مقدمة إلى Microsoft Defender for Storage
Microsoft Defender for Storage يعد طبقة Azure الأصلية للتحليل الذكي لمخاطر الأمان التي تكتشف المحاولات غير المعتادة والتي قد تكون ضارة للوصول إلى حسابات التخزين الخاصة بك أو استغلالها. ويستخدم إمكانات متقدمة للكشف عن التهديدات وبيانات Microsoft Threat Intelligence لتوفير تنبيهات الأمان السياقية. وتشمل هذه التنبيهات أيضا خطوات للتخفيف من التهديدات المكتشفة ومنع الهجمات المستقبلية.
يمكنك تمكين Microsoft Defender للتخزين إما على مستوى الاشتراك (مستحسن) أو على مستوى الموارد.
يقوم Defender for Storage باستمرار بتحليل دفق القياس عن بعد الذي تم إنشاؤه بواسطة خدمات Azure Blob Storage وAzure Files. عند اكتشاف أنشطة يحتمل أن تكون ضارة، يتم إنشاء تنبيهات الأمان. يتم عرض هذه التنبيهات في Microsoft Defender for Cloud مع تفاصيل النشاط المشبوه إلى جانب خطوات التحقيق ذات الصلة وإجراءات المعالجة وتوصيات الأمان.
يتضمن القياس عن بعد الذي تم تحليله ل Azure Blob Storage أنواع العمليات مثل Get Blob و Put Blob و Get Container ACL و List Blobs و Get Blob Properties. تتضمن أمثلة أنواع عمليات Azure Files التي تم تحليلها الحصول على ملف وإنشاء ملفوملفات قائمة والحصول على خصائص الملف ووضع النطاق.
لا يصل Defender for Storage إلى بيانات حساب التخزين وليس له أي تأثير على أدائه.
التوفر
| الجانب | التفاصيل |
|---|---|
| حالة الإصدار: | التوافر العام (GA) |
| التسعير: | تمت فوترة Microsoft Defender for Storage كما هو موضح في صفحة التسعير |
| أنواع التخزين المحمية: | تخزين النقط (التخزين القياسي / Premium V2 ، كتل النقط) ملفات Azure (عبر واجهة برمجة تطبيقات REST وSMB) Azure Data Lake Storage Gen2 (الحسابات القياسية/Premium مع تمكين مساحات الأسماء الهرمية) |
| سحب: |  السحب التجاريةAzure Government Azure China 21Vianet حسابات AWS المتصلة |
ما هي فوائد Microsoft Defender for Storage؟
يوفر ديفندر للتخزين ما يلي:
- خدمة أمان Azure الأصلية - من خلال تمكينه بنقرة واحدة، يحمي Defender for Storage البيانات المخزنة في Blob Azure، وAzure Files, وData Lakes. كخدمة أصلية من Azure، يوفر Defender for Storage أمانا مركزيا عبر جميع أصول البيانات التي تتم إدارتها بواسطة Azure ويتم دمجها مع خدمات أمان Azure الأخرى مثل Microsoft Sentinel.
- مجموعة الكشف الغنية - بدعم من Microsoft Threat Intelligence ، تغطي عمليات الكشف في Defender for Storage أهم تهديدات التخزين مثل الوصول غير المصادق عليه وبيانات الاعتماد المخترقة وهجمات الهندسة الاجتماعية واستخراج البيانات وإساءة استخدام الامتيازات والمحتوى الضار.
- الاستجابة على نطاق واسع - تسهل أدوات أتمتة Defender for Cloud منع التهديدات المحددة والاستجابة لها. تعرف على المزيد في أتمتة الاستجابات على مشغلات Defender for Cloud.
التهديدات الأمنية في خدمات التخزين المستندة إلى السحابة
قام باحثو أمان Microsoft بتحليل سطح الهجوم لخدمات التخزين. يمكن أن تخضع حسابات التخزين لتلف البيانات وتعرض المحتوى الحساس وتوزيع المحتوى الضار واستخراج البيانات والوصول غير المصرح به والمزيد.
يتم وصف المخاطر الأمنية المحتملة في مصفوفة التهديدات لخدمات التخزين المستندة إلى السحابة وتستند إلى إطار عمل MITRE ATTCK&® ، وهو قاعدة معارف للتكتيكات والتقنيات المستخدمة في الهجمات السيبرانية.
ما نوع التنبيهات التي يوفرها Microsoft Defender for Storage؟
يتم تشغيل تنبيهات الأمان للسيناريوهات التالية (عادة من 1-2 ساعات بعد الحدث):
| نوع التهديد | الوصف |
|---|---|
| وصول غير عادي إلى حساب | على سبيل المثال، الوصول من عقدة خروج TOR وعناوين IP المشبوهة والتطبيقات غير العادية والمواقع غير العادية والوصول المجهول بدون مصادقة. |
| سلوك غير عادي في حساب | السلوك الذي ينحرف عن خط الأساس المستفاد، مثل تغيير أذونات الوصول في حساب، أو فحص الوصول غير العادي، أو استكشاف البيانات غير العادية، أو الحذف غير العادي للنقاط/الملفات، أو استخراج البيانات بشكل غير عادي. |
| اكتشاف البرامج الضارة القائمة على سمعة التجزئة | الكشف عن البرامج الضارة المعروفة استنادا إلى تجزئة blob / file الكاملة. يمكن أن يساعد ذلك في اكتشاف برامج الفدية والفيروسات وبرامج التجسس والبرامج الضارة الأخرى التي تم تحميلها إلى حساب ما ومنعها من دخول المؤسسة والانتشار إلى المزيد من المستخدمين والموارد. راجع أيضا قيود تحليل سمعة التجزئة. |
| عمليات تحميل ملفات غير عادية | حزم الخدمات السحابية غير العادية والملفات القابلة للتنفيذ التي تم تحميلها إلى حساب. |
| الظهور العام | محاولات الاقتحام المحتملة عن طريق مسح الحاويات وسحب البيانات الحساسة المحتملة من حاويات يمكن الوصول إليها بشكل عام. |
| حملات التصيد الاحتيالي | عندما يتم تحديد المحتوى المستضاف على Azure Storage كجزء من هجوم تصيد احتيالي يؤثر على المستخدمين Microsoft 365. |
وتشمل التنبيهات تفاصيل الحادث الذي تسبب في وقوعه، وتوصيات بشأن كيفية التحقيق في التهديدات وعلاجها. يمكن تصدير التنبيهات إلى Microsoft Sentinel أو أي SIEM تابع لجهة خارجية أو أي أداة خارجية أخرى. تعرف على المزيد في تنبيهات Stream إلى حل إدارة خدمة SIM أو SOAR أو تكنولوجيا المعلومات.
تلميح
للحصول على قائمة شاملة بجميع تنبيهات Defender for Storage، راجع صفحة مرجع التنبيهات. هذا مفيد لأصحاب أعباء العمل الذين يرغبون في معرفة التهديدات التي يمكن اكتشافها ومساعدة فرق SOC على التعرف على الاكتشافات قبل التحقيق فيها. تعرف على المزيد حول ما هو موجود في تنبيه أمان Defender for Cloud، وكيفية إدارة تنبيهاتك في إدارة تنبيهات الأمان والاستجابة لها في Microsoft Defender for Cloud.
قيود تحليل سمعة التجزئة
سمعة التجزئة ليست فحصا عميقا للملفات - يستخدم Microsoft Defender for Storage تحليل سمعة التجزئة المدعوم من Microsoft Threat Intelligence لتحديد ما إذا كان الملف الذي تم تحميله مشبوها أم لا. لا تقوم أدوات الحماية من التهديدات بفحص الملفات التي تم تحميلها. بدلا من ذلك ، يقومون بتحليل القياس عن بعد الذي تم إنشاؤه من خدمات Blobs Storage and Files. ثم يقارن Defender for Storage تجزئة الملفات التي تم تحميلها حديثا مع تجزئات الفيروسات المعروفة وأحصنة طروادة وبرامج التجسس وبرامج الفدية.
تحليل سمعة التجزئة غير مدعوم لجميع بروتوكولات الملفات وأنواع العمليات - تحتوي بعض سجلات القياس عن بعد، وليس كلها، على قيمة التجزئة للنقطة أو الملف ذي الصلة. في بعض الحالات، لا يحتوي القياس عن بعد على قيمة تجزئة. ونتيجة لذلك، لا يمكن مراقبة بعض العمليات لتحميلات البرامج الضارة المعروفة. تتضمن أمثلة حالات الاستخدام غير المدعومة هذه مشاركات ملفات SMB وعندما يتم إنشاء نقطة باستخدام وضع الحظر ووضع قائمة الحظر.
تلميح
عند الاشتباه في احتواء ملف على برامج ضارة، يعرض Defender for Cloud تنبيهًا ويمكنه اختياريًا إرسال بريد إلكتروني إلى مالك التخزين للموافقة على حذف الملف المريب. لإعداد هذه الإزالة التلقائية للملفات التي يشير تحليل سمعة التجزئة إلى احتوائها على برامج ضارة، يجب نشر أتمتة سير العمل لتشغيل التنبيهات التي تحتوي على "برامج ضارة محتملة حُملت إلى حساب تخزين".
تمكين ديفندر للتخزين
عند تمكين خطة Defender هذه على اشتراك، ستتم حماية جميع حسابات Azure Storage الحالية وسيتم أيضا حماية أي موارد تخزين تضاف إلى هذا الاشتراك في المستقبل تلقائيا.
يمكنك تمكين Defender for Storage بأي من الطرق المتعددة، الموضحة في إعداد Microsoft Defender for Cloud في وثائق Azure Storage.
يجب تشغيل تنبيه اختبار لـ Microsoft Defender for Storage
لاختبار تنبيهات الأمان من Microsoft Defender for Storage في بيئتك، يجب إنشاء التنبيه "الوصول من عقدة خروج Tor إلى حساب التخزين" بالخطوات التالية:
فتح حساب تخزين مع تمكين Microsoft Defender for Storage.
من الشريط الجانبي، تحديد "حاويات" وفتح حاوية موجودة أو إنشاء حاوية جديدة.
تحميل ملف إلى تلك الحاوية.
تنبيه
لا يجب تحميل ملف يحتوي على بيانات حساسة.
استخدام قائمة السياق في الملف الذي حُمل لتحديد "Generate SAS".
ترك الخيارات الافتراضية وتحديد إنشاء رمز SAS المميز وعنوان URL.
نسخ عنوان URL الذي أنشئ لـ SAS.
من جهازك المحلي، فتح متصفح Tor.
تلميح
يمكن تنزيل Tor من موقع Tor Project https://www.torproject.org/download/ .
في مستعرض Tor، الانتقال إلى SAS URL.
تنزيل الملف الذي حملته في الخطوة 3.
في غضون ساعتين، ستتلقى تنبيه الأمان التالي من Defender for Cloud:
الأسئلة المتداولة - Microsoft Defender for Storage
- كيف أعمل تقدير الرسوم على مستوى الحساب؟
- هل يمكنني استبعاد حساب Azure Storage معين من اشتراك محمي؟
- كيف أعمل تكوين الاستجابات التلقائية لتنبيهات الأمان؟
كيف أعمل تقدير الرسوم على مستوى الحساب؟
لتحسين التكاليف، قد ترغب في استبعاد حسابات تخزين محددة مرتبطة بحركة مرور عالية من Defender لحماية التخزين. للحصول على تقدير لتكاليف Defender for Storage، استخدم لوحة معلومات تقدير الأسعار.
هل يمكنني استبعاد حساب Azure Storage معين من اشتراك محمي؟
لاستبعاد حساب تخزين معين عند تمكين Defender for Storage على اشتراك، اتبع الإرشادات الواردة في استبعاد حساب تخزين من Microsoft Defender لحماية التخزين.
كيف أعمل تكوين الاستجابات التلقائية لتنبيهات الأمان؟
استخدم أتمتة سير العمل لتشغيل الاستجابات التلقائية لتنبيهات أمان Defender for Cloud.
على سبيل المثال، يمكنك إعداد التشغيل التلقائي لفتح مهام أو تذاكر لموظفين أو فرق معينة في نظام إدارة مهام خارجي.
تلميح
استكشف الأتمتة المتوفرة من صفحات مجتمع Defender for Cloud: أتمتة ServiceNow أو أتمتة Jira أو أتمتة Azure DevOps أو أتمتة Slack أو إنشاء صفحات خاصة بك.
استخدم التشغيل التلقائي للاستجابة التلقائية - لتحديد موقعك أو استخدام التشغيل الآلي الجاهز من المجتمع (مثل إزالة الملفات الضارة عند اكتشافها). لمزيد من الحلول، تفضل بزيارة مجتمع Microsoft على GitHub.
الخطوات التالية
في هذه المقالة، تعرفت على Microsoft Defender for Storage.