Microsoft Defender for Storage について
Microsoft Defender for Storage は、ストレージ アカウントに対する通常とは異なる潜在的に有害なアクセスの試行、すなわちストレージ アカウントの悪用を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 セキュリティ AI の高度な機能と Microsoft の脅威インテリジェンスを利用して、コンテキストに応じたセキュリティ アラートと推奨事項を提供します。
セキュリティ アラートは、アクティビティで異常が発生したときにトリガーされます。 これらのセキュリティ アラートは Defender for Cloud と統合されます。また、疑わしいアクティビティの詳細と、脅威の調査や修復方法に関する推奨事項と共に、サブスクリプション管理者にメールで送信されます。
Microsoft Defender for Storage の利点
Microsoft Defender for Storage の利点は次のとおりです。
Azure ネイティブ セキュリティ - Defender for Storage は、1 回のクリックで有効にし、Azure BLOB、Azure Files、および Data Lakes に格納されているデータを保護します。 Azure ネイティブ サービスとして、Defender for Storage では Azure によって管理されるすべてのデータ資産全体で一元的なセキュリティを提供し、Microsoft Sentinel などの他のセキュリティ サービスと統合されています。
豊富な検出スイート - Microsoft の脅威インテリジェンスを利用した Defender for Storage の検出機能は、匿名アクセス、資格情報の漏洩、ソーシャル エンジニアリング、特権の乱用、悪意のあるコンテンツなど、ストレージに関する代表的な脅威をカバーしています。
包括的な対応 - 特定された脅威は、Defender for Cloud のオートメーション ツールによって簡単に防止、対応できます。 詳細については、「Defender for Cloud のトリガーへの応答を自動化する」を参照してください。
Microsoft Defender for Storage で提供されるアラートの種類
セキュリティ アラートは、次のような場合にトリガーされます。
疑わしいアクセス パターン - Tor 出口ノードからの成功したアクセスや、Microsoft の脅威インテリジェンスによって不審と判断された IP からの成功したアクセスなど
不審なアクティビティ - 変則的なデータ抽出や、通常と異なるアクセス許可の変更など
悪意のあるコンテンツのアップロード (ハッシュ評価分析に基づく) 潜在的マルウェア ファイルやフィッシング コンテンツのホスティングなど
アラートには、それらをトリガーするインシデントの詳細と、脅威の調査や修復方法に関する推奨事項が含まれています。 アラートは、Azure Sentinel、他のサードパーティ製 SIEM、またはその他の外部ツールにエクスポートできます。
マルウェアのハッシュ評価分析とは
アップロードされたファイルが疑わしいかどうかを判断するために、Defender for Storage では、Microsoft Threat Intelligence でサポートされているハッシュ評価分析が使用されます。 脅威保護ツールにより、アップロードされたファイルはスキャンされません。 ストレージ ログが調べられ、新しくアップロードされたファイルのハッシュと、既知のウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュが比較されます。
ファイルにマルウェアが含まれている疑いがある場合、Security Center ではアラートが表示されます。また、必要に応じて、疑わしいファイルの削除の承認を求めるメールをストレージの所有者に送信できます。 ハッシュ評価分析によって示されているマルウェアが含まれるファイルの自動削除を設定するには、"マルウェアがストレージ アカウントにアップロードされた可能性" を含むアラートでトリガーするワークフローの自動化をデプロイします。