Gambaran Umum Microsoft Defender untuk Storage

Microsoft Defender for Storage adalah lapisan native Azure dari kecerdasan keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan Anda. Ini menggunakan kemampuan deteksi ancaman tingkat lanjut dan data Inteligensi Ancaman Microsoft untuk memberikan peringatan keamanan kontekstual. Peringatan tersebut juga mencakup langkah-langkah untuk mengurangi ancaman yang terdeteksi dan mencegah serangan di masa mendatang.

Anda dapat mengaktifkan Microsoft Defender untuk Penyimpanan di tingkat langganan (disarankan) atau tingkat sumber daya.

Defender untuk Penyimpanan terus-menerus menganalisis aliran telemetri yang dihasilkan oleh layanan Azure Blob Storage dan Azure Files. Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Peringatan ini ditampilkan di Microsoft Defender untuk Cloud, bersama dengan detail aktivitas mencurigakan yang disertai dengan langkah investigasi yang relevan, tindakan remediasi, dan rekomendasi keamanan.

Telemetri Azure Blob Storage yang dianalisis mencakup jenis operasi seperti Get Blob, Put Blob, Get Container ACL, List Blobs, dan Get Blob Properties. Contoh jenis operasi Azure Files yang dianalisis mencakup Get File, Create File, List Files, Get File Properties, dan Put Range.

Defender untuk Storage tidak mengakses data akun Storage dan tidak berdampak pada performanya.

Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang:

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Harga: Microsoft Defender for Storage ditagih seperti yang ditunjukkan pada laman harga
Jenis penyimpanan yang didukung: Blob Storage (StorageV2 Standar/Premium, Blob Blok)
Azure Files (melalui REST API dan SMB)
Azure Data Lake Storage Gen2 (Akun Standar/Premium dengan namespace layanan hierarkis diaktifkan)
Cloud: Cloud komersial
Azure Government
Azure Tiongkok 21Vianet
Akun AWS yang tersambung

Apa manfaat Microsoft Defender for Storage?

Defender untuk Storage menyediakan:

  • Keamanan asli-Azure - Dengan pengaktifan sekali klik, Defender untuk Storage melindungi data yang disimpan di Azure Blob, Azure Files, dan Data Lakes. Sebagai layanan asli Azure, Defender untuk Storage menyediakan keamanan terpusat di semua aset data yang dikelola Azure dan terintegrasi dengan layanan keamanan Azure lainnya seperti Microsoft Sentinel.

  • Rangkaian deteksi kaya - Didukung oleh Inteligensi Ancaman Microsoft, deteksi di Defender untuk Storage mencakup ancaman penyimpanan teratas seperti akses yang tidak diautentikasi, informasi masuk yang disusupi, serangan rekayasa sosial, penyelundupan data, penyalahgunaan hak istimewa, dan konten berbahaya.

  • Respons dalam skala besar - Alat otomatisasi Defender for Cloud memudahkan pencegahan dan respons terhadap ancaman yang diidentifikasi. Pelajari selengkapnya di Respons otomatis terhadap pemicu Defender for Cloud.

Gambaran umum tingkat tinggi mengenai fitur Microsoft Defender for Storage.

Ancaman keamanan di layanan penyimpanan berbasis cloud

Peneliti keamanan Microsoft telah menganalisis permukaan serangan layanan penyimpanan. Akun penyimpanan dapat mengalami kerusakan data, paparan konten sensitif, distribusi konten berbahaya, penyelundupan data, akses tidak sah, dan banyak lagi.

Potensi risiko keamanan dijelaskan dalam matriks ancaman untuk layanan penyimpanan berbasis cloud dan didasarkan pada framework MITRE ATT&CK®, basis pengetahuan untuk taktik dan teknik yang digunakan dalam serangan siber.

Matriks ancaman Microsoft untuk ancaman keamanan penyimpanan cloud.

Jenis peringatan apa yang disediakan Microsoft Defender for Storage?

Peringatan keamanan dipicu terhadap skenario berikut (biasanya dari 1-2 jam setelah peristiwa):

Jenis ancaman Deskripsi
Akses tidak biasa ke sebuah akun Misalnya, akses dari node keluar TOR, alamat IP yang mencurigakan, aplikasi yang tidak biasa, lokasi yang tidak biasa, dan akses anonim tanpa autentikasi.
Perilaku tidak biasa dalam sebuah akun Perilaku yang menyimpang dari garis besar yang dipelajari, seperti perubahan izin akses dalam sebuah akun, pemeriksaan akses yang tidak biasa, eksplorasi data yang tidak biasa, penghapusan blob/file yang tidak biasa, atau ekstraksi data yang tidak biasa.
Deteksi Malware berbasis reputasi hash Deteksi malware yang diketahui berdasarkan hash blob/file penuh. Ini dapat membantu mendeteksi ransomware, virus, spyware, dan malware lain yang diunggah ke akun, mencegahnya memasuki organisasi, dan menyebar ke lebih banyak pengguna dan sumber daya. Lihat juga Batasan analisis reputasi hash.
Pengunggahan file yang tidak biasa Paket layanan cloud yang tidak biasa dan file yang dapat dieksekusi yang telah diunggah ke sebuah akun.
Visibilitas publik Potensi upaya pembobolan dengan memindai kontainer dan menarik data yang berpotensi sensitif dari kontainer yang dapat diakses publik.
Kampanye pengelabuan Saat konten yang di-hosting di Azure Storage diidentifikasi sebagai bagian dari serangan pengelabuan yang memengaruhi pengguna Microsoft 365.

Anda dapat melihat daftar lengkap peringatan Microsoft Defender untuk Penyimpanan.

Pemberitahuan mencakup rincian insiden yang memicunya, dan rekomendasi tentang cara menyelidiki dan memulihkan ancaman. Pemberitahuan dapat diekspor ke Microsoft Sentinel atau SIEM pihak ketiga lainnya atau alat eksternal lainnya. Pelajari selengkapnya di Pemberitahuan aliran ke solusi SIEM, SOAR, atau Manajemen Layanan TI.

Tip

Untuk daftar lengkap semua peringatan Defender untuk Storage, lihat halaman referensi peringatan. Ini berguna bagi pemilik beban kerja yang ingin mengetahui ancaman apa yang dapat dideteksi dan membantu tim SOC memahami deteksi sebelum menyelidikinya. Pelajari selengkapnya tentang isi peringatan keamanan Defender untuk Cloud, dan cara mengelola peringatan Anda di Mengelola dan merespons peringatan keamanan di Microsoft Defender untuk Cloud.

Batasan analisis reputasi hash

  • Reputasi hash bukanlah pemeriksaan file yang mendalam - Microsoft Defender utnuk Storage menggunakan analisis reputasi hash yang didukung oleh Inteligensi Ancaman Microsoft untuk menentukan apakah file yang diunggah mencurigakan. Alat perlindungan ancaman tidak memindai file yang diunggah; tetapi menganalisis telemetri yang dihasilkan dari layanan Blobs Storage dan Files. Defender untuk Storage kemudian membandingkan hash file yang baru diunggah dengan hash virus, trojan, spyware, dan ransomware yang diketahui.

  • Analisis reputasi hash tidak didukung untuk semua protokol file dan jenis operasi - Beberapa, tetapi tidak semua, log telemetri berisi nilai hash dari blob atau file terkait. Dalam beberapa kasus, telemetri tidak mengandung nilai hash. Akibatnya, beberapa operasi tidak dapat dipantau untuk unggahan malware yang diketahui. Contoh kasus penggunaan yang tidak didukung tersebut meliputi berbagi file SMB dan ketika blob dibuat menggunakan Put Block dan Put Block List.

Tip

Ketika file diduga berisi malware, Defender for Cloud menampilkan pemberitahuan dan dapat secara opsional mengirim email kepada pemilik penyimpanan untuk persetujuan untuk menghapus file yang mencurigakan. Untuk menyiapkan penghapusan otomatis file yang menunjukkan analisis reputasi hash berisi malware, terapkan otomatisasi alur kerja untuk memicu pemberitahuan yang berisi "Potensi malware yang diunggah ke akun penyimpanan".

Tanya Jawab Umum - Microsoft Defender untuk Storage

Bagaimana cara memperkirakan tagihan di tingkat akun?

Untuk mengoptimalkan biaya, Anda mungkin ingin mengecualikan akun Storage tertentu yang terkait dengan lalu lintas tinggi dari perlindungan Defender untuk Storage. Untuk mendapatkan perkiraan biaya Defender untuk Storage, gunakan Dasbor Estimasi Harga.

Dapatkah saya mengecualikan akun Azure Storage tertentu dari langganan yang dilindungi?

Untuk mengecualikan akun Storage tertentu saat Defender untuk Storage diaktifkan pada langganan, ikuti petunjuk di Mengecualikan akun penyimpanan dari perlindungan Microsoft Defender untuk Storage.

Bagaimana cara mengonfigurasi respons otomatis untuk peringatan keamanan?

Gunakan automasi alur kerja untuk memicu respons otomatis ke peringatan keamanan Defender untuk Cloud.

Misalnya, Anda dapat mengatur automasi untuk membuka tugas atau tiket bagi personel atau tim tertentu dalam sistem manajemen tugas eksternal.

Tip

Jelajahi automasi yang tersedia dari halaman komunitas Defender untuk Cloud: Automasi ServiceNow, automasi Jira, automasi Azure DevOps, automasi Slack, atau buat sendiri.

Gunakan automasi untuk respons otomatis - menentukan apakah akan menggunakan automasi milik Anda sendiri atau yang sudah ada dari komunitas (seperti menghapus file berbahaya yang terdeteksi). Untuk solusi selengkapnya, kunjungi komunitas Microsoft di GitHub. 

Langkah berikutnya

Dalam artikel ini, Anda mempelajari tentang Microsoft Defender for Storage.