Entender o Microsoft Defender para Armazenamento

  • 4 minutos

O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar suas contas de armazenamento. Ele utiliza funcionalidades avançadas da IA de segurança e Inteligência contra Ameaças da Microsoft para fornecer recomendações e alertas de segurança contextuais.

Os alertas de segurança são acionados quando ocorrem anomalias na atividade. Esses Alertas de segurança são integrados ao Defender para Nuvem e enviados por email para administradores de assinatura com detalhes da atividade suspeitas e recomendações sobre como investigar e corrigir as ameaças.

Quais são os benefícios do Microsoft Defender para Armazenamento?

O Microsoft Defender para Armazenamento oferece:

  • Segurança nativa do Azure: com a ativação de um clique, o Defender para Armazenamento protege os dados armazenados no Azure Blob, Arquivos do Azure e Data Lakes. Como um serviço nativo do Azure, o Defender para Armazenamento fornece segurança centralizada em todos os ativos de dados gerenciados pelo Azure e é integrado a outros serviços de segurança, como o Microsoft Sentinel.

  • Pacote de detecção avançada – Da plataforma de inteligência contra ameaças da Microsoft, as detecções no Defender para Armazenamento abrangem as principais ameaças de armazenamento, como acesso anônimo, credenciais comprometidas, engenharia social, abuso de privilégio e conteúdo mal-intencionado.

  • Resposta em escala – As ferramentas de automação do Defender para Nuvem facilitam a prevenção e a resposta a ameaças identificadas. Saiba mais em Automatizar respostas aos gatilhos do Defender para Nuvem.

Screenshot of Microsoft Defender for Storage threat response.

Quais tipos de alertas o Microsoft Defender para Armazenamento envia?

Os alertas de segurança são disparados quando há:

  • Padrões de acesso suspeitos – como acesso bem-sucedido de um nó de saída do Tor ou de um IP considerado suspeito pela Inteligência contra Ameaças da Microsoft

  • Atividades suspeitas – como extração de dados anormais ou alteração incomum de permissões de acesso

  • Upload de conteúdo mal-intencionado: como possíveis arquivos de malware (com base na análise de reputação de hash) ou hospedagem de conteúdo de phishing

Um alerta inclui detalhes sobre o incidente que o disparou e recomendações sobre como investigar e corrigir as ameaças. Os alertas podem ser exportados para o Azure Sentinel ou qualquer outro SIEM de terceiros ou qualquer outra ferramenta externa.

O que é a análise de reputação de hash para malware?

Para determinar se um arquivo carregado é suspeito, o Defender para Armazenamento usa a análise de reputação de hash com suporte do Microsoft Threat Intelligence. As ferramentas de proteção contra ameaças não examinam os arquivos carregados. Em vez disso, analisam os logs de armazenamento e comparam os hashes dos arquivos recém-carregados com os hashes de vírus conhecidos, cavalos de troia, spywares e ransomwares.

Quando se suspeita que um arquivo contém malware, a Central de Segurança exibe um alerta e pode, opcionalmente, enviar um email ao proprietário do armazenamento solicitando a aprovação para excluir o arquivo suspeito. Para configurar essa remoção automática de arquivos que contêm malware, como indicado pela análise de reputação de hash, implante uma automação de fluxo de trabalho para disparar alertas que contenham "Possível upload de malware em uma conta de armazenamento".