Defender для хранилища

  • 3 мин

Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения.
Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных.

Microsoft Defender для хранилища обеспечивает комплексную безопасность путем анализа телеметрии плоскости данных и плоскости управления, созданной Хранилище BLOB-объектов Azure, Файлы Azure и служб Azure Data Lake Storage. Она использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence, антивирусная программа в Microsoft Defender и обнаружение конфиденциальных данных, чтобы помочь вам обнаружить и устранить потенциальные угрозы.

Defender для хранилища включает:

  • Мониторинг активности
  • Обнаружение угроз конфиденциальной данных (предварительная версия, только новый план)
  • Сканирование вредоносных программ (только для нового плана)

Схема, показывающая, как Microsoft Defender для хранилища обеспечивает комплексную безопасность, анализируя плоскость данных и плоскость управления.

Начало работы

С помощью простой настройки без агента в масштабе можно включить Defender для хранилища на уровне подписки или ресурсов на портале или программно. При включении на уровне подписки все существующие и вновь созданные учетные записи хранения в этой подписке будут автоматически защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Доступность компонентов: — Мониторинг активности (оповещения системы безопасности) — общедоступная версия (GA)
— Сканирование вредоносных программ — общедоступная версия (GA)
— обнаружение угроз конфиденциальной данных (обнаружение конфиденциальных данных) — предварительная версия
Цены. Цены на Microsoft Defender для хранилища применяются к коммерческим облакам. Дополнительные сведения о ценах и доступности для каждого региона.


Поддерживаемые типы хранилища:		 Хранилище BLOB-объектов (standard/хранилище класса Premium V2, включая Data Lake 2-го поколения): мониторинг активности, сканирование вредоносных программ, обнаружение конфиденциальных данных
Файлы Azure (по REST API и SMB): мониторинг активности
Требуемые роли и разрешения Для обнаружения угроз сканирования вредоносных программ и конфиденциальных данных на уровнях подписки и учетных записей хранения требуются роли владельца (владелец подписки или владелец учетной записи хранения) или определенные роли с соответствующими действиями данных. Чтобы включить мониторинг действий, вам потребуется разрешение "Администратор безопасности". Дополнительные сведения о необходимых разрешениях.
Облако. Значок Коммерческие облака*
Значок No.Azure для государственных организаций (поддержка мониторинга действий только в классическом плане)
Значок No. Microsoft Azure, управляемый 21Vianet
Значок No. подключенные учетные записи AWS.

Примечание.

Зона AZURE DNS не поддерживается для обнаружения угроз для сканирования вредоносных программ и обнаружения конфиденциальных данных.

Каковы преимущества Microsoft Defender для хранилища?

Схема, показывающая преимущества облачной защиты Microsoft Defender для хранилища.

Defender для хранилища предоставляет следующие возможности:

  • Улучшенная защита от вредоносных программ: сканирование вредоносных программ и обнаружение в практически реальном времени всех типов файлов, включая архивы каждого загруженного большого двоичного объекта, и обеспечивает быстрые и надежные результаты, помогая предотвратить использование учетных записей хранения в качестве точки входа и распространения угроз. Дополнительные сведения о проверке вредоносных программ.
  • Улучшено обнаружение угроз и защита конфиденциальных данных: возможность обнаружения угроз конфиденциальной информации позволяет специалистам по безопасности эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к улучшению обнаружения и защиты от потенциальных угроз. Быстро идентифицируя и устраняя наиболее значительные риски, эта возможность снижает вероятность нарушений данных и повышает защиту конфиденциальных данных путем обнаружения событий воздействия и подозрительных действий на ресурсах, содержащих конфиденциальные данные. Дополнительные сведения об обнаружении угроз конфиденциальных данных.
  • Обнаружение сущностей без удостоверений: Defender для хранилища обнаруживает подозрительные действия, созданные сущностями без удостоверений, которые обращаются к данным с использованием неправильно настроенных и чрезмерно разрешенных подписанных URL-адресов (маркеров SAS), которые могут быть утечкой или скомпрометированы, чтобы повысить гигиену безопасности и снизить риск несанкционированного доступа. Эта возможность является расширением набора оповещений системы безопасности мониторинга активности.
  • Охват основных угроз облачного хранилища: Powered microsoft Threat Intelligence, поведенческих моделей и моделей машинного обучения для обнаружения необычных и подозрительных действий. Оповещения системы безопасности Defender для хранилища охватывают основные угрозы облачного хранилища, такие как утечка конфиденциальных данных, повреждение данных и отправка вредоносных файлов.
  • Комплексная безопасность без включения журналов: если включена служба Microsoft Defender для хранилища, она постоянно анализирует поток телеметрии плоскости данных и плоскости управления, создаваемый Хранилище BLOB-объектов Azure, Файлы Azure и службами Azure Data Lake Storage без необходимости включения журналов диагностики.
  • Включение без трений в масштабе: Microsoft Defender для хранилища — это бессерверное решение, простое для развертывания и включение защиты безопасности в масштабе с помощью собственного решения Azure.

Как работает служба?

Мониторинг активности

Defender для хранилища постоянно анализирует журналы данных и плоскости управления из защищенных учетных записей хранения при включении. Нет необходимости включать журналы ресурсов для преимуществ безопасности. Используйте Microsoft Threat Intelligence для выявления подозрительных подписей, таких как вредоносные IP-адреса, узлы выхода tor и потенциально опасные приложения. Он также создает модели данных и использует статистические и методы машинного обучения для выявления аномалий базовых действий, которые могут указывать на вредоносное поведение. Вы получаете оповещения системы безопасности для подозрительных действий, но Defender для хранилища гарантирует, что вы не получите слишком много похожих оповещений. Мониторинг активности не влияет на производительность, емкость приема или доступ к данным.

Схема, показывающая, как работает мониторинг действий Defender для хранения.

Сканирование вредоносных программ (на антивирусная программа в Microsoft Defender)

Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ на загруженном содержимом в режиме реального времени, применяя антивирусная программа в Microsoft Defender возможности. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Каждый тип файла сканируется, и результаты сканирования возвращаются для каждого файла. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе. Это настраиваемая функция в новом плане Защитника для хранилища, который по цене за отсканирован на ГБ.

Обнаружение угроз конфиденциальной данных (на языке обнаружения конфиденциальных данных)

Возможность "обнаружения угроз конфиденциальных данных" позволяет группам безопасности эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к улучшению обнаружения и предотвращения нарушений данных. "Обнаружение угроз конфиденциальных данных" работает с помощью обработчика "Обнаружение конфиденциальных данных", обработчик без агента, использующий интеллектуальный метод выборки для поиска ресурсов с конфиденциальными данными. Служба интегрирована с типами конфиденциальной информации (SIT) Microsoft Purview и метками классификации, что позволяет легко наследование параметров конфиденциальности вашей организации.

Это настраиваемая функция в новом плане Defender для хранилища. Вы можете включить или отключить его без других затрат.

Элементы управления ценами и затратами

Цены на учетную запись хранения

Новый план Microsoft Defender для хранилища имеет прогнозируемую цену на основе количества защищенных учетных записей хранения. Если вы можете включить на уровне подписки или ресурса и исключить определенные учетные записи хранения из защищенных подписок, у вас есть повышенная гибкость для управления покрытием безопасности. План ценообразования упрощает процесс вычисления затрат, что позволяет легко масштабироваться по мере изменения потребностей. Другие расходы могут применяться к учетным записям хранения с большим объемом транзакций.

Сканирование вредоносных программ — выставление счетов за ГБ, ежемесячное ограничение и настройка

Сканирование вредоносных программ взимается по гигабайтам на основе сканированных данных. Чтобы обеспечить прогнозируемость затрат, ежемесячное ограничение можно установить для отсканированного объема данных каждой учетной записи хранения в месяц. Это ограничение можно задать на уровне подписки, влияя на все учетные записи хранения в подписке или применяться к отдельным учетным записям хранения. В разделе защищенных подписок можно настроить определенные учетные записи хранения с различными ограничениями.

По умолчанию ограничение равно 5000 ГБ в месяц на учетную запись хранения. После превышения этого порогового значения проверка прекратится для оставшихся больших двоичных объектов с интервалом доверия в 20 ГБ.

Сканирование вредоносных программ в Defender для хранилища не включается бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице цен на Defender для облака. Сканирование вредоносных программ также будет взимать дополнительную плату за другие службы Azure— служба хранилища Azure операции чтения, служба хранилища Azure индексирование BLOB-объектов и уведомления Сетка событий Azure.

Включение в масштабе с помощью детализированных элементов управления

Microsoft Defender для хранилища позволяет защитить данные в масштабе с помощью детализированных элементов управления. Вы можете применять согласованные политики безопасности во всех учетных записях хранения в подписке или настраивать их для определенных учетных записей в соответствии с потребностями бизнеса. Вы также можете контролировать затраты, выбрав уровень защиты, необходимый для каждого ресурса.

Общие сведения о различиях между сканированием вредоносных программ и анализом хэш-репутации

Defender для хранилища предоставляет две возможности для обнаружения вредоносного содержимого, отправленного в учетные записи хранения: сканирование вредоносных программ (платная функция надстройки доступна только в новом плане) и анализ репутации хэша (доступный во всех планах).

Сканирование вредоносных программ (платная функция надстройки доступна только в новом плане)

Сканирование вредоносных программ использует антивирусная программа в Microsoft Defender (MDAV) для сканирования больших двоичных объектов, отправленных в хранилище BLOB-объектов, предоставляя комплексный анализ, включающий глубокие проверки файлов и анализ репутации хэша. Эта функция обеспечивает расширенный уровень обнаружения потенциальных угроз.

Анализ репутации хэша (доступен во всех планах)

Анализ репутации хэша обнаруживает потенциальные вредоносные программы в хранилище BLOB-объектов и Файлы Azure путем сравнения хэш-значений недавно отправленных больших двоичных объектов и файлов с известными вредоносными программами Microsoft Threat Intelligence. Не все протоколы файлов и типы операций поддерживаются с этой возможностью, что приводит к тому, что некоторые операции не отслеживаются для потенциальных отправки вредоносных программ. Неподдерживаемые варианты использования включают общие папки SMB и при создании большого двоичного объекта с помощью списка блокировок Put и Put.

В итоге сканирование вредоносных программ, которое доступно только в новом плане для хранилища BLOB-объектов, предлагает более комплексный подход к обнаружению вредоносных программ, анализируя полное содержимое файлов и включив анализ репутации хэша в методологии сканирования.