Vad är Microsoft Defender för Storage?
Microsoft Defender för molnet ger dig ett Azure-inbyggt lager av säkerhetsinformation som hittar potentiella hot mot dina lagringskonton med Defender for Storage-planen.
Defender for Storage hjälper till att förhindra skadliga filuppladdningar, exfiltrering av känsliga data och skadade data, vilket säkerställer säkerheten och integriteten för dina data och arbetsbelastningar.
Defender for Storage ger omfattande säkerhet genom att analysera telemetrin för dataplanet och kontrollplanet som genereras av Azure Blob Storage, Azure Files och Azure Data Lake Storage-tjänster . Den använder avancerade funktioner för hotidentifiering som drivs av Microsoft Threat Intelligence, Microsoft Defender Antivirus och Känslig dataidentifiering för att hjälpa dig att identifiera och minimera potentiella hot.
Defender för Storage innehåller:
Aktivitetsövervakning – Identifiera ovanliga och potentiellt skadliga aktiviteter som involverar dina lagringskonton genom att analysera åtkomstmönster och beteenden. Detta kan vara värdefullt för att identifiera obehörig åtkomst, dataexfiltreringsförsök och andra säkerhetshot.
Identifiering av känsligt datahot – Identifiera och skydda känsliga data i dina lagringskonton genom att identifiera misstänkta aktiviteter som kan tyda på ett potentiellt säkerhetshot. Defender för Storage förbättrar säkerheten för känslig information som lagras i Azure genom att övervaka åtgärder som ovanliga dataåtkomstmönster eller potentiell dataexfiltrering.
Genomsökning av skadlig kod – Sök igenom dina lagringskonton efter skadlig kod genom att analysera filer efter kända hot och misstänkt innehåll. Detta hjälper dig att identifiera och minimera potentiella säkerhetsrisker från skadliga filer som kan lagras eller laddas upp till dina Azure-lagringskonton. Därför förbättrar det den övergripande säkerhetsstatusen för din datalagring.
Kom igång
Du kan aktivera Defender för lagring utan agent på prenumerationsnivå, resursnivåer eller i stor skala.
När du aktiverar Defender för lagring på prenumerationsnivå inkluderas och skyddas alla befintliga och nyligen skapade lagringskonton under den prenumerationen automatiskt. Du kan också exkludera specifika lagringskonton från skyddade prenumerationer.
Kommentar
Om du har aktiverat Defender for Storage (klassisk) och vill ha åtkomst till de aktuella säkerhetsfunktionerna och prissättningen måste du migrera till den nya prisplanen.
Förmåner
Defender för Storage innehåller följande funktioner:
Bättre skydd mot skadlig kod: Genomsökning av skadlig kod genomsöker och identifierar nästan i realtid alla filtyper, inklusive arkiv för varje uppladdad blob. Det ger snabba och tillförlitliga resultat som hjälper dig att förhindra att dina lagringskonton fungerar som en start- och distributionsplats för hot. Läs mer om skanning av skadlig kod.
Förbättrad hotidentifiering och skydd av känsliga data: Funktionen för identifiering av känsligt datahot hjälper säkerhetspersonal att prioritera och undersöka säkerhetsaviseringar effektivt. Den tar hänsyn till känsligheten hos de data som är i riskzonen, vilket leder till bättre identifiering och skydd mot potentiella hot. Den här funktionen minskar risken för dataintrång genom att snabbt identifiera och åtgärda de mest betydande riskerna. Det förbättrar också känsligt dataskydd genom att identifiera exponeringshändelser och misstänkta aktiviteter på resurser som innehåller känsliga data. Läs mer om identifiering av känsligt datahot.
Identifiering av entiteter utan identiteter: Defender for Storage identifierar misstänkta aktiviteter från entiteter utan identiteter som kommer åt dina data med felkonfigurerade och alltför tillåtande signaturer för delad åtkomst (SAS-token). Dessa token kan läcka ut eller komprometteras. Du kan sedan förbättra säkerheten och minska risken för obehörig åtkomst. Den här funktionen är en utökning av sviten aktivitetsövervakningssäkerhetsaviseringar.
Täckning av de främsta molnlagringshoten: Defender for Storage drivs av Microsoft Threat Intelligence, beteendemodeller och maskininlärningsmodeller för att identifiera ovanliga och misstänkta aktiviteter. Säkerhetsaviseringar för Defender för lagring omfattar de främsta molnlagringshoten, till exempel exfiltrering av känsliga data, skadade data och skadliga filuppladdningar.
Omfattande säkerhet utan att aktivera loggar: När du aktiverar Microsoft Defender för lagring analyseras kontinuerligt både data- och kontrolltelemetriströmmen från Azure Blob Storage, Azure Files och Azure Data Lake Storage-tjänster. Du behöver inte aktivera diagnostikloggar för den här analysen.
Friktionsfri aktivering i stor skala: Microsoft Defender för Storage är en agentlös lösning som är enkel att distribuera och möjliggör säkerhetsskydd i stor skala med hjälp av en inbyggd Azure-lösning.
Hur fungerar Defender för Storage?
Aktivitetsövervakning
Defender for Storage analyserar kontinuerligt data- och kontrollplansloggar från skyddade lagringskonton när de är aktiverade. Du behöver inte aktivera resursloggar för säkerhetsfördelar. Använd Microsoft Threat Intelligence för att identifiera misstänkta signaturer som skadliga IP-adresser, Tor-utgångsnoder och potentiellt farliga appar. Den bygger också datamodeller och använder statistiska metoder och maskininlärningsmetoder för att upptäcka avvikelser i baslinjeaktiviteten, vilket kan tyda på skadligt beteende. Du får säkerhetsaviseringar för misstänkta aktiviteter, men Defender för Lagring ser till att du inte får för många liknande aviseringar. Aktivitetsövervakning påverkar inte prestanda, inmatningskapacitet eller åtkomst till dina data.
Skanning av skadlig kod (drivs av Microsoft Defender Antivirus)
Genomsökning av skadlig kod i Defender for Storage hjälper till att skydda lagringskonton från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid och använda Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskrav för att hantera obetrott innehåll. Varje filtyp genomsöks och genomsökningsresultat returneras för varje fil. Funktionen för skanning av skadlig kod är en agentlös SaaS-lösning som möjliggör enkel installation i stor skala, utan underhåll och har stöd för att automatisera svar i stor skala. Det här är en konfigurerbar funktion i den nya Defender for Storage-planen som prissätts per GB genomsökt. Läs mer om skanning av skadlig kod.
Identifiering av känsligt datahot (drivs av identifiering av känsliga data)
Funktionen för identifiering av känsligt datahot hjälper säkerhetsteamen att prioritera och undersöka säkerhetsaviseringar effektivt. Den tar hänsyn till känsligheten hos de data som är i riskzonen, vilket leder till bättre identifiering och hjälper till att förhindra dataintrång. Identifiering av känsligt datahot drivs av motorn för identifiering av känsliga data , en agentlös motor som använder en smart samplingsmetod för att hitta resurser med känsliga data. Tjänsten är integrerad med Microsoft Purviews typer av känslig information (SIT) och klassificeringsetiketter, vilket möjliggör sömlöst arv av organisationens känslighetsinställningar.
Det här är en konfigurerbar funktion i den nya Defender for Storage-planen. Du kan välja att aktivera eller inaktivera det utan någon annan kostnad. Mer information finns i Identifiering av känsligt datahot.
Pris- och kostnadskontroller
Priser per lagringskonto
Den nya Microsoft Defender for Storage-planen har förutsägbara priser baserat på antalet lagringskonton som du skyddar. Med alternativet att aktivera på prenumerations- eller resursnivå och exkludera specifika lagringskonton från skyddade prenumerationer har du ökad flexibilitet för att hantera din säkerhetstäckning. Prisplanen förenklar kostnadsberäkningsprocessen så att du enkelt kan skala när dina behov ändras. Andra avgifter kan tillkomma för lagringskonton med transaktioner med stora volymer.
Genomsökning av skadlig kod – fakturering per GB, månatlig begränsning och konfiguration
Genomsökning av skadlig kod debiteras per gigabyte för genomsökt data. För att säkerställa kostnadsförutsägbarhet kan ett månatligt tak fastställas för varje lagringskontos genomsökta datavolym per månad. Det här taket kan anges i hela prenumerationen, vilket påverkar alla lagringskonton i prenumerationen eller tillämpas på enskilda lagringskonton. Under skyddade prenumerationer kan du konfigurera specifika lagringskonton med olika gränser.
Som standard är gränsen inställd på 5 000 GB per månad per lagringskonto. När det här tröskelvärdet har överskridits upphör genomsökningen för de återstående blobarna med ett konfidensintervall på 20 GB. Konfigurationsinformation finns i konfigurera Defender för lagring.
Viktigt!
Genomsökning av skadlig kod i Defender for Storage ingår inte kostnadsfritt under den första 30-dagars utvärderingsversionen och debiteras från och med den första dagen i enlighet med det prisschema som är tillgängligt på sidan med Defender för molnet prissättning. Genomsökning av skadlig kod medför också ytterligare avgifter för andra Azure-tjänster – Läsåtgärder för Azure Storage, Azure Storage-blobindexering och Azure Event Grid-meddelanden.
Aktivering i stor skala med detaljerade kontroller
Med Microsoft Defender för Storage kan du skydda dina data i stor skala med detaljerade kontroller. Du kan tillämpa konsekventa säkerhetsprinciper för alla dina lagringskonton i en prenumeration eller anpassa dem för specifika konton som passar dina affärsbehov. Du kan också styra dina kostnader genom att välja den skyddsnivå som du behöver för varje resurs. Kom igång genom att gå till Aktivera Defender för lagring.
Övervaka skanningstaket för skadlig kod
För att säkerställa oavbrutet skydd samtidigt som kostnaderna hanteras effektivt finns det två informationssäkerhetsaviseringar relaterade till användning av gräns för skadlig kodgenomsökning. Den första aviseringen, Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview), utlöses när din användning närmar sig 75 % av det angivna månatliga taket, vilket ger en heads-up för att justera ditt tak om det behövs. Den andra aviseringen, Malware scanning stopped: monthly gigabytes scan cap reached (Preview), meddelar dig när taket nås och genomsökningen pausas för månaden, vilket kan leda till att nya uppladdningar inte genomsöks. Båda aviseringarna kommer med information om berörda lagringskonton för att underlätta snabba och informerade åtgärder, vilket säkerställer att du kan upprätthålla önskad säkerhetsnivå utan oväntade utgifter.
Förstå skillnaderna mellan skanning av skadlig kod och hash-ryktesanalys
Defender for Storage erbjuder två funktioner för att identifiera skadligt innehåll som laddats upp till lagringskonton: Genomsökning av skadlig kod och hash-ryktesanalys.
Genomsökning av skadlig kod
Genomsökning av skadlig kod använder Microsoft Defender Antivirus (MDAV) för att skanna blobar som laddats upp till Blob Storage, vilket ger en omfattande analys som innehåller djupgående filgenomsökningar och hash-ryktesanalys. Den här funktionen ger en förbättrad identifieringsnivå mot potentiella hot.
Genomsökning av skadlig kod är en betald tilläggsfunktion som endast är tillgänglig i den nya planen.
Hash-ryktesanalys
Hash-ryktesanalys identifierar potentiell skadlig kod i Blob Storage och Azure Files genom att jämföra hash-värdena för nyligen uppladdade blobar och filer med de som är kända för skadlig kod från Microsoft Threat Intelligence. Alla filprotokoll och åtgärdstyper stöds inte med den här funktionen, vilket leder till att vissa åtgärder inte övervakas för potentiella uppladdningar av skadlig kod. Användningsfall som inte stöds inkluderar SMB-filresurser och när en blob skapas med hjälp av Put Block och Put blocklist. Hash-ryktesanalys finns i alla planer.
Sammanfattningsvis ger skanning av skadlig kod, som är exklusivt tillgänglig för den nya planen för Blob Storage, en mer omfattande metod för identifiering av skadlig kod. Det uppnår detta genom att analysera det fullständiga innehållet i filer och införliva hash-ryktesanalys i sin genomsökningsmetod.
Relaterat innehåll
- Aktivera Defender för lagring
- Kolla in vanliga frågor om Defender för Lagring.