Förstå Microsoft Defender för Storage

  • 4 minuter

Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina lagringskonton. Den använder de avancerade funktionerna i säkerhets-AI och Microsoft Threat Intelligence för att tillhandahålla kontextuella säkerhetsaviseringar och rekommendationer.

Säkerhetsaviseringar utlöses när avvikelser i en aktivitet inträffar. Säkerhetsaviseringar är integrerade med Defender för molnet och skickas via e-post till prenumerationsadministratörer med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot.

Vilka är fördelarna med Microsoft Defender för Storage?

Microsoft Defender för Storage tillhandahåller:

  • Azure-inbyggd säkerhet – Med aktivering med ett klick skyddar Defender for Storage data som lagras i Azure Blob, Azure Files och Data Lakes. Som en Azure-intern tjänst tillhandahåller Defender for Storage centraliserad säkerhet för alla datatillgångar som hanteras av Azure och är integrerad med andra säkerhetstjänster som Microsoft Sentinel.

  • Omfattande identifieringspaket – Med Microsoft Threat Intelligence som stöd täcker identifieringarna i Defender for Storage de främsta lagringshoten, till exempel anonym åtkomst, komprometterade autentiseringsuppgifter, social teknik, privilegier och skadligt innehåll.

  • Svar i stor skala – Defender för molnet automatiseringsverktyg gör det enklare att förhindra och svara på identifierade hot. Läs mer i Automatisera svar på Defender för molnet utlösare.

Screenshot of Microsoft Defender for Storage threat response.

Vilken typ av aviseringar tillhandahåller Microsoft Defender för Lagring?

Säkerhetsaviseringar utlöses när det finns:

  • Misstänkta åtkomstmönster – till exempel lyckad åtkomst från en Tor-utgångsnod eller från en IP-adress som anses misstänkt av Microsoft Threat Intelligence

  • Misstänkta aktiviteter – till exempel avvikande dataextrahering eller ovanlig ändring av åtkomstbehörigheter

  • Uppladdningar av skadligt innehåll – till exempel filer med potentiell skadlig kod (baserat på hash-ryktesanalys) eller värd för nätfiskeinnehåll

Aviseringar innehåller information om incidenten som utlöste dem och rekommendationer om hur du undersöker och åtgärdar hot. Aviseringar kan exporteras till Azure Sentinel eller andra SIEM från tredje part eller något annat externt verktyg.

Vad är hash-ryktesanalys för skadlig kod?

För att avgöra om en uppladdad fil är misstänkt använder Defender for Storage hash-ryktesanalys som stöds av Microsoft Threat Intelligence. Hotskyddsverktygen söker inte igenom de uppladdade filerna. Snarare undersöker de lagringsloggarna och jämför hashar av nyligen uppladdade filer med hashar av kända virus, trojaner, spionprogram och utpressningstrojaner.

När en fil misstänks innehålla skadlig kod visar Security Center en avisering och kan eventuellt skicka ett e-postmeddelande till lagringsägaren för godkännande för att ta bort den misstänkta filen. Om du vill konfigurera den här automatiska borttagningen av filer som innehåller skadlig kod som anges av hash-ryktesanalysen distribuerar du en arbetsflödesautomatisering som utlöser aviseringar som innehåller "Potentiell skadlig kod som laddats upp till ett lagringskonto".