Introduzione a Microsoft Defender per Archiviazione

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati i Azure Defender in piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione. Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Usa funzionalità avanzate di rilevamento delle minacce e dati di Microsoft Threat Intelligence per fornire avvisi di sicurezza contestuali. Tali avvisi includono anche i passaggi per mitigare le minacce rilevate e impedire attacchi futuri.

È possibile abilitare Microsoft Defender per Archiviazione a livello di sottoscrizione (scelta consigliata) o a livello di risorsa.

Defender per Archiviazione analizza continuamente il flusso di telemetria generato dai servizi BLOB Archiviazione e File di Azure Azure. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Microsoft Defender per Cloud insieme ai dettagli dell'attività sospetta, oltre ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.

I dati di telemetria analizzati Archiviazione BLOB di Azure includono tipi di operazione come Get Blob,Put Blob,Get Container ACL,List Blobse Get Blob Properties. Esempi di tipi di File di Azure di operazioni analizzati includono Get File, Create File, List Files, Get File Propertiese Put Range.

Defender per Archiviazione non accede ai dati Archiviazione'account e non ha alcun impatto sulle prestazioni.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Microsoft Defender per Archiviazione viene fatturato come indicato nella pagina dei prezzi
Tipi di archiviazione protetti: Blob Archiviazione (Standard/Premium StorageV2, Block Blobs)
File di Azure (tramite API REST e SMB)
Azure Data Lake Archiviazione Gen2 (account standard/Premium con spazi dei nomi gerarchici abilitati)
Cloud: Cloud commerciali
Azure per enti pubblici
Azure China (21Vianet)
Account AWS connessi

Quali sono i vantaggi di Microsoft Defender per Archiviazione?

Defender per Archiviazione offre:

  • Sicurezza nativa di Azure: Defender per Archiviazione consente di abilitare con un solo clic la protezione dei dati archiviati in BLOB di Azure, File di Azure e data lake. Come servizio nativo di Azure, Defender per Archiviazione offre sicurezza centralizzata in tutti gli asset di dati gestiti da Azure e integrati con altri servizi di sicurezza di Azure, ad esempio Microsoft Sentinel.
  • Suite di rilevamento completo: basata su Microsoft Threat Intelligence, i rilevamenti in Defender per Archiviazione coprono le principali minacce per l'archiviazione, ad esempio l'accesso non autenticato, le credenziali compromesse, gli attacchi di ingegneria sociale, l'esfiltrazione dei dati, l'uso improprio dei privilegi e il contenuto dannoso.
  • Risposta su larga scala: gli strumenti di automazione di Defender per cloud semplificano la prevenzione e la risposta alle minacce identificate. Per altre informazioni, vedere Automatizzare le risposte ai trigger di Defender per il cloud.

High-level overview of the features of Microsoft Defender for Storage.

Minacce alla sicurezza nei servizi di archiviazione basati sul cloud

I ricercatori microsoft per la sicurezza hanno analizzato la superficie di attacco dei servizi di archiviazione. Archiviazione account possono essere soggetti a danneggiamento dei dati, esposizione di contenuto sensibile, distribuzione di contenuto dannoso, esfiltrazione dei dati, accesso non autorizzato e altro ancora.

I potenziali rischi per la sicurezza sono descritti nella matrice di minacce per i servizi di archiviazione basati sul cloud e si basano sul framework MITRE ATT CK®, un knowledge base per le tattiche e le tecniche impiegate negli attacchi informatici.

Microsoft's threat matrix for cloud storage security threats.

Quali tipi di avvisi vengono forniti da Microsoft Defender Archiviazione?

Gli avvisi di sicurezza vengono attivati per gli scenari seguenti (in genere da 1 a 2 ore dopo l'evento):

Tipo di minaccia Descrizione
Accesso insolito a un account Ad esempio, l'accesso da un nodo di uscita TOR, indirizzi IP sospetti, applicazioni insolite, posizioni insolite e accesso anonimo senza autenticazione.
Comportamento insolito in un account Comportamento che si discosta da una baseline appresa, ad esempio una modifica delle autorizzazioni di accesso in un account, l'ispezione di accesso insolita, l'esplorazione insolita dei dati, l'eliminazione insolita di BLOB/file o l'estrazione insolita dei dati.
Rilevamento malware basato sulla reputazione hash Rilevamento di malware noti in base all'hash completo di BLOB/file. Ciò consente di rilevare ransomware, virus, spyware e altro malware caricato in un account, impedire l'ingresso nell'organizzazione e la distribuzione a più utenti e risorse. Vedere anche Limitazioni dell'analisi della reputazione hash.
Caricamenti di file insoliti Pacchetti del servizio cloud insoliti e file eseguibili caricati in un account.
Visibilità pubblica Potenziali tentativi di interruzione tramite l'analisi dei contenitori e il pull di dati potenzialmente sensibili da contenitori accessibili pubblicamente.
Campagne di phishing Quando il contenuto ospitato in Archiviazione di Azure viene identificato come parte di un attacco di phishing che influisce Microsoft 365 utenti.

Gli avvisi includono i dettagli dell'evento imprevisto che li ha attivati e raccomandazioni su come analizzare e risolvere le minacce. Gli avvisi possono essere esportati in Microsoft Sentinel o in qualsiasi altro sistema SIEM di terze parti o qualsiasi altro strumento esterno. Per altre informazioni, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o di gestione dei servizi IT.

Suggerimento

Per un elenco completo di tutti gli avvisi di Defender Archiviazione, vedere la pagina di riferimento degli avvisi. Ciò è utile per i proprietari dei carichi di lavoro che vogliono sapere quali minacce possono essere rilevate e aiutare i team SOC a acquisire familiarità con i rilevamenti prima di analizzarle. Per altre informazioni sugli avvisi di sicurezza di Defender per cloud e su come gestire gli avvisi, vedere Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender per cloud.

Limitazioni dell'analisi della reputazione hash

  • La reputazione hash non è un'ispezione approfondita dei file: Microsoft Defender per Archiviazione usa l'analisi della reputazione hash supportata da Microsoft Threat Intelligence per determinare se un file caricato è sospetto. Gli strumenti di protezione dalle minacce non analizzano i file caricati. piuttosto analizzano i dati di telemetria generati dai servizi BLOB Archiviazione e File. Defender per Archiviazione confronta quindi gli hash dei file appena caricati con gli hash di virus, trojan, spyware e ransomware noti.

  • L'analisi della reputazione hash non è supportata per tutti i protocolli e i tipi di operazione dei file: alcuni, ma non tutti, i log di telemetria contengono il valore hash del BLOB o del file correlato. In alcuni casi, i dati di telemetria non contengono un valore hash. Di conseguenza, alcune operazioni non possono essere monitorate per i caricamenti di malware noti. Esempi di questi casi d'uso non supportati includono condivisioni file SMB e quando viene creato un BLOB usando Put Block e Put Block List.

Suggerimento

Quando si sospetta che un file contenga malware, Defender per cloud visualizza un avviso e, facoltativamente, può inviare un messaggio di posta elettronica al proprietario dell'archiviazione per l'approvazione per eliminare il file sospetto. Per configurare questa rimozione automatica dei file che l'analisi della reputazione hash indica come contenenti malware, distribuire un'automazione del flusso di lavoro che venga attivata da avvisi che contengono "Potenziale malware caricato in un account di archiviazione".

Abilitare Defender per Archiviazione

Quando si abilita questo piano di Defender in una sottoscrizione, tutti gli account Archiviazione di Azure esistenti verranno protetti e anche tutte le risorse di archiviazione aggiunte a tale sottoscrizione in futuro verranno protette automaticamente.

È possibile abilitare Defender per Archiviazione in diversi modi, come descritto in Configurare Microsoft Defender per cloud nella documentazione Archiviazione di Azure.

Attivare un avviso di test per Microsoft Defender per Archiviazione

Per testare gli avvisi di sicurezza da Microsoft Defender per Archiviazione nell'ambiente in uso, generare l'avviso "Accesso da un nodo di uscita tor a un account di archiviazione" con la procedura seguente:

  1. Aprire un account di archiviazione con Microsoft Defender per Archiviazione abilitata.

  2. Nella barra laterale selezionare "Contenitori" e aprire un contenitore esistente o crearne uno nuovo.

    Opening a blob container from an Azure Storage account.

  3. Caricare un file in tale contenitore.

    Attenzione

    Non caricare un file contenente dati sensibili.

  4. Usare il menu di scelta rapida nel file caricato per selezionare "Generate SAS" (Genera firma di accesso condiviso).

    The generate SAS option for a file in a blob container.

  5. Lasciare le opzioni predefinite e selezionare Generate SAS token and URL (Genera token di firma di accesso condiviso e URL).

  6. Copiare l'URL di firma di accesso condiviso generato.

  7. Nel computer locale aprire il browser Tor.

    Suggerimento

    È possibile scaricare Tor dal sito tor Project https://www.torproject.org/download/ .

  8. Nel browser Tor passare all'URL di firma di accesso condiviso.

  9. Scaricare il file caricato nel passaggio 3.

    Entro due ore si otterrà l'avviso di sicurezza seguente da Defender per cloud:

    Security alert regarding access from a Tor exit node.

Domande frequenti - Microsoft Defender per Archiviazione

Ricerca per categorie stimare gli addebiti a livello di account?

Per ottimizzare i costi, è possibile escludere account Archiviazione specifici associati a traffico elevato da Defender per Archiviazione protezione. Per ottenere una stima di Defender per i Archiviazione, usare il dashboard di stima dei prezzi.

È possibile escludere un account Archiviazione di Azure specifico da una sottoscrizione protetta?

Per escludere un account di Archiviazione specifico quando Defender per Archiviazione è abilitato in una sottoscrizione, seguire le istruzioni in Escludere un account di archiviazione da Microsoft Defenderper Archiviazione protezioni .

Ricerca per categorie le risposte automatiche per gli avvisi di sicurezza?

Usare l'automazione del flusso di lavoro per attivare le risposte automatiche agli avvisi di sicurezza di Defender for Cloud.

Ad esempio, è possibile configurare l'automazione per aprire attività o ticket per personale o team specifici in un sistema di gestione delle attività esterno.

Suggerimento

Esplorare le automazioni disponibili nelle pagine della community di Defender for Cloud: Automazione di ServiceNow,Automazione jira,automazione Azure DevOps,Automazione Slack o creare soluzioni personalizzate.

Usare l'automazione per la risposta automatica: per definire o usare l'automazione già pronta dalla community, ad esempio la rimozione di file dannosi al momento del rilevamento. Per altre soluzioni, visitare la community Microsoft GitHub. 

Passaggi successivi

In questo articolo sono stati appresi i dettagli di Microsoft Defender per Archiviazione.