Configuración de Microsoft Defender para Storage

Microsoft Defender para Storage proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Esta capa de protección le permite afrontar las amenazas sin necesidad de ser un experto en seguridad ni administrar sistemas de supervisión de la seguridad.

Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad. Estas alertas de seguridad se integran con Microsoft Defender for Cloud y también se envían por correo electrónico a los administradores de las suscripciones, con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas.

El servicio ingiere los registros de recursos de las solicitudes de lectura, escritura y eliminación en Blob Storage y en Azure Files para la detección de amenazas. Para investigar las alertas de Microsoft Defender for Cloud, puede ver la actividad de almacenamiento relacionada en los registros de Storage Analytics. Para más información, consulte Configuración del registro en Supervisión de una cuenta de almacenamiento en Azure Portal.

Disponibilidad

Microsoft Defender para Storage está disponible actualmente para Blob Storage, Azure Files y Azure Data Lake Storage Gen2. Los tipos de cuenta que admiten Microsoft Defender para Storage son: De uso general v2, de blob en bloques y de Blob Storage. Microsoft Defender para Storage está disponible en todas las nubes públicas y de la Administración pública estadounidense, pero no en otras regiones de nubes soberanas o de Azure Government.

Las cuentas con espacios de nombres jerárquicos habilitados para Data Lake Storage admiten transacciones que usan las API de Azure Blob Storage y las API de Data Lake Storage. Los recursos compartidos de Azure admiten transacciones en SMB.

Para obtener más información sobre los precios, incluida una evaluación gratuita durante 30 días, consulte la página de precios de Microsoft Defender for Cloud.

En la lista siguiente, se resume la disponibilidad de Microsoft Defender para Storage:

• Estado de la versión:
  • Blob Storage (disponibilidad general)
  • Azure Files (disponibilidad general)
  • Azure Data Lake Storage Gen2 (disponibilidad general)
• Nubes: ✔ Nubes comerciales
  ✔ Azure Government
  ✘ Azure China 21Vianet

Configuración de Microsoft Defender for Cloud

Microsoft Defender para Storage se puede configurar de distintas formas, que se explican en las secciones siguientes.

Microsoft Defender for Cloud

Microsoft Defender para Storage está integrado en Microsoft Defender for Cloud. Cuando habilita las características de seguridad mejoradas de Microsoft Defender for Cloud en su suscripción, se habilita automáticamente Microsoft Defender para Storage en todas las cuentas de almacenamiento. Si desea habilitar o deshabilitar Defender para Storage en cuentas de almacenamiento individuales de una suscripción específica, siga estos pasos:

1. Inicie Microsoft Defender for Cloud en Azure Portal.

2. En el menú principal de Defender for Cloud, seleccione Environment settings (Configuración del entorno).

3. Seleccione la suscripción para la que desea habilitar o deshabilitar Microsoft Defender for Cloud.

4. Seleccione Enable all Microsoft Defender plans (Habilitar todos los planes de Microsoft Defender) para habilitar Microsoft Defender for Cloud en la suscripción.

5. En Select Azure Defender plan by resource type (Seleccionar plan de Microsoft Defender por tipo de recurso), busque la fila Storage y seleccione On (Habilitado) en la columna Plan.

6. Guarde los cambios.

   

Microsoft Defender está ahora habilitado en todas las cuentas de almacenamiento de esta suscripción.

Portal

1. Inicie Azure Portal.

2. Vaya a la cuenta de almacenamiento. En Seguridad y redes, seleccione Seguridad.

3. Seleccione Habilitar Microsoft Defender para Storage.

   

Microsoft Defender para Storage está ahora habilitado en esta cuenta de almacenamiento.​

Plantilla

Use una plantilla de Azure Resource Manager para implementar una cuenta de Azure Storage con Microsoft Defender para Storage habilitado. Para más información, consulte Storage account with Advanced Threat Protection (Cuenta de Storage con Advanced Threat Protection).

Azure Policy

Use una directiva de Azure Policy para habilitar Microsoft Defender for Cloud en todas las cuentas de almacenamiento de un grupo de recursos o una suscripción específicos.

1. Inicie la página Directiva: Definiciones de Azure.

2. Busque la directiva Azure Defender para Storage debe estar habilitado y, a continuación, seleccione la directiva para ver la página de definición de directiva.

   

3. Seleccione el botón Asignar de la directiva integrada y, a continuación, especifique una suscripción de Azure. Opcionalmente, también puede especificar un grupo de recursos para ampliar más el ámbito de la asignación de directiva.

   

4. Seleccione Revisar y crear para revisar la definición de directiva y, a continuación, créela con el ámbito especificado.

PowerShell

Si desea habilitar Microsoft Defender para Storage en una cuenta de almacenamiento mediante PowerShell, asegúrese primero de que esté instalado el módulo Az.Security. A continuación, llame al comando Enable-AzSecurityAdvancedThreatProtection. No olvide reemplazar los valores entre corchetes angulares por sus propios valores:

Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Para comprobar la configuración de Microsoft Defender para Storage en una cuenta de almacenamiento mediante PowerShell, llame al comando Get-AzSecurityAdvancedThreatProtection. No olvide reemplazar los valores entre corchetes angulares por sus propios valores:

Get-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

CLI de Azure

Para habilitar Microsoft Defender para Storage en una cuenta de almacenamiento mediante la CLI de Azure, llame al comando az security atp storage update. No olvide reemplazar los valores entre corchetes angulares por sus propios valores:

az security atp storage update \
    --resource-group <resource-group> \
    --storage-account <storage-account> \
    --is-enabled true

Para comprobar la configuración de Microsoft Defender para Storage en una cuenta de almacenamiento mediante la CLI de Azure, llame al comando az security atp storage show. No olvide reemplazar los valores entre corchetes angulares por sus propios valores:

az security atp storage show \
    --resource-group <resource-group> \
    --storage-account <storage-account>

Exploración de anomalías de seguridad

Cuando se producen anomalías en la actividad de almacenamiento, recibe una notificación por correo electrónico con información acerca del evento de seguridad sospechoso. Los detalles del evento incluyen:

• La naturaleza de la anomalía
• El nombre de la cuenta de almacenamiento
• La hora del evento
• El tipo de almacenamiento
• Las causas posibles
• Los pasos de investigación
• Los pasos para la corrección

El correo electrónico también incluye detalles acerca de las posibles causas y las medidas recomendadas para investigar y mitigar la potencial amenaza.

Las alertas de seguridad vigentes se pueden revisar y administrar desde el icono Alertas de seguridad de Microsoft Defender for Cloud. Seleccione una alerta para ver los detalles y acciones para investigar la amenaza actual y solucionar amenazas futuras.

Alertas de seguridad

Las alertas las generan los intentos inusuales y potencialmente dañinos de acceso o aprovechamiento de cuentas de almacenamiento. Para obtener una lista de las alertas de Azure Storage, consulte Alertas para Azure Storage.

Pasos siguientes

• Introducción a Microsoft Defender para Storage
• Microsoft Defender for Cloud
• Registros en las cuentas de Azure Storage