共用方式為


適用於儲存體的 Microsoft Defender (傳統) 概觀

注意

升級至新的適用於儲存體的 Microsoft Defender 方案。 其中包含惡意程式碼掃描和敏感性資料威脅偵測等新功能。 此方案也提供更可預測的定價結構,以便更準確地控制涵蓋範圍和成本。 此外,所有新版適用於儲存體的 Defender 功能只會在新方案中發佈。 移轉至新方案是一個簡單的程序,請在這裡閱讀如何從傳統方案移轉。 如果您正在使用適用於儲存體的 Defender (傳統) 搭配每筆交易或個別儲存體帳戶價格,您就必須移轉至全新適用於儲存體的 Defender (傳統) 方案,才能存取這些功能和價格。 了解移轉至新的適用於儲存體的 Defender 方案的優點。

適用於儲存體的 Microsoft Defender (傳統) 是 Azure 原生的安全性智慧層級,用於偵測儲存體帳戶中異常且可能有害的存取意圖或攻擊。 其會使用進階威脅偵測功能和 Microsoft 威脅情報資料來提供內容相關的安全性警示。 這些警示也包含步驟來減輕偵測到的威脅,並防止未來的攻擊。

您可以在訂用帳戶層級 (建議) 或資源層級啟用適用於儲存體的 Microsoft Defender (傳統)

適用於儲存體的 Defender (傳統) 會持續分析 Azure Blob 儲存體Azure 檔案儲存體Azure Data Lake Storage 服務所產生的資料流。 偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Microsoft Defender 中。 這裡會提供可疑活動的任何詳細資料,以及相關的調查步驟、補救動作和安全性建議。

Azure Blob 儲存體分析的資料包含作業類型,例如 Get BlobPut BlobGet Container ACLList BlobsGet Blob Properties。 經分析的 Azure 檔案儲存體作業類型範例包括 Get FileCreate FileList FilesGet File PropertiesPut Range

適用於儲存體 Defender (傳統) 不會存取儲存體帳戶資料,而且不會影響其效能。

若要深入了解,請觀看「欄位中適用於雲端的 Defender」影片系列中的這部影片:

如需進一步釐清適用於儲存體的 Defender (傳統),請參閱常見問題集

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 適用於儲存體的 Microsoft Defender (傳統) 的計費方式如價格頁面所示
受保護的儲存體類型: Blob 儲存體 (標準/進階版 StorageV2、區塊 Blob)
Azure 檔案儲存體 (透過 REST API 和 SMB)
Azure Data Lake Storage Gen2 (已啟用階層命名空間的標準/進階版帳戶)
雲端: 商業雲端
Azure Government
由 21Vianet 營運的 Microsoft Azure
已連線的 AWS 帳戶

適用於儲存體的 Microsoft Defender (傳統) 有哪些優點?

適用於儲存體的 Defender (傳統) 提供:

  • Azure 原生安全性 - 運用單鍵啟用功能,適用於儲存體的 Defender (傳統) 即可保護儲存在 Azure Blob、Azure 檔案儲存體和 Data Lake 中的資料。 作為 Azure 原生服務,適用於儲存體的 Defender (傳統) 可在 Azure 管理的所有資料資產上提供集中式的安全性,並與其他 Azure 安全性服務 (例如 Microsoft Sentinel) 整合。

  • 豐富的偵測套件 - 由 Microsoft 威脅情報提供技術支援,適用於儲存體的 Defender (傳統) 中的偵測會涵蓋最重要的儲存體威脅,例如未驗證的存取、認證盜用、社交工程攻擊、資料外流、權限濫用和惡意內容。

  • 大規模回應 - 適用於雲端的 Defender 的自動化工具可讓您更輕鬆地預防及回應已發現的威脅。 若要深入了解,請參閱對適用於雲端的 Defender 觸發程序的自動回應

此圖顯示適用於儲存體的 Microsoft Defender (傳統版) 功能的高階概觀。

雲端式儲存體服務中的安全性威脅

Microsoft 安全性研究人員分析了儲存體服務的受攻擊面。 儲存體帳戶可能會面臨資料損毀、敏感性內容曝光、惡意內容發佈、資料外流、未經授權的存取等各種問題。

雲端式儲存體服務的威脅矩陣中會描述潛在的安全性風險,並以 MITRE ATT&CK® 架構為基礎,其為用於網路攻擊之策略和技術的知識庫。

顯示 Microsoft 雲端儲存體安全性威脅的威脅矩陣的圖表。

適用於儲存體的 Microsoft Defender (傳統) 提供何種警示?

下列案例會觸發安全性警示 (通常在事件發生後 1-2 小時):

威脅的類型 描述
異常存取帳戶 例如,存取自 TOR 結束節點、可疑的 IP 位址、不尋常的應用程式、不尋常的位置,以及未經驗證的匿名存取。
帳戶中的異常行為 偏離所學習基準的行為。 例如,帳戶中的存取權限變更、異常的存取檢查、異常的資料探索、異常刪除 Blob/檔案,或異常的資料擷取。
雜湊信譽型惡意程式碼偵測 基於完整 Blob/檔案雜湊偵測已知的惡意程式碼。 其有助於偵測上傳至帳戶的勒索軟體、病毒、間諜軟體和其他惡意程式碼、防止其進入組織,以及散佈給更多使用者和資源。 另請參閱雜湊信譽分析的限制
異常檔案上傳 已上傳至帳戶的異常雲端服務套件和可執行檔。
公用可視性 透過掃描容器並從可公開存取的容器提取潛在敏感性資料,進行潛在的入侵嘗試。
網路釣魚活動 當 Azure 儲存體上裝載的內容被識別為影響 Microsoft 365 使用者的網路釣魚攻擊之一時。

提示

如需所有適用於儲存體的 Defender (傳統) 警示完整清單,請參閱警示參考頁面。 請務必檢閱必要條件,因為某些安全性警示只能在新的適用於儲存體的 Defender 方案下存取。 參考頁面中的資訊對於尋求了解可偵測的威脅,並讓安全性作業中心 (SOC) 小組在進行調查之前熟悉偵測的工作負載擁有者很有幫助。 深入了解適用於雲端的 Defender安全性警示中的內容,以及如何在管理及回應適用於雲端的 Microsoft Defender 中的安全性警示中管理警示。

警示中包含事件觸發的詳細資料,以及關於如何調查和補救威脅的建議。 警示可以匯出至 Microsoft Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。 在將警示串流至 SIEM、SOAR 或 IT 傳統部署模型解決方案中深入了解。

雜湊信譽分析的限制

提示

如果您想要以近乎即時的方式掃描已上傳的 Blob 來掃描惡意程式碼,建議您升級至新的適用於儲存體的 Defender 方案。 深入了解惡意程式碼掃描

  • 雜湊信譽不是深入的檔案檢查 - 適用於儲存體的 Microsoft Defender (傳統) 會使用 Microsoft 威脅情報支援的雜湊信譽分析,來判斷上傳的檔案是否可疑。 威脅保護工具不會掃描上傳的檔案;而是分析從 Blob 儲存體和檔案服務產生的資料。 然後,適用於儲存體的 Defender (傳統) 會比較新上傳檔案的雜湊與已知病毒、特洛伊木馬程式、間諜軟體和勒索軟體的雜湊。

  • 所有檔案通訊協定和作業類型都不支援雜湊信譽分析 - 部分 (但並非所有) 資料記錄包含相關 Blob 或檔案的雜湊值。 在某些情況下,資料不包含雜湊值。 因此,在某些作業中無法監視已知的惡意程式碼上傳。 這類不支援的使用案例範例包括 SMB 檔案共用,以及使用放置區塊放置區塊清單建立 Blob 時。

下一步

在本文中,您已了解適用於儲存體的 Microsoft Defender (傳統)。