了解適用於儲存體的 Microsoft Defender
適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,可偵測欲存取或惡意探索儲存體帳戶的異常且可能有害的嘗試。 其會利用安全性 AI 和 Microsoft 威脅情報進階功能來提供內容相關的安全性警示和建議。
活動中發生異常時,會觸發安全性警示。 安全性警示會與適用於雲端的 Defender 整合,並會透過電子郵件,將可疑活動的詳細資料以及如何調查和修復威脅的建議傳送給訂用帳戶管理員。
適用於儲存體的 Microsoft Defender 有哪些優點?
適用於儲存體的 Microsoft Defender 提供:
Azure 原生安全性 - 適用於儲存體的 Defender 可透過一鍵啟用功能,保護 Azure Blob、Azure 檔案儲存體和 Data Lake 中所儲存的資料。 作為 Azure 原生服務,適用於儲存體的 Defender 可在 Azure 管理的所有資料資產上提供集中式的資訊安全功能,並與其他安全性服務 (例如 Microsoft Sentinel) 整合。
豐富的偵測套件 - 由 Microsoft 威脅情報所提供,適用於儲存體的 Defender 中的偵測涵蓋熱門儲存體威脅,例如匿名存取、認證遭洩漏、社交工程、權限不當使用和惡意內容。
大規模回應 - 適用於雲端的 Defender 的自動化工具可讓您更輕鬆地預防及回應已發現的威脅。 若要深入了解,請參閱對適用於雲端的 Defender 觸發程序的自動回應。
適用於儲存體的 Microsoft Defender 提供何種警示?
發生下列情況時,會觸發安全性警示:
可疑的存取模式 - 例如從 Tor 結束節點或從 Microsoft 威脅情報視為可疑 IP 的成功存取
可疑的活動 - 例如異常資料擷取或異常存取權限變更
上傳惡意內容 - 例如潛在惡意程式碼檔案 (根據雜湊信譽分析) 或網路釣魚內容宿主
警示中包含事件觸發的詳細資料,以及關於如何調查和補救威脅的建議。 警示可以匯出至 Azure Sentinel 或是任何其他第三方 SIEM 或任何其他外部工具。
什麼是惡意程式碼的雜湊信譽分析?
為了判斷上傳的檔案是否可疑,適用於儲存體的 Defender 會使用 Microsoft 威脅情報所支援的雜湊信譽分析。 威脅防護工具不會掃描已上傳的檔案。 其會檢查儲存體記錄,並將新上傳檔案的雜湊與已知病毒、特洛伊木馬程式、間諜軟體和勒索軟體的雜湊進行比較。
檔案疑似包含惡意程式碼時,資訊安全中心將會顯示警示,並可選擇性地傳送電子郵件給儲存體擁有者,供其核准刪除可疑的檔案。 若要設定這項檔案自動移除,而檔案包含雜湊信譽分析所指出的惡意程式碼,請部署在包含 [潛在惡意程式碼上傳至儲存體帳戶] 的警示發生時觸發的工作流程自動化。