Defender for Storage
Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对存储帐户的潜在威胁。
它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。
Microsoft Defender for Storage 通过分析 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 服务生成的数据平面和控制平面遥测数据,提供全面的安全性。 它利用由 Microsoft 威胁情报、Microsoft Defender 防病毒和敏感数据发现提供支持的高级威胁检测功能来帮助你发现和减轻潜在威胁。
Defender for Storage 包括以下功能:
- 活动监视
- 敏感数据威胁检测(预览功能,仅新计划)
- 恶意软件扫描 (仅限新计划)
使用入门
通过规模化的简单无代理设置,你可以在门户或以编程方式在订阅或资源级别启用 Defender for Storage。 启用订阅级别后,该订阅下的全部现有和新创建的存储帐户都将自动受到保护。 另外,也可以从受保护的订阅中排除特定的存储帐户。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 功能可用性: | - 活动监视(安全警报)- 正式发布 (GA) - 恶意软件扫描 - 正式发布 (GA) - 敏感数据威胁检测(敏感数据发现) - 预览版 |
| 定价: | Microsoft Defender for Storage 定价适用于商业云。 详细了解各个区域的定价和可用性。 |
支持的存储类型: |
Blob 存储(标准/高级 StorageV2,包括 Data Lake Gen2):活动监视、恶意软件扫描、敏感数据发现 Azure 文件存储(通过 REST API 和 SMB):活动监视 |
| 所需角色和权限: | 对于在订阅和存储帐户级别启用敏感数据威胁检测,需要具有“所有者”角色(订阅所有者/存储帐户所有者)或具有可以执行相应数据操作的特定角色。 若要启用活动监视,需要“安全管理员”权限。 详细了解所需权限。 |
| 云: |  商用云* Azure 政府(仅在经典计划中提供活动监视支持)由世纪互联运营的 Microsoft Azure 连接的 AWS 帐户 |
注意
Azure DNS 区域不支持恶意软件扫描和敏感数据威胁检测。
Microsoft Defender for Storage 有哪些优点?
Defender for Storage 提供以下优势:
- 更好地防范恶意软件:恶意软件扫描可近乎实时地扫描和检测所有文件类型,包括每个上传的 Blob 的存档,并提供快速可靠的结果,帮助防止存储帐户充当威胁的入口和分发点。 详细了解恶意软件扫描。
- 改进了敏感数据威胁检测和保护:敏感数据威胁检测功能使安全专业人员能够通过分析可能面临风险的数据的敏感性来有效地确定安全警报的优先级,从而更好地检测潜在威胁并提供保护。 此功能可以快速识别和解决最重要的风险并对包含敏感数据的资源检测泄露事件和可疑活动,从而降低数据泄露的可能性和增强敏感数据保护。 详细了解敏感数据威胁检测。
- 检测无标识的实体:Defender for Storage 可以检测由没有标识的实体生成的可疑活动,这些实体使用配置错误且过于宽松的共享访问签名(SAS 令牌)(可能已外泄或受损),以便改善安全机制,降低未经授权的访问风险。 此功能是活动监视安全警报套件的扩展功能。
- 覆盖最常见的云存储空间威胁:由 Microsoft 威胁情报、行为模型和机器学习模型提供支持,用于检测异常和可疑活动。 Defender for Storage 安全警报覆盖最常见的云存储空间威胁,例如敏感数据外泄、数据损坏和恶意文件上传。
- 无需启用日志的全面安全性:启用 Microsoft Defender for Storage 后,它将持续分析 Azure Blob 存储、Azure 文件存储和 Azure Data Lake Storage 生成的数据平面和控制平面遥测数据流,无需启用诊断日志的服务。
- 大规模地顺畅启用:Microsoft Defender for Storage 是易于部署的无代理解决方案,可使用本机 Azure 解决方案实现大规模的安全保护。
该服务如何工作?
活动监视
启用 Defender for Storage 后,会持续分析受保护存储帐户中的数据和控制平面日志。 无需启用资源日志就能确保安全性。 使用 Microsoft 威胁情报识别可疑签名,例如恶意 IP 地址、Tor 退出节点和潜在危险应用。 它还能生成数据模型,并使用统计和机器学习方法来发现可能指示恶意行为的基线活动异常情况。 你收到一些可疑活动的安全警报,但 Defender for Storage 可确保这样的警报不会太多。 活动监视功能不会影响性能、引入容量或数据访问。
由 Microsoft Defender 防病毒功能提供支持的恶意软件扫描
Defender for Storage 中的恶意软件扫描通过应用 Microsoft Defender 防病毒功能对上传的内容执行准实时完全恶意软件扫描,帮助保护存储帐户免受恶意内容的侵害。 它旨在满足在处理不受信任内容时的安全和合规要求。 每种文件类型都将扫描,每个文件的扫描结果都将返回。 恶意软件扫描功能是一种无代理 SaaS 解决方案,可以大规模地设置,设置过程简单,无需维护,并支持大规模自动响应。 这是新 Defender for Storage 计划中可配置的功能,按扫描的 GB 定价。
敏感数据威胁检测(“敏感数据发现”提供支持)
“敏感数据威胁检测”功能帮助安全团队通过分析可能面临风险的数据的敏感度,有效地确定安全警报的优先级和检查警报,从而更好地检测和防止数据泄露。 “敏感数据威胁检测”由“敏感数据发现”引擎提供支持,该引擎是一种使用智能采样方法来查找包含敏感数据的资源的无代理引擎。 该服务与 Microsoft Purview 的敏感信息类型(SIT)和分类标签集成,允许无缝继承组织的敏感度设置。
这是新 Defender for Storage 计划中的可配置功能。 可以选择启用或禁用此功能,没有其他费用。
定价和成本控制
按存储帐户定价
新 Microsoft Defender for Storage 计划根据所保护的存储帐户数提供可预测的定价。 由于可以在订阅或资源级别启用,以及可以从受保护的订阅中排除特定的存储账户,因此能够更加灵活地管理安全覆盖范围。 定价计划简化了成本计算过程,因而能够随需求变化轻松调整。 * 事务量大的存储帐户可能会产生其他费用。
恶意软件扫描 - 按 GB 计费,设置每月上限,配置灵活
恶意软件扫描按千兆字节对扫描的数据收费。 为了确保成本可预测性,可以针对每个存储帐户的扫描数据量设立每月的上限,按月计算。 此上限设置可以覆盖整个订阅范围,影响订阅中的所有存储帐户,也可以应用于单个存储帐户。 在受保护的订阅下,可以配置具有不同限制的特定存储帐户。
默认情况下,每个存储帐户的限制设置为每月 5,000 GB。 超过此阈值后,将停止扫描剩余 Blob,置信区间为 20 GB。
Defender for Storage 中的恶意软件扫描功能在前 30 天试用期内不免费,将从第一天起根据 Defender for Cloud 定价页面上提供的定价方案收费。 恶意软件扫描还会对其他 Azure 服务产生额外的费用 - Azure 存储读取操作、Azure 存储 Blob 索引和 Azure 事件网格通知。
通过精细控件大规模启用
Microsoft Defender for Storage 可通过精细控件大规模保护数据。 可以在订阅内的所有存储帐户应用一致的安全策略,或者为特定帐户自定义安全策略,从而满足业务需求。 还可以通过选择每个资源所需的保护级别来控制成本。
了解恶意软件扫描和哈希信誉分析之间的差异
Defender for Storage 提供两项功能来检测上传到存储帐户的恶意内容:恶意软件扫描(付费附加功能,仅在新计划中可用)和哈希信誉分析(在所有计划中可用)。
恶意软件扫描(付费附加功能,仅在新计划中可用)
恶意软件扫描使用 Microsoft Defender 防病毒 (MDAV) 来扫描上传到 Blob 存储的 Blob,从而提供包括深度文件扫描和哈希信誉分析在内的综合分析。 此功能提供针对潜在威胁的增强检测级别。
哈希信誉分析(适用于所有计划)
哈希信誉分析通过比较新上传的 blob/文件的哈希值与 Microsoft 威胁情报的已知恶意软件来检测 Blob 存储和 Azure 文件存储中的潜在恶意软件。 此功能并不支持所有文件协议和操作类型,所以无法监视某些操作中潜在的恶意软件上传。 不受支持的用例包括 SMB 文件共享和使用 Put Block 和 Put 阻止列表创建的 Blob。
总之,恶意软件扫描(仅在 Blob 存储的新计划中可用)通过分析文件的完整内容并在扫描方法中纳入哈希信誉分析,提供了一种更全面的恶意软件检测方法。