次の方法で共有

Microsoft Defender for Cloud とは

  • [アーティクル]

Microsoft Defender for Cloud では、Defender for Storage プランのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーが提供されます。

Defender for Storage は、悪意のあるファイルのアップロード、機密データ流出、データの破損を防止し、データとワークロードのセキュリティと整合性を確保するのに役立ちます。

Defender for Storage では、Azure Blob StorageAzure FilesAzure Data Lake Storage の各サービスによって生成されたデータ プレーンとコントロール プレーンのテレメトリを分析することで、包括的なセキュリティが提供されます。 Microsoft 脅威インテリジェンス、Microsoft Defender ウイルス対策、機密データの検出を利用した高度な脅威検出機能を使用して、潜在的な脅威の検出と軽減を支援します。

Defender for Storage でデータに対する一般的な脅威を防ぐ方法を示すアニメーション化された図。

Defender for Storage には次のものが含まれます。

  • アクティビティの監視 - アクセス パターンと動作を分析することで、ストレージ アカウントに関連する異常で有害なおそれのあるアクティビティを検出します。 これは、未認可のアクセス、データ流出の試み、その他のセキュリティ上の脅威を特定するために有用です。

  • 機密データの脅威検出 - 潜在的なセキュリティ上の脅威を示すおそれのある疑わしいアクティビティを検出して、ストレージ アカウント内の機密データを特定して保護します。 Defender for Storage では、異常なデータ アクセス パターンや潜在的なデータ流出などのアクションを監視して、Azure 内に保存されている機密情報のセキュリティを強化します。

  • マルウェア スキャン - ファイルを分析して既知の脅威や疑わしいコンテンツがあるか確認し、ストレージ アカウントをスキャンして悪意のあるソフトウェアを見つけます。 これにより、Azure ストレージ アカウントに保存またはアップロードされたおそれがある、悪意のあるファイルの潜在的なセキュリティ リスクを特定し、軽減できます。 その結果、データ ストレージの全体的なセキュリティ態勢が強化されます。

作業の開始

サブスクリプション レベル、リソース レベル、または大規模に、エージェントレスで Defender for Storage を有効にできます。

サブスクリプション レベルで Defender for Storage を有効にすると、そのサブスクリプション下の既存および新しく作成されたストレージ アカウントのすべてが、自動的に含まれて保護されます。 保護されたサブスクリプションから特定のストレージ アカウントを除外することもできます。

Note

Defender for Storage (クラシック) が有効であり、最新のセキュリティ機能と価格を利用したい場合は、新しい価格プランに移行する必要があります。

メリット

データを保護するために Defender for Storage を使用する利点を示す図。

Defender for Storage には次の機能があります。

  • 悪意のあるソフトウェアに対する保護の強化: マルウェア スキャンを使用して、アップロードされたすべての BLOB のアーカイブを含め、ほぼリアルタイムですべての種類のファイルをスキャンして検出します。 これにより、素早く信頼性の高い結果が得られ、ストレージ アカウントが脅威の入口および配布ポイントとして機能するのを防止できます。 マルウェア スキャンの詳細について確認してください。

  • 機密データの脅威検出と保護の向上: セキュリティの専門家は、機密データの脅威検出機能を使って効率的にセキュリティ アラートに優先順位を付け、調査できます。 危機的状況にあるデータの機密度が考慮され、潜在的な脅威に対する検出と保護の向上につながります。 この機能を使って、最も重大なリスクをすばやく特定して対処し、データ侵害の可能性を削減できます。 また、機密データを含むリソースに対する露出イベントや疑わしいアクティビティを検出し、機密データの保護も強化します。 機密データの脅威検出の詳細について確認してください。

  • ID のないエンティティの検出: Defender for Storage では、誤って構成され、制限が過度に緩い Shared Access Signature (SAS トークン) を使用してデータにアクセスする、ID のないエンティティから生じる疑わしいアクティビティを検出します。 これらのトークンは、漏洩またはセキュリティが侵害されるおそれがあります。 その場合に、セキュリティを強化し、不正アクセスのリスクを軽減できます。 この機能は、アクティビティ監視のセキュリティ アラート スイートの拡張です。

  • クラウド ストレージに関する上位の脅威を網羅: Defender for Storage では、Microsoft 脅威インテリジェンス、行動モデル、機械学習モデルを利用して、異常で疑わしいアクティビティを検出します。 Defender for Storage のセキュリティ アラートでは、機密データの流出、データの破損、悪意のあるファイルのアップロードなど、クラウド ストレージに関する上位の脅威が対象に含まれます。

  • ログを有効にしない包括的なセキュリティ: Microsoft Defender for Storage を有効にすると、Azure Blob Storage、Azure Files、Azure Data Lake Storage の各サービスからのデータとコントロールの両方のテレメトリ ストリームが継続的に分析されます。 この分析のために診断ログを有効にする必要はありません。

  • 大規模な摩擦なしの有効化: Microsoft Defender for Storage はエージェントレス ソリューションであり、デプロイが簡単で、ネイティブの Azure ソリューションを使用して大規模なセキュリティ保護を実現します。

Defender for Storage のしくみ

アクティビティの監視

Defender for Storage は、有効になっている場合、保護されたストレージ アカウントのデータおよびコントロール プレーンの各ログを継続的に分析します。 セキュリティ上の利点のためにリソース ログを有効にする必要はありません。 Microsoft 脅威インテリジェンスを使用して、悪意のある IP アドレス、Tor 出口ノード、潜在的に危険なアプリなどの疑わしいシグネチャを識別します。 また、データ モデルを構築し、統計的および機械学習の手法を使用して、悪意のある動作を示している可能性があるベースライン アクティビティの異常を見つけます。 不審なアクティビティに関するセキュリティ アラートを受け取っても、Defender for Storage を使うと、類似のアラートを過度に受け取ることはありません。 アクティビティの監視は、パフォーマンス、インジェスト容量、データへのアクセスには影響しません。

アクティビティの監視によってデータに対する脅威を特定する方法を示す図。

マルウェア スキャン (Microsoft Defender ウイルス対策を利用)

Defender for Storage のマルウェア スキャンを利用すると、アップロードされたコンテンツに対してほぼリアルタイムでマルウェアのフル スキャンを実行し、Microsoft Defender ウイルス対策の機能を適用して、悪意のあるコンテンツからストレージ アカウントを保護できます。 信頼されていないコンテンツを処理するためのセキュリティとコンプライアンスの要件を満たしやくなるように設計されています。 すべての種類のファイルがスキャンされ、すべてのファイルのスキャン結果が返されます。 マルウェア スキャン機能は、大規模な簡易セットアップができるエージェントレス SaaS ソリューションであり、メンテナンスが不要で、大規模な応答の自動化をサポートしています。 これは、新しい Defender for Storage プランの構成可能な機能であり、スキャンされた GB あたりの価格が設定されています。 マルウェア スキャンの詳細について確認してください。

機密データの脅威検出 (機密データの検出を利用)

機密データの脅威検出機能を利用すると、セキュリティ チームが効率的にセキュリティ アラートに優先順位を付けて調査できます。 危機的状況にあるデータの機密度が考慮されるため、検出の向上につながり、データ侵害の防止に役立ちます。 機密データの脅威検出は、スマート サンプリングの手法を使用して機密データを含むリソースを見つけるエージェントレス エンジンである、機密データの検出エンジンを利用しています。 このサービスは、Microsoft Purview の機密情報の種類 (SIT) および分類ラベルと統合されているため、組織の秘密度設定をシームレスに継承できます。

これは、新しい Defender for Storage プランの構成可能な機能です。 これは追加コストなしで有効または無効にできます。 詳細については、「機密データの脅威検出」を参照してください。

価格とコストの管理

ストレージ アカウントごとの価格

新しい Microsoft Defender for Storage プランには、保護するストレージ アカウントの数に基づいて予測可能な価格が設定されています。 サブスクリプションまたはリソースのレベルで有効にし、保護されたサブスクリプションから特定のストレージ アカウントを除外するオプションにより、セキュリティの適用範囲を管理する柔軟性が向上しました。 この価格プランにより、コスト計算プロセスが簡略化され、ニーズの変化に応じて簡単にスケーリングできます。 大量のトランザクションがあるストレージ アカウントには、その他の料金が適用される場合があります。

マルウェア スキャン - GB あたりの課金、月単位の上限設定、構成

マルウェア スキャンは、スキャンされたデータに対してギガバイト単位で課金されます。 コストの予測可能性を確保するために、1 か月あたりの各ストレージ アカウントのスキャンされたデータ量に対し、月単位の上限を設定できます。 この上限は、サブスクリプション全体に設定する (サブスクリプション内のすべてのストレージ アカウントに影響を及ぼす) ことも、個々のストレージ アカウントに適用することもできます。 保護されたサブスクリプションでは、さまざまな制限を使用して特定のストレージ アカウントを構成できます。

既定では、ストレージ アカウントごとに 1 か月あたり 5,000 GB の制限が設定されています。 このしきい値を超えると、残りの BLOB のスキャンは 20 GB の信頼区間で停止します。 構成の詳細については、Defender for Storage の構成に関する記事を参照してください。

重要

Defender for Storage でのマルウェア スキャンは、最初の 30 日間の試用版には無料で含まれていません。また、Defender for Cloud の価格ページで利用可能な価格スキームに従って、最初の日から課金されます。 マルウェア スキャンを実行すると、他の Azure サービス (Azure Storage の読み取り操作、Azure Storage BLOB のインデックス作成、Azure Event Grid の通知) にも追加料金が発生します。

きめ細かい制御による大規模な有効化

Microsoft Defender for Storage を使用すると、きめ細かい制御で大規模にデータをセキュリティで保護できます。 サブスクリプション内のすべてのストレージ アカウントに一貫したセキュリティ ポリシーを適用することも、ビジネス ニーズに合わせて特定のアカウント向けにポリシーをカスタマイズすることもできます。 また、各リソースに必要な保護レベルを選んで、コストを管理することもできます。 開始するには、Defender for Storage の有効化に関する記事を参照してください。

マルウェア スキャンの上限を監視する

コストを効果的に管理しながら保護が中断されないようにするために、マルウェア スキャンの上限の使用に関連する 2 つの情報セキュリティ アラートがあります。 最初のアラート Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview) は、使用が設定された月次上限の 75% に近づくとトリガーされ、必要に応じて上限を調整するための通知が提供されます。 2 つ目のアラート Malware scanning stopped: monthly gigabytes scan cap reached (Preview) では、上限に達してその月のスキャンが一時停止され、新しいアップロードがスキャンされないままになる可能性があるときに通知します。 どちらのアラートにも、プロンプトと情報に基づくアクションを容易にするため、影響を受けるストレージ アカウントに関する詳細が含まれており、予期しない費用をかけずに目的のレベルのセキュリティを維持できるようにします。

マルウェア スキャンとハッシュ評価分析の違いを理解する

Defender for Storage には、ストレージ アカウントにアップロードされた悪意のあるコンテンツを検出する機能が 2 つあります。マルウェア スキャンハッシュ評価分析です。

マルウェア スキャン

マルウェア スキャンでは、Microsoft Defender ウイルス対策 (MDAV) を使用して Blob Storage にアップロードされた BLOB をスキャンし、詳細ファイル スキャンとハッシュ評価分析を含む包括的な分析が実現します。 この機能により、潜在的な脅威に対する検出レベルが強化されます。

マルウェア スキャンは、新しいプランでのみ利用できる有料アドオン機能です。

ハッシュ評価分析

ハッシュ評価分析では、新しくアップロードされた BLOB/ファイルのハッシュ値を、Microsoft 脅威インテリジェンスの既知の悪意のあるソフトウェアのものと比較して、Blob Storage と Azure Files 内の潜在的な悪意のあるソフトウェアを検出します。 この機能では、すべてのファイル プロトコルと操作の種類がサポートされているわけではないため、一部の操作では潜在的なマルウェアのアップロードは監視されません。 サポートされていないユース ケースには、SMB ファイル共有や、BLOB が Put BlockPut blocklist を使用して作成される場合などがあります。 ハッシュ評価分析は、すべてのプランで利用できます。

要約すると、Blob Storage の新しいプランでのみ使用できるマルウェア スキャンでは、悪意のあるソフトウェアの検出に対するより包括的なアプローチが提供されます。 これを実現するには、ファイルのすべてのコンテンツを分析し、ハッシュ評判分析をそのスキャン手法に組み込みます。

関連するコンテンツ