Información sobre Microsoft Defender para Storage
Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Utiliza las funcionalidades avanzadas de inteligencia artificial de seguridad y Microsoft Threat Intelligence para ofrecer recomendaciones y alertas de seguridad contextuales.
Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad. Las alertas de seguridad se integran con Defender for Cloud y se envían por correo electrónico a los administradores de las suscripciones, con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas.
¿Cuáles son las ventajas de Microsoft Defender para Storage?
Microsoft Defender para Storage proporciona:
Seguridad nativa de Azure: con la habilitación con un solo clic, Defender para Storage protege los datos almacenados en blobs de Azure, archivos de Azure y lagos de datos. Al ser un servicio nativo de Azure, Defender para Storage proporciona seguridad centralizada en todos los recursos de datos administrados por Azure y se integra con otros servicios de seguridad como Microsoft Sentinel.
Conjunto de detecciones enriquecidas: con tecnología de inteligencia sobre amenazas de Microsoft, las detecciones de Defender para Storage abarcan las principales amenazas de Storage, como el acceso anónimo, las credenciales en peligro, la ingeniería social, el abuso de privilegios y el contenido malintencionado.
Respuesta a escala: las herramientas de automatización de Defender for Cloud facilitan la prevención y la respuesta a las amenazas identificadas. Más información en Automatización de respuestas a desencadenadores de Defender for Cloud
¿Qué tipos de alertas ofrece Microsoft Defender para Storage?
Las alertas de seguridad se desencadenan en los escenarios siguientes:
Patrones de acceso sospechosos: como el acceso correcto desde un nodo de salida de Tor o desde una dirección IP considerada sospechosa por Microsoft Threat Intelligence.
Actividades sospechosas: como la extracción de datos anómala o el cambio inusual de permisos de acceso.
Carga de contenido malintencionado: por ejemplo, posibles archivos de malware (basados en el análisis de reputación de hash) u hospedaje de contenido de suplantación de identidad (phishing).
Las alertas incluyen detalles acerca del incidente que las desencadenó, así como recomendaciones sobre cómo investigarlas y corregirlas. Las alertas se pueden exportar no solo a Azure Sentinel, sino también a cualquier otra SIEM de terceros o cualquier otra herramienta externa.
¿Qué es el análisis de reputación de hash para malware?
Para determinar si un archivo cargado es sospechoso, Defender para Storage utiliza el análisis de reputación de hash compatible con Microsoft Threat Intelligence. Las herramientas de protección contra amenazas no examinan los archivos cargados. Lo que hacen es examinar los registros de almacenamiento y comparar los valores hash de los archivos recién cargados con el código hash de virus conocidos, troyanos, spyware y ransomware.
Cuando se sospecha que un archivo contiene malware, Security Center muestra una alerta y, opcionalmente, puede enviar un correo electrónico al propietario del almacenamiento para que elimine el archivo sospechoso. Para configurar esta eliminación automática de archivos que contienen malware, como indica el análisis de reputación de hash, implemente una automatización del flujo de trabajo para desencadenar alertas que contengan el posible malware cargado en una cuenta de almacenamiento.