Udostępnij za pośrednictwem

Co to jest usługa Microsoft Defender for Storage?

  • Artykuł

Microsoft Defender dla Chmury zapewnia natywną dla platformy Azure warstwę analizy zabezpieczeń, która znajduje potencjalne zagrożenia dla kont magazynu przy użyciu planu usługi Defender for Storage.

Usługa Defender for Storage pomaga zapobiegać złośliwym przekazywaniem plików, eksfiltracją poufnych danych i uszkodzeniem danych, zapewniając bezpieczeństwo i integralność danych i obciążeń.

Usługa Defender for Storage zapewnia kompleksowe zabezpieczenia, analizując dane telemetryczne płaszczyzny danych i płaszczyzny sterowania generowane przez usługi Azure Blob Storage, Azure Files i Azure Data Lake Storage . Korzysta z zaawansowanych funkcji wykrywania zagrożeń obsługiwanych przez usługę Microsoft Threat Intelligence, Program antywirusowy Microsoft Defender i odnajdywania poufnych danych, aby ułatwić odnajdywanie i eliminowanie potencjalnych zagrożeń.

Animowany diagram przedstawiający ochronę usługi Defender for Storage przed typowymi zagrożeniami dla danych.

Usługa Defender for Storage obejmuje:

  • Monitorowanie działań — wykrywanie nietypowych i potencjalnie szkodliwych działań związanych z kontami magazynu przez analizowanie wzorców dostępu i zachowań. Może to być przydatne podczas identyfikowania nieautoryzowanego dostępu, prób eksfiltracji danych i innych zagrożeń bezpieczeństwa.

  • Wykrywanie zagrożeń poufnych danych — zidentyfikuj i chroń poufne dane na kontach magazynu, wykrywając podejrzane działania, które mogą wskazywać na potencjalne zagrożenie bezpieczeństwa. Usługa Defender for Storage zwiększa bezpieczeństwo poufnych informacji przechowywanych na platformie Azure przez monitorowanie akcji, takich jak nietypowe wzorce dostępu do danych lub potencjalna eksfiltracja danych.

  • Skanowanie złośliwego oprogramowania — skanuj konta magazynu pod kątem złośliwego oprogramowania, analizując pliki pod kątem znanych zagrożeń i podejrzanej zawartości. Pomaga to identyfikować i ograniczać potencjalne zagrożenia bezpieczeństwa przed złośliwymi plikami, które mogą być przechowywane lub przekazywane do kont usługi Azure Storage. W rezultacie zwiększa ogólny stan zabezpieczeń magazynu danych.

Rozpocznij

Usługę Defender for Storage można włączyć bez użycia agenta na poziomie subskrypcji, poziomach zasobów lub na dużą skalę.

Po włączeniu usługi Defender for Storage na poziomie subskrypcji wszystkie istniejące i nowo utworzone konta magazynu w ramach tej subskrypcji są automatycznie uwzględniane i chronione. Możesz również wykluczyć określone konta magazynu z chronionych subskrypcji.

Uwaga

Jeśli masz włączoną usługę Defender for Storage (klasyczną) i chcesz uzyskać dostęp do bieżących funkcji zabezpieczeń i cen, musisz przeprowadzić migrację do nowego planu cenowego.

Świadczenia

Diagram przedstawiający korzyści wynikające z używania usługi Defender for Storage do ochrony danych.

Usługa Defender for Storage oferuje następujące funkcje:

  • Lepsza ochrona przed złośliwym oprogramowaniem: skanowanie złośliwego oprogramowania i wykrywanie niemal w czasie rzeczywistym wszystkich typów plików, w tym archiwów każdego przekazanego obiektu blob. Zapewnia szybkie i niezawodne wyniki, pomagając zapobiegać wystąpieniu zagrożeń przez konta magazynu jako punkt wejścia i dystrybucji. Dowiedz się więcej o skanowaniu złośliwego oprogramowania.

  • Ulepszone wykrywanie zagrożeń i ochrona poufnych danych: funkcja wykrywania zagrożeń poufnych danych ułatwia specjalistom ds. zabezpieczeń efektywne określanie priorytetów i analizowanie alertów zabezpieczeń. Uwzględnia ona wrażliwość danych na ryzyko, co prowadzi do lepszego wykrywania i ochrony przed potencjalnymi zagrożeniami. Ta funkcja zmniejsza prawdopodobieństwo naruszeń danych dzięki szybkiej identyfikacji i rozwiązywania najbardziej znaczących zagrożeń. Zwiększa również ochronę poufnych danych, wykrywając zdarzenia ujawnienia i podejrzane działania dotyczące zasobów zawierających poufne dane. Dowiedz się więcej na temat wykrywania zagrożeń poufnych danych.

  • Wykrywanie jednostek bez tożsamości: usługa Defender for Storage wykrywa podejrzane działania z jednostek bez tożsamości, które uzyskują dostęp do danych przy użyciu nieprawidłowo skonfigurowanych i nadmiernie permisyjnych sygnatur dostępu współdzielonego (tokenów SAS). Te tokeny mogą zostać ujawnione lub naruszone. Następnie można zwiększyć bezpieczeństwo i zmniejszyć ryzyko nieautoryzowanego dostępu. Ta funkcja jest rozszerzeniem pakietu alertów zabezpieczeń monitorowania aktywności.

  • Pokrycie najważniejszych zagrożeń związanych z magazynem w chmurze: usługa Defender for Storage jest obsługiwana przez usługę Microsoft Threat Intelligence, modele behawioralne i modele uczenia maszynowego w celu wykrywania nietypowych i podejrzanych działań. Alerty zabezpieczeń usługi Defender for Storage obejmują najważniejsze zagrożenia magazynu w chmurze, takie jak eksfiltracja poufnych danych, uszkodzenie danych i złośliwe przekazywanie plików.

  • Kompleksowe zabezpieczenia bez włączania dzienników: po włączeniu usługi Microsoft Defender for Storage stale analizuje zarówno dane, jak i steruje strumieniem telemetrii z usług Azure Blob Storage, Azure Files i Azure Data Lake Storage. Nie musisz włączać dzienników diagnostycznych dla tej analizy.

  • Bezproblemowe włączanie na dużą skalę: usługa Microsoft Defender for Storage to rozwiązanie bez agentów, łatwe do wdrożenia i umożliwia ochronę zabezpieczeń na dużą skalę przy użyciu natywnego rozwiązania platformy Azure.

Jak działa usługa Defender for Storage?

Monitorowanie aktywności

Usługa Defender for Storage stale analizuje dzienniki płaszczyzny danych i kontroli z chronionych kont magazynu po włączeniu. Nie ma potrzeby włączania dzienników zasobów w celu uzyskania korzyści zabezpieczeń. Użyj funkcji Microsoft Threat Intelligence, aby zidentyfikować podejrzane podpisy, takie jak złośliwe adresy IP, węzły wyjścia Tor i potencjalnie niebezpieczne aplikacje. Tworzy również modele danych i wykorzystuje metody statystyczne i uczenia maszynowego do wykrywania anomalii aktywności punktu odniesienia, które mogą wskazywać na złośliwe zachowanie. Otrzymujesz alerty zabezpieczeń dotyczące podejrzanych działań, ale usługa Defender for Storage gwarantuje, że nie otrzymasz zbyt wielu podobnych alertów. Monitorowanie aktywności nie wpływa na wydajność, pojemność pozyskiwania ani dostęp do danych.

Diagram przedstawiający sposób identyfikowania zagrożeń dla danych przez monitorowanie aktywności.

Skanowanie złośliwego oprogramowania (obsługiwane przez Program antywirusowy Microsoft Defender)

Skanowanie złośliwego oprogramowania w usłudze Defender for Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym, stosując Program antywirusowy Microsoft Defender możliwości. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności w celu obsługi niezaufanej zawartości. Każdy typ pliku jest skanowany, a wyniki skanowania są zwracane dla każdego pliku. Funkcja skanowania złośliwego oprogramowania to rozwiązanie SaaS bez agenta, które umożliwia prostą konfigurację na dużą skalę, bez konserwacji i obsługuje automatyzowanie odpowiedzi na dużą skalę. Jest to konfigurowalna funkcja w nowym planie usługi Defender for Storage, która jest wyceniana za GB skanowania. Dowiedz się więcej o skanowaniu złośliwego oprogramowania.

Wykrywanie zagrożeń poufnych danych (obsługiwane przez odnajdywanie poufnych danych)

Funkcja wykrywania zagrożeń poufnych danych ułatwia zespołom ds. zabezpieczeń określanie priorytetów i efektywne badanie alertów zabezpieczeń. Uwzględnia ona wrażliwość danych na ryzyko, co prowadzi do lepszego wykrywania i pomaga zapobiegać naruszeniom danych. Wykrywanie zagrożeń poufnych danych jest obsługiwane przez aparat odnajdywania danych poufnych, aparat bez agenta, który używa inteligentnej metody próbkowania do znajdowania zasobów z danymi poufnymi. Usługa jest zintegrowana z poufnymi typami informacji (SIT) i etykietami klasyfikacji firmy Microsoft Purview, umożliwiając bezproblemowe dziedziczenie ustawień poufności organizacji.

Jest to funkcja konfigurowalna w nowym planie usługi Defender for Storage. Możesz ją włączyć lub wyłączyć bez innych kosztów. Aby uzyskać więcej informacji, odwiedź stronę Wykrywanie zagrożeń poufnych danych.

Kontrola cen i kosztów

Cennik konta magazynu

Nowy plan usługi Microsoft Defender for Storage ma przewidywalne ceny na podstawie liczby chronionych kont magazynu. Opcja włączania na poziomie subskrypcji lub zasobu i wykluczania określonych kont magazynu z chronionych subskrypcji zwiększa elastyczność zarządzania pokryciem zabezpieczeń. Plan cenowy upraszcza proces obliczania kosztów, umożliwiając łatwe skalowanie w miarę zmian potrzeb. Inne opłaty mogą dotyczyć kont magazynu z transakcjami o dużej ilości.

Skanowanie złośliwego oprogramowania — rozliczenia na GB, miesięczne ograniczenie i konfiguracja

Opłata za skanowanie w poszukiwaniu złośliwego oprogramowania jest naliczana za każdy gigabajt dla zeskanowanych danych. Aby zapewnić przewidywalność kosztów, można ustanowić miesięczny limit dla zeskanowanego woluminu danych każdego konta magazynu na miesiąc. Ten limit można ustawić dla całej subskrypcji, wpływając na wszystkie konta magazynu w ramach subskrypcji lub zastosowany do poszczególnych kont magazynu. W ramach chronionych subskrypcji można skonfigurować określone konta magazynu z różnymi limitami.

Domyślnie limit jest ustawiony na 5000 GB miesięcznie na konto magazynu. Po przekroczeniu tego progu skanowanie kończy się dla pozostałych obiektów blob z interwałem ufności 20 GB. Aby uzyskać szczegółowe informacje o konfiguracji, zobacz Konfigurowanie usługi Defender for Storage.

Ważne

Skanowanie złośliwego oprogramowania w usłudze Defender for Storage nie jest uwzględniane bezpłatnie w pierwszej 30-dniowej wersji próbnej i zostanie naliczone opłaty od pierwszego dnia zgodnie ze schematem cen dostępnym na stronie cennika Defender dla Chmury. Skanowanie w poszukiwaniu złośliwego oprogramowania spowoduje również naliczanie dodatkowych opłat za inne usługi platformy Azure — operacje odczytu usługi Azure Storage, indeksowanie obiektów blob usługi Azure Storage i powiadomienia usługi Azure Event Grid.

Włączanie na dużą skalę za pomocą szczegółowych kontrolek

Usługa Microsoft Defender for Storage umożliwia zabezpieczanie danych na dużą skalę przy użyciu szczegółowych kontrolek. Możesz zastosować spójne zasady zabezpieczeń na wszystkich kontach magazynu w ramach subskrypcji lub dostosować je dla określonych kont zgodnie z potrzebami biznesowymi. Możesz również kontrolować koszty, wybierając poziom ochrony potrzebny dla każdego zasobu. Aby rozpocząć pracę, odwiedź stronę włączanie usługi Defender for Storage.

Monitorowanie limitu skanowania złośliwego oprogramowania

Aby zapewnić nieprzerwaną ochronę podczas efektywnego zarządzania kosztami, istnieją dwa informacyjne alerty zabezpieczeń związane z użyciem limitu skanowania złośliwego oprogramowania. Pierwszy alert , jest wyzwalany, Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)ponieważ użycie zbliża się do 75% ustawionego miesięcznego limitu, oferując head-up, aby dostosować limit w razie potrzeby. Drugi alert, Malware scanning stopped: monthly gigabytes scan cap reached (Preview), powiadamia o osiągnięciu limitu i skanowanie jest wstrzymane przez miesiąc, co potencjalnie powoduje, że nowe przekazywanie nie jest skanowane. Oba alerty zawierają szczegółowe informacje na temat kont magazynu, których dotyczy problem, w celu ułatwienia monitowania i świadomego działania, dzięki czemu można zachować żądany poziom zabezpieczeń bez nieoczekiwanych wydatków.

Omówienie różnic między skanowaniem złośliwego oprogramowania a analizą reputacji skrótów

Usługa Defender for Storage oferuje dwie możliwości wykrywania złośliwej zawartości przekazanej na konta magazynu: skanowanie złośliwego oprogramowania i analiza reputacji skrótów.

Skanowanie złośliwego oprogramowania

Skanowanie w poszukiwaniu złośliwego oprogramowania używa Program antywirusowy Microsoft Defender (MDAV) do skanowania obiektów blob przekazanych do usługi Blob Storage, zapewniając kompleksową analizę obejmującą głębokie skanowanie plików i analizę reputacji skrótów. Ta funkcja zapewnia rozszerzony poziom wykrywania potencjalnych zagrożeń.

Skanowanie złośliwego oprogramowania to płatna funkcja dodatku dostępna tylko w nowym planie.

Analiza reputacji skrótów

Analiza reputacji skrótu wykrywa potencjalne złośliwe oprogramowanie w usłudze Blob Storage i usłudze Azure Files, porównując wartości skrótów nowo przekazanych obiektów blob i plików ze znanym złośliwym oprogramowaniem z usługi Microsoft Threat Intelligence. Nie wszystkie protokoły plików i typy operacji są obsługiwane dzięki tej funkcji, co prowadzi do niemonitorowania niektórych operacji pod kątem potencjalnych przekazywania złośliwego oprogramowania. Nieobsługiwane przypadki użycia obejmują udziały plików SMB, a po utworzeniu obiektu blob przy użyciu funkcji Put Block i Put blocklist. Analiza reputacji skrótów jest dostępna we wszystkich planach.

Podsumowując, skanowanie złośliwego oprogramowania dostępne wyłącznie w nowym planie usługi Blob Storage zapewnia bardziej kompleksowe podejście do wykrywania złośliwego oprogramowania. Pozwala to osiągnąć, analizując pełną zawartość plików i włączając analizę reputacji skrótów do metodologii skanowania.

Powiązana zawartość