你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是 Microsoft Defender for Storage?
Microsoft Defender for Cloud 提供 Azure 原生安全智能层,可使用 Defender for Storage 计划发现对存储帐户的潜在威胁。
Defender for Storage 可帮助防止恶意文件上传、敏感数据外泄和数据损坏,确保数据和工作负载的安全性和完整性。
Defender for Storage 通过分析 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 服务生成的数据平面和控制平面遥测数据,提供全面的安全性。 它利用由 Microsoft 威胁情报、Microsoft Defender 防病毒和敏感数据发现提供支持的高级威胁检测功能来帮助你发现和减轻潜在威胁。
Defender for Storage 包括:
活动监视 - 通过分析访问模式和行为来检测涉及存储帐户的异常和潜在有害活动。 这对于识别未经授权的访问、数据外泄尝试和其他安全威胁非常有用。
敏感数据威胁检测 - 通过检测可能指示潜在安全威胁的可疑活动来识别和保护存储帐户中的敏感数据。 Defender for Storage 通过监视异常数据访问模式或潜在数据外泄等操作,来增强存储在 Azure 中的敏感信息的安全性。
恶意软件扫描 - 通过分析文件中是否存在已知威胁和可疑内容来扫描存储帐户中是否存在恶意软件。 这有助于识别和缓解可能存储或上传到 Azure 存储帐户的恶意文件带来的潜在安全风险, 从而增强数据存储的整体安全状况。
开始使用
可以在订阅级别、资源级别或大规模无代理地启用 Defender for Storage。
在订阅级别启用 Defender for Storage 后,该订阅下的全部现有和新创建的存储帐户都会被自动包含在内并受到保护。 另外,也可以从受保护的订阅中排除特定的存储帐户。
注意
如果启用了 Defender for Storage(经典版),但想要访问当前安全功能和定价,则需要迁移到新的定价计划。
优点
Defender for Storage 提供以下功能:
更有效的恶意软件防护:恶意软件扫描可对所有文件类型进行准实时扫描和检测,包括每个上传的 blob 中的所有存档。 它提供快速且可靠的结果,帮助你防止存储帐户成为威胁的入口和分发点。 详细了解恶意软件扫描。
改进的威胁检测和敏感数据保护:敏感数据威胁检测功能可帮助安全专业人员有效地确定安全警报的优先级并检查安全警报。 它考虑了面临风险的数据的敏感性,从而更好地检测并防范潜在威胁。 此功能通过快速识别和解决最重大的风险来降低数据泄露的可能性。 它还通过检测包含敏感数据的资源上的风险事件和可疑活动来改进敏感数据保护。 详细了解敏感数据威胁检测。
检测无标识的实体:Defender for Storage 可以检测由没有标识的实体生成的可疑活动,这些实体使用配置错误且过于宽松的共享访问签名(SAS 令牌)来访问你的数据。 这些令牌可能已外泄或被攻击者利用。 你可以通过此方式提高安全性,减少未经授权访问的风险。 此功能是活动监视安全警报套件的扩展功能。
覆盖最常见的云存储空间威胁:Defender for Storage 由 Microsoft 威胁情报、行为模型和机器学习模型提供支持,用于检测异常和可疑活动。 Defender for Storage 安全警报覆盖最常见的云存储空间威胁,例如敏感数据外泄、数据损坏和恶意文件上传。
无需启用日志的全面安全性:启用 Microsoft Defender for Storage 后,它将持续分析 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 服务生成的数据和控制遥测数据流。 你无需为此分析启用诊断日志。
大规模地顺畅启用:Microsoft Defender for Storage 是易于部署的无代理解决方案,可使用本机 Azure 解决方案实现大规模的安全保护。
Defender for Storage 的工作原理是什么?
活动监视
启用 Defender for Storage 后,会持续分析受保护存储帐户中的数据和控制平面日志。 无需启用资源日志就能确保安全性。 使用 Microsoft 威胁情报识别可疑签名,例如恶意 IP 地址、Tor 退出节点和潜在危险应用。 它还能生成数据模型,并使用统计和机器学习方法来发现可能指示恶意行为的基线活动异常情况。 你会收到一些可疑活动的安全警报,但 Defender for Storage 可确保这样的警报不会太多。 活动监视功能不会影响性能、引入容量或数据访问。
由 Microsoft Defender 防病毒功能提供支持的恶意软件扫描
Defender for Storage 中的恶意软件扫描应用 Microsoft Defender 防病毒功能,对上传的内容近乎实时地进行全面的恶意软件扫描,从而帮助保护存储帐户免受恶意内容的攻击。 它旨在满足在处理不受信任内容时的安全和合规要求。 每种文件类型都将扫描,每个文件的扫描结果都将返回。 恶意软件扫描功能是一种无代理 SaaS 解决方案,允许大规模简单设置,无需维护,并支持大规模自动响应。 这是新 Defender for Storage 计划中可配置的功能,按扫描的 GB 定价。 详细了解恶意软件扫描。
敏感数据威胁检测(“敏感数据发现”提供支持)
“敏感数据威胁检测”功能帮助安全团队高效地优先处理和分析安全警报。 它考虑了面临风险的数据的敏感性,从而更好地检测并帮助防止数据泄露。 “敏感数据威胁检测”由敏感数据发现引擎提供支持,该引擎是一种使用智能采样方法来查找包含敏感数据的资源的无代理引擎。 该服务与 Microsoft Purview 的敏感信息类型 (SIT) 和分类标签集成,允许无缝继承组织的敏感度设置。
这是新 Defender for Storage 计划中的可配置功能。 可以选择启用或禁用此功能,没有其他费用。 有关更多详细信息,请访问敏感数据威胁检测。
定价和成本控制
按存储帐户定价
新 Microsoft Defender for Storage 计划根据所保护的存储帐户数提供可预测的定价。 由于可以在订阅或资源级别启用,以及可以从受保护的订阅中排除特定的存储账户,因此能够更加灵活地管理安全覆盖范围。 定价计划简化了成本计算过程,因而能够随需求变化轻松调整。 * 事务量大的存储帐户可能会产生其他费用。
恶意软件扫描 - 按 GB 计费、每月上限和配置
恶意软件扫描按千兆字节对扫描的数据收费。 为了确保成本可预测性,可以针对每个存储帐户的扫描数据量设立每月的上限,按月计算。 此上限设置可以覆盖整个订阅范围,影响订阅中的所有存储帐户,也可以应用于单个存储帐户。 在受保护的订阅下,可以配置具有不同限制的特定存储帐户。
默认情况下,每个存储帐户的限制设置为每月 5,000 GB。 超过此阈值后,将停止扫描剩余 Blob,置信区间为 20 GB。 有关配置详细信息,请参阅配置 Defender for Storage。
重要
Defender for Storage 中的恶意软件扫描功能在前 30 天试用期内不免费,将从第一天起根据 Defender for Cloud 定价页面上提供的定价方案收费。 恶意软件扫描还会对其他 Azure 服务产生额外的费用 - Azure 存储读取操作、Azure 存储 Blob 索引和 Azure 事件网格通知。
通过精细控件大规模启用
Microsoft Defender for Storage 可通过精细控件大规模保护数据。 可以在订阅内的所有存储帐户应用一致的安全策略,或者为特定帐户自定义安全策略,从而满足业务需求。 还可以通过选择每个资源所需的保护级别来控制成本。 如需了解如何使用该服务,请访问启用 Defender for Storage。
监视恶意软件扫描上限
为了在有效管理成本的同时确保不间断的保护,有两个与恶意软件扫描上限使用情况相关的信息性安全警报。 第一个警报(Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview))将在使用率接近所设每月上限的 75% 时触发,并且会在需要时预先提醒你调整上限。 第二个警报(Malware scanning stopped: monthly gigabytes scan cap reached (Preview))将在当月达到上限且扫描暂停(这可能会导致无法扫描新上传的内容)时通知你。 这两个警报都附带了受影响存储帐户的详细信息,以支持及时采取明智的行动,确保你能够在没有意外开支的情况下保持所需的安全级别。
了解恶意软件扫描和哈希信誉分析之间的差异
Defender for Storage 提供两项功能来检测上传到存储帐户的恶意内容:恶意软件扫描和哈希信誉分析。
恶意软件扫描
恶意软件扫描使用 Microsoft Defender 防病毒 (MDAV) 来扫描上传到 Blob 存储的 Blob,从而提供包括深度文件扫描和哈希信誉分析在内的综合分析。 此功能提供针对潜在威胁的增强检测级别。
恶意软件扫描是付费加载项功能,仅在新计划中可用。
哈希信誉分析
哈希信誉分析通过比较新上传的 blob/文件的哈希值与 Microsoft 威胁情报的已知恶意软件来检测 Blob 存储和 Azure 文件存储中的潜在恶意软件。 此功能并不支持所有文件协议和操作类型,所以无法监视某些操作中潜在的恶意软件上传。 不受支持的用例包括 SMB 文件共享和使用 Put Block 和 Put 阻止列表创建的 Blob。 哈希信誉分析适用于所有计划。
总之,恶意软件扫描仅适用于 Blob 存储的新计划,可提供更全面的恶意软件检测方法。 它通过分析文件的完整内容并将哈希信誉分析纳入其扫描方法来实现此目的。
相关内容
- 启用 Defender for Storage
- 查看有关 Defender for Storage 的常见问题。