte de stockage, par mois. Cette limite peut être définie à l’échelle de l’abonnement, affectant tous les comptes de stockage au sein de l’abonnement ou appliquée à des comptes de stockage individuels. Sous Abonnements protégés, vous pouvez configurer des comptes de stockage spécifiques avec des limites différentes.

Par défaut, la limite est définie sur 5 000 Go par mois et par compte de stockage. Une fois ce seuil dépassé, l’analyse des objets blob restants cesse, avec un intervalle de confiance de 20 Go.

L’analyse des programmes malveillants dans Defender pour le stockage n’est pas incluse gratuitement dans la première version d’évaluation de 30 jours et sera facturée à partir du premier jour conformément au schéma tarifaire disponible sur la page de tarification Defender pour le cloud. L’analyse des programmes malveillants entraîne également des frais supplémentaires pour d’autres services Azure : opérations de lecture du Stockage Azure, indexation de blob du Stockage Azure et notifications Azure Event Grid.

Activation à grande échelle avec des contrôles granulaires

Microsoft Defender pour le stockage vous permet de sécuriser vos données à grande échelle avec des contrôles granulaires. Vous pouvez appliquer des stratégies de sécurité cohérentes sur tous vos comptes de stockage au sein d’un abonnement ou les personnaliser pour des comptes spécifiques en fonction des besoins de votre entreprise. Vous pouvez également contrôler vos coûts en choisissant le niveau de protection dont vous avez besoin pour chaque ressource.

Compréhension des différences entre l’analyse des programmes malveillants et l’analyse de la réputation de hachage

Defender pour le stockage offre deux fonctionnalités pour détecter le contenu malveillant chargé sur les comptes de stockage : l’analyse des programmes malveillants (fonctionnalité de complément payante disponible uniquement sur le nouveau plan) et l’analyse de la réputation de hachage (disponible dans tous les plans).

Analyse des programmes malveillants (fonctionnalité de complément payante disponible uniquement sur le nouveau plan)

L’analyse des programmes malveillants utilise Microsoft Defender Antivirus (MDAV) pour analyser les objets blob chargés dans le stockage blob, fournissant une analyse complète qui inclut des analyses approfondies des fichiers et une analyse de la réputation de hachage. Cette fonctionnalité offre un niveau de détection amélioré contre les menaces potentielles.

Analyse de la réputation de la synthèse (disponible dans tous les plans)

L’analyse de la réputation du hachage détecte les programmes malveillants potentiels dans le stockage Blob et les Azure Files en comparant les valeurs de hachage des objets blob/fichiers récemment chargés à celles des programmes malveillants connus par Microsoft Threat Intelligence. Les protocoles de fichiers et les types d’opérations ne sont pas tous pris en charge avec cette fonctionnalité, ce qui empêche la surveillance de certaines opérations pour détecter les chargements potentiels de programmes malveillants. Cas d’usage non pris en charge : partages de fichiers SMB et quand un objet blob est créé avec Put Block et Put blocklist.

En résumé, l’analyse des programmes malveillants, qui n’est disponible que dans le nouveau plan de stockage Blob, offre une approche plus complète de la détection des programmes malveillants en analysant le contenu complet des fichiers et en incorporant l’analyse de la réputation de hachage dans sa méthodologie d’analyse.