Обзор Microsoft Defender для службы хранилища
Microsoft Defender для хранилища — это собственный уровень аналитики безопасности Azure, позволяющий обнаруживать необычные и потенциально опасные попытки доступа к вашим учетным записям хранения или их использования. Он использует расширенные возможности средств обеспечения безопасности на основе ИИ и Microsoft Threat Intelligence для предоставления контекстных оповещений и рекомендаций системы безопасности.
Оповещения системы безопасности активируются при возникновении аномальных действий. Оповещения безопасности интегрируются с Defender для облака и отправляются по электронной почте администраторам подписки. Они содержат сведения о подозрительных действиях и рекомендации по определению причины угроз и их устранению.
Каковы преимущества Microsoft Defender для хранилища?
Microsoft Defender для хранилища предоставляет следующие возможности:
Безопасность в Azure. Defender для Службы хранилища включается одним щелчком и защищает данные, хранящиеся в Хранилище BLOB-объектов Azure, Файлах Azure и Data Lake. Defender для Службы хранилища — нативная служба Azure. Решение обеспечивает централизованную безопасность всех ресурсов данных, управляемых Azure, и интегрируется с другими службами безопасности, такими как Microsoft Sentinel.
Расширенный набор средств обнаружения. Обнаружения в Defender для службы хранилища на платформе Microsoft Threat Intelligence охватывают основные угрозы для хранилища, такие как анонимный доступ, скомпрометированные учетные данные, социотехнику, злоупотребление привилегиями и вредоносное содержимое.
Масштабное реагирование. Инструменты автоматизации Defender для облака упрощают предотвращение выявленных угроз и реагирование на них. Дополнительные сведения см. в статье Автоматизация реагирования на триггеры Defender для облака.
Какие типы оповещений предоставляет Microsoft Defender для хранилища?
Оповещения системы безопасности активируются, если возникают такие события:
Подозрительные шаблоны доступа — например, успешный доступ с выходного узла Tor или с IP-адреса, который Microsoft Threat Intelligence считает подозрительным.
Подозрительные действия — например, аномальное извлечение данных или необычное изменение разрешений.
Отправка вредоносного содержимого — например, файлы потенциально вредоносных программ (определяемых на основе анализа репутации хэша) или размещение фишингового содержимого.
Оповещения содержат сведения об инциденте, который привел к их активации, а также рекомендации по определению причины угроз и их устранению. Оповещения можно экспортировать в Azure Sentinel, сторонние средства SIEM или любые другие внешние средства.
Что такое анализ репутации хэша для вредоносных программ?
Чтобы определить, является ли отправленный файл подозрительным, Defender для Службы хранилища выполняет анализ репутации хэша, поддерживаемый аналитикой угроз от Майкрософт. Средства защиты от угроз не проверяют отправленные файлы. Они анализируют журналы хранилища и сравнивают хэши недавно отправленных файлов с хэшами файлов известных вирусов, троянов, шпионских программ и программ-шантажистов.
Если файл предположительно содержит вредоносные программы, Центр безопасности отобразит оповещение и при необходимости отправит владельцу хранилища сообщение электронной почты для подтверждения удаления подозрительного файла. Чтобы настроить это автоматическое удаление файлов, в которых при анализе репутации хэша обнаруживаются вредоносные программы, автоматизируйте рабочий процесс, активируемый при появлении оповещений «Potential malware uploaded to a storage account» (Потенциально вредоносная программа отправлена в учетную запись хранения).