了解适用于存储的 Microsoft Defender
用于存储的 Microsoft Defender 是 Azure 原生安全智能层,用于检测试图访问或利用你的存储帐户的异常或可能有害的企图。 它利用安全 AI 的高级功能和 Microsoft 威胁智能提供上下文安全警报和建议。
当活动出现异常时,会触发安全警报。 安全警报与 Defender for Cloud 集成,通过电子邮件发送给订阅管理员,其中包含可疑活动的详细信息以及有关如何调查和修正威胁的建议。
适用于存储的 Microsoft Defender 有哪些优点?
适用于存储的 Microsoft Defender 提供:
Azure 原生安全性 - 通过一键启用,适用于存储的 Defender 可保护存储在 Azure Blob、Azure 文件存储和数据湖中的数据。 适用于存储的 Defender 属于 Azure 原生服务,它为 Azure 管理的所有数据资产提供集中的安全性,并与 Microsoft Sentinel 等其他安全服务集成。
富检测套件 - 适用于存储的 Defender 中的检测功能由 Microsoft 威胁情报提供支持,可检测最常见的存储威胁风险,例如匿名访问、泄露凭据、社会工程、权限滥用和恶意内容。
大规模响应 - Defender for Cloud 的自动化工具使你可以更轻松地阻止和响应已识别的威胁。 有关详细信息,请参阅自动响应 Defender for Cloud 触发器。
用于存储的 Microsoft Defender 提供哪种类型的警报?
当存在以下情况时,会触发安全警报:
可疑访问模式 - 例如,从 Tor 出口节点或从 Microsoft 威胁智能视为可疑的 IP 成功访问
可疑活动 - 例如异常数据提取或访问权限的异常更改
上传恶意内容 - 例如潜在的恶意软件(基于哈希信誉分析)或托管钓鱼内容
警报包含触发警报的事件的详细信息,并提供有关如何调查和消除威胁的建议。 警报可导出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。
什么是针对恶意软件的哈希信誉分析?
为了确定上传的文件是否可疑,适用于存储的 Defender 使用 Microsoft 威胁情报支持的哈希信誉分析。 威胁防护工具不扫描上传的文件。 这些工具检查存储日志,并将新上传的文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。
当怀疑某个文件包含恶意软件时,安全中心会显示一个警报,并且可以选择向存储所有者发送电子邮件,请求其批准删除该可疑文件。 若要设置自动删除包含哈希信誉分析指示为恶意软件的文件,请部署工作流自动化,以便在出现包含“可能有恶意软件上传到存储帐户”信息的警报时触发操作。