你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender for Storage(经典版)概述

注意

升级到新的 Microsoft Defender for Storage 计划。 该计划涵盖了恶意软件扫描和敏感数据威胁检测等新功能。 该计划的定价结构也更具可预测性,以便更好地控制覆盖范围和成本。 此外,所有新的 Defender for Storage 功能将仅在新计划中发布。 迁移到新计划这一过程简单易行,请在此处阅读有关如何从经典计划迁移的信息。 如果使用按事务或按存储帐户定价的 Defender for Storage(经典版),则需要迁移到新的 Defender for Storage(经典版)计划才能访问这些功能和定价。 了解迁移到新的 Defender for Storage 计划的好处。

Microsoft Defender for Storage(经典版)是 Azure 原生安全智能层,用于检测试图访问或利用你的存储帐户的异常或可能有害的尝试。 它使用高级威胁检测功能和 Microsoft 威胁智能数据来提供上下文安全警报。 这些警报还包括用于缓解检测到的威胁并防止未来攻击的步骤。

可在订阅级别(推荐)或资源级别启用 Microsoft Defender for Storage(经典版)

Defender for Storage(经典版)会不断分析 Azure Blob 存储Azure 文件存储Azure Data Lake Storage 服务生成的数据流。 当检测到潜在的恶意活动时,将生成安全警报。 这些警报显示在 Microsoft Defender for Cloud 中。 任何可疑活动的详细信息以及相关的调查步骤、修正操作和安全建议都会显示在这里。

分析的 Azure Blob 存储的数据包括 Get BlobPut BlobGet Container ACLList BlobsGet Blob Properties 等操作类型。 分析的 Azure 文件存储操作类型的示例包括 Get FileCreate FileList FilesGet File PropertiesPut Range

Defender for Storage(经典)不会访问存储帐户数据,也不会影响其性能。

可观看 Defender for Cloud 的实际应用视频系列中的该视频了解详细信息:

有关 Defender for Storage(经典版)的更多说明,请参阅常见问题

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: Microsoft Defender for Storage(经典版)定价页上显示的内容计费
受保护的存储类型: Blob 存储(标准/高级存储 V2、块 Blob)
Azure 文件存储(REST API 和 SMB)
Azure Data Lake Storage Gen2(启用了分层命名空间的标准/高级帐户)
云: 商用云
Azure 政府
由世纪互联运营的 Microsoft Azure
连接的 AWS 帐户

Microsoft Defender for Storage(经典版)有哪些优点?

Defender for Storage(经典版)提供:

  • Azure 原生安全性 - 单击即可启用 Defender for Storage(经典版),它保护存储在 Azure Blob、Azure 文件存储和 Data Lakes 中的数据。 作为 Azure 原生服务,Defender for Storage(经典)可集中为 Azure 管理的所有数据资产提供安全性,并与 Microsoft Sentinel 等其他 Azure 安全服务集成。

  • 富检测套件 - Defender for Storage(经典版)中的检测功能由 Microsoft 威胁智能提供支持,可检测最常见的存储威胁,例如未经身份验证授权的访问、凭据泄露、社会工程攻击、数据外泄、权限滥用和恶意内容。

  • 大规模响应 - Defender for Cloud 的自动化工具使你可以更轻松地阻止和响应已识别的威胁。 有关详细信息,请参阅自动响应 Defender for Cloud 触发器

示意图显示 Microsoft Defender for Storage(经典版)功能的高级概述。

基于云的存储服务中的安全威胁

Microsoft 安全研究人员已分析存储服务的攻击面。 存储帐户可能会导致数据损坏、敏感内容泄露、恶意内容分发、数据外泄、未经授权的访问等。

基于云的存储服务的威胁矩阵中介绍了潜在安全风险,这些风险基于 MITRE ATT&CK® 框架(关于网络攻击中采用的战术和技术的知识库)。

示意图显示 Microsoft 的云存储安全威胁矩阵。

Microsoft Defender for Storage(经典版)提供哪种类型的警报?

以下情况将触发安全警报(通常在活动之后的 1-2 小时内触发):

威胁类型 说明
帐户的异常访问 例如,从 TOR 出口节点访问、可疑 IP 地址、异常应用程序、异常位置以及匿名访问(不进行身份验证)。
帐户中的异常行为 偏离习得基线的行为。 例如,帐户中访问权限的更改、异常访问检查、异常数据浏览、异常 blob/文件删除或异常数据提取。
基于哈希信誉的恶意软件检测 基于完整 blob/文件哈希检测已知的恶意软件。 这有助于检测勒索软件、病毒、间谍软件和其他已上传到帐户的恶意软件,防止其进入组织,并扩散到更多用户和资源。 另请参阅哈希信誉分析的限制
异常的文件上传 已上传到帐户的异常云服务包和可执行文件。
公共可见性 通过扫描容器并从可公开访问的容器中拉取可能的敏感数据来尝试潜在的中断。
网络钓鱼活动 当 Azure 存储上承载的内容被标识为会影响 Microsoft 365 用户的网络钓鱼攻击的一部分。

提示

有关所有 Defender for Storage(经典版)警报的完整列表,请参阅警报参考页面。 必须查看先决条件,因为某些安全警报只能在新的 Defender for Storage 计划下访问。 参考页中的信息有助于工作负载所有者了解可检测的威胁,并使安全运营中心 (SOC) 团队在进行调查之前熟悉检测。 如需详细了解 Defender for Cloud 安全警报内容以及如何管理警报,请参阅在 Microsoft Defender for Cloud 中管理和响应安全警报

警报包含触发警报的事件的详细信息,并提供有关如何调查和消除威胁的建议。 警报可导出到 Microsoft Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。 请参阅将警报流式传输到 SIEM、SOAR 或 IT 经典部署模型解决方案以了解更多。

哈希信誉分析的限制

提示

如果希望对上传的 Blob 进行准实时恶意软件扫描,则建议升级到新的 Defender for Storage 计划。 详细了解恶意软件扫描

  • 哈希信誉不是深度文件检测 - Microsoft Defender for Storage(经典版)使用由 Microsoft 威胁智能提供支持的哈希信誉分析来确定上传的文件是否可疑。 威胁防护工具不扫描已上传的文件;相反,它们会分析从 Blob 存储和文件存储服务生成的数据。 然后,Defender for Storage(经典版)会将新上传的文件的哈希与已知病毒、特洛伊木马程序、间谍软件和勒索软件的哈希进行比较。

  • 所有文件协议和操作类型均不支持哈希信誉分析–某些(非全部)数据日志包含相关 blob 或文件的哈希值。 在某些情况下,数据不包含哈希值。 因此,无法监视某些操作是否有已知的恶意软件上传。 此类不受支持的用例包括 SMB 文件共享和使用 Put BlockPut Block List 创建的 blob。

后续步骤

本文介绍了 Microsoft Defender for Storage(经典版)。