Что такое Microsoft Defender для хранилища?

Microsoft Defender для облака предоставляет собственный уровень аналитики безопасности Azure, который находит потенциальные угрозы для учетных записей хранения с помощью плана хранилища Defender для хранения.

Defender для хранилища помогает предотвратить отправку вредоносных файлов, кражу конфиденциальных данных и повреждение данных, обеспечивая безопасность и целостность данных и рабочих нагрузок.

Defender для хранилища обеспечивает комплексную безопасность путем анализа телеметрии плоскости данных и плоскости управления, созданных службами Хранилище BLOB-объектов Azure, Файлы Azure и Azure Data Lake Storage. Она использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence, антивирусная программа в Microsoft Defender и обнаружение конфиденциальных данных, чтобы помочь вам обнаружить и устранить потенциальные угрозы.

Defender для хранилища включает:

• Мониторинг действий. Обнаружение необычных и потенциально опасных действий, связанных с учетными записями хранения, путем анализа шаблонов доступа и поведения. Это может быть полезно для выявления несанкционированного доступа, попыток кражи данных и других угроз безопасности.

• Обнаружение угроз конфиденциальных данных. Определение и защита конфиденциальных данных в учетных записях хранения путем обнаружения подозрительных действий, которые могут указывать на потенциальную угрозу безопасности. Defender для хранилища повышает безопасность конфиденциальных данных, хранящихся в Azure, путем мониторинга действий, таких как необычные шаблоны доступа к данным или потенциальные кражи данных.

• Сканирование вредоносных программ. Сканирование учетных записей хранения для вредоносных программ путем анализа файлов известных угроз и подозрительного содержимого. Это помогает выявлять и уменьшать потенциальные риски безопасности от вредоносных файлов, которые могут храниться или отправляться в учетные записи хранения Azure. В результате это повышает общую безопасность хранилища данных.

Начало работы

Вы можете включить Defender для хранилища без агента на уровне подписки, уровнях ресурсов или в масштабе.

При включении Defender для хранилища на уровне подписки все существующие и вновь созданные учетные записи хранения в этой подписке автоматически включены и защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок.

Примечание.

Если у вас включена функция Defender для хранения (классическая версия) и требуется доступ к текущим функциям безопасности и ценам, вам потребуется перейти к новому ценовому плану.

Льготы

Defender для хранилища предоставляет следующие функции:

• Улучшена защита от вредоносных программ: сканирование вредоносных программ и обнаружение практически в режиме реального времени всех типов файлов, включая архивы каждого загруженного большого двоичного объекта. Он обеспечивает быстрые и надежные результаты, помогая предотвратить использование учетных записей хранения в качестве точки входа и распространения угроз. Дополнительные сведения о сканировании вредоносных программ.

• Улучшено обнаружение угроз и защита конфиденциальных данных: возможность обнаружения угроз конфиденциальной информации помогает специалистам по безопасности определять приоритеты и эффективно проверять оповещения системы безопасности. Он рассматривает конфиденциальность данных, подверженных риску, что приводит к более эффективному обнаружению и защите от потенциальных угроз. Эта возможность снижает вероятность нарушений данных, быстро определяя и устраняя наиболее значительные риски. Он также улучшает защиту конфиденциальных данных, обнаруживая события воздействия и подозрительные действия в ресурсах, содержащих конфиденциальные данные. Дополнительные сведения об обнаружении угроз конфиденциальных данных.

• Обнаружение сущностей без удостоверений: Defender для хранилища обнаруживает подозрительные действия от сущностей без удостоверений, которые обращаются к данным с использованием неправильно настроенных и чрезмерно недопустимых подписанных URL-адресов (маркеры SAS). Эти маркеры могут быть утечкой или скомпрометированы. Затем можно улучшить безопасность и снизить риск несанкционированного доступа. Эта возможность является расширением набора оповещений системы безопасности мониторинга активности.

• Охват основных угроз облачного хранилища: Defender для хранилища работает с помощью Microsoft Threat Intelligence, моделей поведения и моделей машинного обучения для обнаружения необычных и подозрительных действий. Оповещения системы безопасности Defender для хранилища охватывают основные угрозы облачного хранилища, такие как утечка конфиденциальных данных, повреждение данных и отправка вредоносных файлов.

• Комплексная безопасность без включения журналов. При включении Microsoft Defender для хранилища она постоянно анализирует поток данных и управляет потоком телеметрии из Хранилище BLOB-объектов Azure, Файлы Azure и служб Azure Data Lake Storage. Для этого анализа не нужно включать журналы диагностики.

• Включение без трений в масштабе: Microsoft Defender для хранилища — это бессерверное решение, простое для развертывания и включение защиты безопасности в масштабе с помощью собственного решения Azure.

Как работает Defender для хранилища?

Мониторинг активности

Defender для хранилища постоянно анализирует журналы данных и плоскости управления из защищенных учетных записей хранения при включении. Нет необходимости включать журналы ресурсов для преимуществ безопасности. Используйте Microsoft Threat Intelligence для выявления подозрительных подписей, таких как вредоносные IP-адреса, узлы выхода tor и потенциально опасные приложения. Он также создает модели данных и использует статистические и методы машинного обучения для выявления аномалий базовых действий, которые могут указывать на вредоносное поведение. Вы получаете оповещения системы безопасности для подозрительных действий, но Defender для хранилища гарантирует, что вы не получаете слишком много похожих оповещений. Мониторинг действий не влияет на производительность, емкость приема или доступ к данным.

Сканирование вредоносных программ (на антивирусная программа в Microsoft Defender)

Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого путем полного сканирования вредоносных программ при передаче содержимого практически в режиме реального времени, применяя антивирусная программа в Microsoft Defender возможности. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Каждый тип файла сканируется, и результаты сканирования возвращаются для каждого файла. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе. Это настраиваемая функция в новом плане Защитника для хранилища, который по цене за отсканирован на ГБ. Дополнительные сведения о сканировании вредоносных программ.

Обнаружение угроз конфиденциальной данных (на языке обнаружения конфиденциальных данных)

Функция обнаружения угроз конфиденциальной данных помогает группам безопасности определять приоритеты и эффективно проверять оповещения системы безопасности. Он рассматривает конфиденциальность данных, подверженных риску, что приводит к лучшему обнаружению и помогает предотвратить нарушения данных. Обнаружение угроз конфиденциальной данных осуществляется с помощью обработчика обнаружения конфиденциальных данных, обработчика без агента, использующего интеллектуальный метод выборки для поиска ресурсов с конфиденциальными данными. Служба интегрирована с типами конфиденциальной информации (SIT) Microsoft Purview и метками классификации, что позволяет легко наследование параметров конфиденциальности вашей организации.

Это настраиваемая функция в новом плане Defender для хранилища. Вы можете включить или отключить его без других затрат. Дополнительные сведения см. в статье "Обнаружение угроз конфиденциальных данных".

Элементы управления ценами и затратами

Цены на учетную запись хранения

Новый план Microsoft Defender для хранилища имеет прогнозируемую цену на основе количества защищенных учетных записей хранения. Если вы можете включить на уровне подписки или ресурса и исключить определенные учетные записи хранения из защищенных подписок, у вас есть повышенная гибкость для управления покрытием безопасности. План ценообразования упрощает процесс вычисления затрат, что позволяет легко масштабироваться по мере изменения потребностей. Другие расходы могут применяться к учетным записям хранения с большим объемом транзакций.

Сканирование вредоносных программ — выставление счетов за ГБ, ежемесячное ограничение и настройка

Сканирование вредоносных программ взимается по гигабайтам на основе сканированных данных. Чтобы обеспечить прогнозируемость затрат, ежемесячное ограничение можно установить для отсканированного объема данных каждой учетной записи хранения в месяц. Это ограничение можно задать на уровне подписки, влияя на все учетные записи хранения в подписке или применяться к отдельным учетным записям хранения. В разделе защищенных подписок можно настроить определенные учетные записи хранения с различными ограничениями.

По умолчанию ограничение равно 5000 ГБ в месяц на учетную запись хранения. После превышения этого порогового значения проверка прекращается для оставшихся больших двоичных объектов с интервалом доверия в 20 ГБ. Дополнительные сведения о конфигурации см. в разделе "Настройка Defender для хранилища".

Внимание

Сканирование вредоносных программ в Defender для хранилища не включается бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице цен на Defender для облака. Сканирование вредоносных программ также будет взимать дополнительную плату за другие службы Azure— служба хранилища Azure операции чтения, служба хранилища Azure индексирование BLOB-объектов и уведомления Сетка событий Azure.

Включение в масштабе с помощью детализированных элементов управления

Microsoft Defender для хранилища позволяет защитить данные в масштабе с помощью детализированных элементов управления. Вы можете применять согласованные политики безопасности во всех учетных записях хранения в подписке или настраивать их для определенных учетных записей в соответствии с потребностями бизнеса. Вы также можете контролировать затраты, выбрав уровень защиты, необходимый для каждого ресурса. Чтобы приступить к работе, перейдите к включению Defender для хранилища.

Мониторинг ограничения сканирования вредоносных программ

Чтобы обеспечить непрерывную защиту при эффективном управлении затратами, существует два оповещения информационной безопасности, связанные с сканированием вредоносных программ. Первое оповещение Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)активируется, так как использование приближается к 75 % набора ежемесячной крышки, предлагая головку для настройки крышки при необходимости. Второе оповещение уведомляет Malware scanning stopped: monthly gigabytes scan cap reached (Preview)вас о достижении ограничения и сканировании в течение месяца, что потенциально оставляет новые отправки незасканированными. Оба оповещения содержат подробные сведения о затронутых учетных записях хранения для упрощения оперативного и информированного действия, обеспечивая поддержание требуемого уровня безопасности без непредвиденных расходов.

Общие сведения о различиях между сканированием вредоносных программ и анализом репутации хэша

Defender для хранилища предоставляет две возможности для обнаружения вредоносного содержимого, отправленного в учетные записи хранения: сканирование вредоносных программ и анализ репутации хэша.

Сканирование вредоносных программ

Сканирование вредоносных программ использует антивирусная программа в Microsoft Defender (MDAV) для сканирования больших двоичных объектов, отправленных в хранилище BLOB-объектов, предоставляя комплексный анализ, включающий глубокие проверки файлов и анализ репутации хэша. Эта функция обеспечивает расширенный уровень обнаружения потенциальных угроз.

Сканирование вредоносных программ — это платная функция надстройки, доступная только в новом плане.

Анализ репутации хэша

Анализ репутации хэша обнаруживает потенциальные вредоносные программы в хранилище BLOB-объектов и Файлы Azure путем сравнения хэш-значений недавно отправленных больших двоичных объектов и файлов с известными вредоносными программами из Microsoft Threat Intelligence. Не все протоколы файлов и типы операций поддерживаются с этой возможностью, что приводит к тому, что некоторые операции не отслеживаются для потенциальных отправки вредоносных программ. Неподдерживаемые варианты использования включают общие папки SMB и при создании большого двоичного объекта с помощью списка блокировок Put и Put. Анализ репутации хэша доступен во всех планах.

В итоге сканирование вредоносных программ, доступное исключительно в новом плане для хранилища BLOB-объектов, обеспечивает более комплексный подход к обнаружению вредоносных программ. Это достигается путем анализа полного содержимого файлов и включения анализа хэш-репутации в методологию сканирования.

Связанный контент

• Включение Defender для хранилища
• Ознакомьтесь с общими вопросами о Defender для хранилища.