O que é o Microsoft Defender para Armazenamento?

O Microsoft Defender para Nuvem fornece uma camada de inteligência de segurança nativa do Azure que detecta possíveis ameaças às suas contas de armazenamento com o plano Defender para Armazenamento.

O Defender para Armazenamento ajuda a evitar uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados, garantindo a segurança e a integridade de seus dados e cargas de trabalho.

O Microsoft Defender para Armazenamento fornece uma segurança abrangente ao analisar o plano de dados e a telemetria do painel de controle gerada pelos serviços de Armazenamento de Blobs do Azure, Arquivos do Azure e Azure Data Lake Storage. Ele usa recursos avançados de detecção de ameaças da plataforma Inteligência contra Ameaças da Microsoft, Microsoft Defender Antivírus e Descoberta de Dados Confidenciais para ajudá-lo a descobrir e mitigar possíveis ameaças.

O Defender para Armazenamento inclui:

• Monitoramento de atividades: detecte atividades incomuns e possivelmente prejudiciais envolvendo suas contas de armazenamento analisando os padrões e comportamentos de acesso. Esse recurso pode ser valioso para identificar acessos não autorizados, tentativas de exfiltração de dados e outras ameaças à segurança.

• Detecção de ameaças de dados confidenciais – identifique e proteja dados confidenciais em suas contas de armazenamento detectando atividades suspeitas que podem indicar uma possível ameaça à segurança. O Defender para Armazenamento aprimora a segurança de suas informações confidenciais armazenadas no Azure monitorando ações como padrões incomuns de acesso a dados ou possíveis exfiltração de dados.

• Verificação de malware – examine as contas de armazenamento em busca de malware analisando arquivos para ameaças conhecidas e conteúdo suspeito. Isso ajuda a identificar e atenuar possíveis riscos de segurança de arquivos mal-intencionados que podem ser armazenados ou carregados em suas contas de armazenamento do Azure. Como resultado, ele aprimora a postura de segurança geral do armazenamento de dados.

Introdução

Você pode habilitar o Defender para Armazenamento sem agente no nível da assinatura, nos níveis de recursos ou em grande escala.

Quando você habilita o Defender para Armazenamento no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas nessa assinatura são automaticamente incluídas e protegidas. Você também pode excluir contas de armazenamento específicas de assinaturas protegidas.

Observação

Se já tiver o Defender para Armazenamento (clássico) habilitado e quiser conferir os preços e acessar os novos recursos de segurança, você precisará migrar para o novo plano de preços.

Benefícios

O Defender para Armazenamento fornece os seguintes recursos:

• Melhor proteção contra malware: verificação de malware e detecta quase em tempo real todos os tipos de arquivo, incluindo arquivos de cada blob carregado. Ele fornece resultados rápidos e confiáveis, ajudando você a impedir que suas contas de armazenamento agissem como um ponto de entrada e distribuição para ameaças. Saiba mais sobre a Verificação de malware.

• Detecção aprimorada de ameaças e proteção de dados confidenciais: a funcionalidade de detecção de ameaças a dados confidenciais ajuda os profissionais de segurança a priorizar e examinar alertas de segurança com eficiência. Ele considera a confidencialidade dos dados em risco, levando a uma melhor detecção e proteção contra possíveis ameaças. Essa funcionalidade reduz a chance de violações de dados identificando e resolvendo rapidamente os riscos mais significativos. Ele também melhora a proteção de dados confidenciais detectando eventos de exposição e atividades suspeitas em recursos que contêm dados confidenciais. Saiba mais sobre detecção de ameaças de dados confidenciais.

• Detecção de entidades sem identidades: o Defender para Armazenamento detecta atividades suspeitas de entidades sem identidades que acessam seus dados usando tokens SAS (Assinaturas de Acesso Compartilhado) configuradas incorretamente e excessivamente permissivas. Esses tokens podem ser vazados ou comprometidos. Em seguida, você pode melhorar a segurança e reduzir o risco de acesso não autorizado. Essa funcionalidade é uma expansão do conjunto de alertas de segurança do Monitoramento de Atividades.

• Cobertura das principais ameaças de armazenamento em nuvem: o Defender para Armazenamento é alimentado pela Inteligência contra Ameaças da Microsoft, modelos comportamentais e modelos de machine learning para detectar atividades incomuns e suspeitas. Os alertas de segurança do Defender para armazenamento abrangem as principais ameaças ao armazenamento em nuvem, como exfiltração de dados confidenciais, corrupção de dados e uploads de arquivos mal-intencionados.

• Segurança abrangente sem habilitar logs: quando você habilita o Microsoft Defender para Armazenamento, ele analisa continuamente os dados e controla o fluxo de telemetria do Armazenamento de Blobs do Azure, dos Arquivos do Azure e dos serviços do Azure Data Lake Storage. Você não precisa habilitar logs de diagnóstico para essa análise.

• Habilitação sem restrições em escala: o Microsoft Defender para Armazenamento é uma solução sem agente, fácil de implantar e permite a proteção de segurança em escala usando uma solução nativa do Azure.

Como funciona o Defender para Armazenamento?

Monitorando de atividades

O Defender para Armazenamento analisa continuamente os dados e os logs do painel de controle de contas de armazenamento protegidas quando habilitados. Não é necessário ativar os logs de recursos para obter benefícios de segurança. Utilize a Inteligência contra Ameaças da Microsoft para identificar assinaturas suspeitas, como endereços IP maliciosos, nós de saída do Tor e aplicativos potencialmente perigosos. Ela também cria modelos de dados e usa métodos estatísticos e de aprendizado de máquina para detectar anomalias de atividade de linha de base, o que pode indicar comportamento mal-intencionado. Você recebe alertas de segurança para atividades suspeitas, mas o Defender para Armazenamento garante que você não receba muitos alertas semelhantes. O monitoramento de atividades não afeta o desempenho, a capacidade de ingestão ou o acesso aos seus dados.

Verificação de malware (alimentada pelo Microsoft Defender Antivírus)

A verificação de malware no Defender para Armazenamento ajuda a proteger as contas de armazenamento contra conteúdo mal-intencionado executando uma verificação completa de malware no conteúdo carregado quase em tempo real, aplicando recursos do Microsoft Defender Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. Cada tipo de arquivo é verificado e os resultados da verificação são retornados para cada arquivo. A funcionalidade de verificação de malware é uma solução SaaS sem agente que permite uma configuração simples em escala, sem manutenção e dá suporte à automatização da resposta em escala. Esse é um recurso configurável no novo plano do Defender para Armazenamento cujo preço é calculado por GB verificado. Saiba mais sobre a Verificação de malware.

Detecção de ameaças de dados confidenciais (da plataforma Descoberta de Dados Confidenciais)

O recurso de detecção de ameaças a dados confidenciais ajuda as equipes de segurança a priorizar e examinar alertas de segurança com eficiência. Ele considera a confidencialidade dos dados em risco, o que leva a uma melhor detecção e ajuda a evitar violações de dados. A detecção de ameaças de dados confidenciais é alimentada pelo mecanismo de Descoberta de Dados Confidenciais, um mecanismo sem agente que usa um método de amostragem inteligente para encontrar recursos com dados confidenciais. O serviço é integrado aos SITs (tipos de informações confidenciais) e aos rótulos de classificação do Microsoft Purview, permitindo a herança perfeita das configurações de confidencialidade da sua organização.

Esse é um recurso configurável no novo plano do Defender para Armazenamento. Você pode optar por habilitá-lo ou desabilitá-lo sem nenhum outro custo. Para obter mais detalhes, visite Detecção de ameaças de dados confidenciais.

Preços e controles de custo

Preços da conta de armazenamento

O novo plano do Microsoft Defender para Armazenamento tem preços previsíveis com base no número de contas de armazenamento que você protege. Com a opção de habilitar no nível da assinatura ou do recurso e excluir contas de armazenamento específicas de assinaturas protegidas, você tem maior flexibilidade para gerenciar sua cobertura de segurança. O plano de preços simplifica o processo de cálculo de custo, permitindo que você dimensione facilmente conforme suas necessidades mudam. Outros preços podem ser aplicados a contas de armazenamento com transações de alto volume.

Verificação de malware – cobrança por GB, limite mensal e configuração

A verificação de malware é cobrada por gigabyte para dados verificados. Para garantir a previsibilidade de custos, um limite mensal pode ser estabelecido para o volume de dados verificado de cada conta de armazenamento, por mês. Esse limite pode ser definido em toda a assinatura, afetando todas as contas de armazenamento da assinatura ou aplicado a contas de armazenamento individuais. Em assinaturas protegidas, você pode configurar contas de armazenamento específicas com limites diferentes.

Por padrão, o limite é definido como 5.000 GB por mês por conta de armazenamento. Depois que esse limite for excedido, a verificação cessará para os blobs restantes, com um intervalo de confiança de 20 GB. Para obter detalhes de configuração, confira configurar o Defender para Armazenamento.

Importante

A verificação de malware no Defender para Armazenamento não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada desde o primeiro dia de acordo com os preços disponível na página de preços do Defender para Nuvem. A verificação de malware também incorrerá em cobranças adicionais por outros serviços do Azure - operações de leitura do Armazenamento do Azure, indexação de blob do Armazenamento do Azure e notificações da Grade de Eventos do Azure.

Habilitação em escala com controles granulares

O Microsoft Defender para Armazenamento permite proteger seus dados em escala com controles granulares. Você pode aplicar políticas de segurança consistentes em todas as suas contas de armazenamento em uma assinatura ou personalizá-las para contas específicas para atender às suas necessidades de negócios. Você também pode controlar seus custos escolhendo o nível de proteção necessário para cada recurso. Para começar, visite habilitar o Defender para Armazenamento.

Monitorar o limite da verificação de malware

Para garantir a proteção constante ao gerenciar efetivamente os custos, há dois alertas de segurança informativos relacionados ao uso do limite de verificação de malware. O primeiro alerta, Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview), é disparado à medida que seu uso se aproxima de 75% do limite mensal definido, oferecendo um aviso para ajustar o limite, se necessário. O segundo alerta, Malware scanning stopped: monthly gigabytes scan cap reached (Preview), notifica você quando o limite é atingido e a verificação é pausada para o mês, potencialmente deixando novos uploads não verificados. Ambos os alertas vêm com detalhes sobre contas de armazenamento afetadas para facilitar a ação rápida e informada, garantindo que você mantenha o nível de segurança desejado sem despesas inesperadas.

Noções básicas sobre as diferenças entre a verificação de malware e a análise de reputação de hash

O Defender para Armazenamento oferece dois recursos para detectar conteúdo mal-intencionado carregado em contas de armazenamento: verificação de malware e análise de reputação de hash.

Verificação de Malware

A verificação de malware usa o Microsoft Defender Antivírus (MDAV) para verificar os blobs carregados no Armazenamento de Blobs, fornecendo uma análise abrangente que inclui verificações de arquivos profundas e análise de reputação de hash. Esse recurso fornece um nível aprimorado de detecção contra possíveis ameaças.

A verificação de malware é um recurso de complemento pago disponível apenas no novo plano.

Análise de reputação de hash

A análise de reputação de hash detecta possíveis malwares no Armazenamento de Blobs e nos Arquivos do Azure comparando os valores de hash de blobs e arquivos recém-carregados com os de malware conhecido da Inteligência contra Ameaças da Microsoft. Nem todos os protocolos de arquivo e tipos de operação são compatíveis com essa funcionalidade, o que resulta em algumas operações não sendo monitoradas para uploads com possibilidade de ser malware. Os casos de uso sem suporte incluem compartilhamentos de arquivos SMB e quando um blob é criado utilizando Colocar Bloqueio e Colocar Lista de Bloqueados. A análise de reputação de hash está disponível em todos os planos.

Em resumo, a verificação de malware, disponível exclusivamente no novo plano para armazenamento de Blobs, fornece uma abordagem mais abrangente para a detecção de malware. Ele consegue isso analisando todo o conteúdo dos arquivos e incorporando a análise de reputação de hash em sua metodologia de verificação.

Conteúdo relacionado

• Habilitar o Defender para Armazenamento
• Confira as perguntas comuns sobre o Defender para Armazenamento.