Visão geral do Microsoft Defender for Storage

O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento.
Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados.

Nota

Este artigo é sobre o novo plano Defender for Storage que foi lançado em 28 de março de 2023. Inclui novas funcionalidades como a Análise de Malware e a Deteção de Ameaças de Dados Sensíveis. Este plano também fornece uma estrutura de preços mais previsível para um melhor controlo da cobertura e dos custos. Além disso, todos os novos recursos do Defender só serão adicionados ao novo plano. Migrar para o novo plano é um processo simples, leia aqui sobre como migrar do plano clássico.

O Microsoft Defender for Storage fornece segurança abrangente analisando o plano de dados e a telemetria do plano de controle gerados pelos serviços Armazenamento de Blobs do Azure, Arquivos do Azure e Armazenamento do Azure Data Lake. Ele usa recursos avançados de deteção de ameaças fornecidos pelo Microsoft Threat Intelligence, Microsoft Defender Antivirus e Sensitive Data Discovery para ajudá-lo a descobrir e mitigar ameaças potenciais.

O Defender for Storage inclui:

  • Monitorização de Atividades
  • Deteção de ameaças a dados confidenciais (recurso de visualização, somente novo plano)
  • Verificação de malware (somente novo plano)

Diagrama animado mostrando como o Defender for Storage protege contra ameaças comuns aos dados.

Introdução

Com uma configuração simples sem agente em escala, você pode habilitar o Defender for Storage nos níveis de assinatura ou de recursos por meio do portal ou programaticamente. Quando ativada ao nível da subscrição, todas as contas de armazenamento existentes e recém-criadas ao abrigo dessa subscrição serão automaticamente protegidas. Também pode excluir contas de armazenamento específicas de subscrições protegidas.

Nota

Se você já tiver o Defender for Storage (clássico) ativado e quiser acessar os novos recursos de segurança e preços, precisará migrar para o novo plano de preços.

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Disponibilidade Geral (GA)
Disponibilidade de recursos: - Monitorização de atividades (alertas de segurança) – Disponibilidade Geral (GA)
- Verificação de Malware – Disponibilidade Geral (GA)
- Deteção de ameaças de dados sensíveis (Sensitive Data Discovery) – Pré-visualização
Preços: O preço do Microsoft Defender for Storage aplica-se a nuvens comerciais. Saiba mais sobre preços e disponibilidade por região.


Tipos de armazenamento suportados:
Blob Storage (Standard/Premium StorageV2, incluindo Data Lake Gen2): monitoramento de atividades, verificação de malware, descoberta de dados confidenciais
Arquivos do Azure (sobre API REST e SMB): monitoramento de atividades
Funções e permissões necessárias: Para a Verificação de Malware e a deteção de ameaças de dados confidenciais nos níveis de assinatura e conta de armazenamento, você precisa de funções de Proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para ativar o Monitoramento de Atividades, você precisa de permissões de 'Administrador de Segurança'. Leia mais sobre as permissões necessárias.
Nuvens: Nuvens comerciais*
Azure Government (apenas suporte de monitoramento de atividades no plano clássico)
Microsoft Azure operado pela 21Vianet
Contas da AWS conectadas

* A Zona DNS do Azure não é suportada para Análise de Malware e deteção de ameaças de dados sensíveis.

Quais são os benefícios do Microsoft Defender for Storage?

Diagrama mostrando os benefícios de usar o Defender for Storage para proteger seus dados.

O Defender for Storage fornece o seguinte:

  • Melhor proteção contra malware: A Verificação de Malware verifica e deteta quase em tempo real todos os tipos de arquivos, incluindo arquivos de cada blob carregado, e fornece resultados rápidos e confiáveis, ajudando você a evitar que suas contas de armazenamento atuem como um ponto de entrada e distribuição para ameaças. Saiba mais sobre a verificação de malware.

  • Melhor deteção de ameaças e proteção de dados confidenciais: O recurso de deteção de ameaças de dados confidenciais permite que os profissionais de segurança priorizem e examinem alertas de segurança de forma eficiente, considerando a sensibilidade dos dados que podem estar em risco, levando a uma melhor deteção e proteção contra ameaças potenciais. Ao identificar e abordar rapidamente os riscos mais significativos, esse recurso reduz a probabilidade de violações de dados e melhora a proteção de dados confidenciais ao detetar eventos de exposição e atividades suspeitas em recursos que contêm dados confidenciais. Saiba mais sobre a deteção de ameaças de dados confidenciais.

  • Deteção de entidades sem identidades: o Defender for Storage deteta atividades suspeitas geradas por entidades sem identidades que acessam seus dados usando Assinaturas de Acesso Compartilhado (tokens SAS) mal configuradas e excessivamente permissivas que podem ter vazado ou comprometido para que você possa melhorar a higiene de segurança e reduzir o risco de acesso não autorizado. Esse recurso é uma expansão do pacote de alertas de segurança do Activity Monitoring.

  • Cobertura das principais ameaças de armazenamento em nuvem: Alimentado pelo Microsoft Threat Intelligence, modelos comportamentais e modelos de aprendizado de máquina para detetar atividades incomuns e suspeitas. Os alertas de segurança do Defender for Storage abrangem as principais ameaças de armazenamento na nuvem, como exfiltração de dados confidenciais, corrupção de dados e uploads de arquivos mal-intencionados.

  • Segurança abrangente sem habilitar logs: quando o Microsoft Defender for Storage está habilitado, ele analisa continuamente o plano de dados e o fluxo de telemetria do plano de controle gerados pelos serviços Armazenamento de Blobs do Azure, Arquivos do Azure e Armazenamento do Azure Data Lake sem a necessidade de habilitar logs de diagnóstico.

  • Habilitação sem atrito em escala: o Microsoft Defender for Storage é uma solução sem agente, fácil de implantar e permite proteção de segurança em escala usando uma solução nativa do Azure.

Como funciona o serviço?

Monitorização da atividade

O Defender for Storage analisa continuamente os dados e controla os logs do plano a partir de contas de armazenamento protegidas quando ativado. Não há necessidade de ativar os logs de recursos para obter benefícios de segurança. Use o Microsoft Threat Intelligence para identificar assinaturas suspeitas, como endereços IP mal-intencionados, nós de saída do Tor e aplicativos potencialmente perigosos. Ele também cria modelos de dados e usa métodos estatísticos e de aprendizado de máquina para detetar anomalias de atividade de linha de base, que podem indicar comportamento mal-intencionado. Você recebe alertas de segurança para atividades suspeitas, mas o Defender for Storage garante que você não receberá muitos alertas semelhantes. O monitoramento de atividades não afetará o desempenho, a capacidade de ingestão ou o acesso aos seus dados.

Diagrama mostrando como o monitoramento de atividades identifica ameaças aos seus dados.

Verificação de malware (com tecnologia Microsoft Defender Antivirus)

Nota

A cobrança da verificação de malware começa em 3 de setembro de 2023. Para limitar as despesas, use o Monthly capping recurso para definir um limite para a quantidade de GB digitalizados por mês, por conta de armazenamento, para ajudá-lo a controlar seus custos.

A verificação de malware no Defender for Storage ajuda a proteger as contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, aplicando os recursos do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. Cada tipo de arquivo é verificado e os resultados da verificação são retornados para cada arquivo. O recurso de verificação de malware é uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero e suporta a automação da resposta em escala. Este é um recurso configurável no novo plano Defender for Storage que tem preço por GB digitalizado. Saiba mais sobre a verificação de malware.

Deteção de ameaças a dados confidenciais (com tecnologia Sensitive Data Discovery)

O recurso de "deteção de ameaças de dados sensíveis" permite que as equipes de segurança priorizem e examinem alertas de segurança de forma eficiente, considerando a sensibilidade dos dados que podem estar em risco, levando a uma melhor deteção e prevenção de violações de dados. A "Deteção de ameaças de dados confidenciais" é alimentada pelo mecanismo "Descoberta de dados confidenciais", um mecanismo sem agente que usa um método de amostragem inteligente para encontrar recursos com dados confidenciais. O serviço é integrado com os tipos de informações confidenciais (SITs) e rótulos de classificação do Microsoft Purview, permitindo a herança perfeita das configurações de sensibilidade da sua organização.

Este é um recurso configurável no novo plano Defender for Storage. Você pode optar por ativá-lo ou desativá-lo sem nenhum outro custo. Para obter mais detalhes, visite Deteção de ameaças de dados confidenciais.

Controlo de preços e custos

Preço por conta de armazenamento

O novo plano Microsoft Defender for Storage tem preços previsíveis com base no número de contas de armazenamento que você protege. Com a opção de habilitar no nível de assinatura ou recurso e excluir contas de armazenamento específicas de assinaturas protegidas, você tem maior flexibilidade para gerenciar sua cobertura de segurança. O plano de preços simplifica o processo de cálculo de custos, permitindo que você escale facilmente à medida que suas necessidades mudam. Outros encargos podem ser aplicados a contas de armazenamento com transações de alto volume.

Verificação de malware - Faturamento por GB, limite mensal e configuração

A Verificação de Malware é cobrada por gigabyte pelos dados digitalizados. Para garantir a previsibilidade de custos, um limite mensal pode ser estabelecido para o volume de dados digitalizados de cada conta de armazenamento, por mês. Esse limite pode ser definido em toda a assinatura, afetando todas as contas de armazenamento dentro da assinatura, ou aplicado a contas de armazenamento individuais. Em assinaturas protegidas, você pode configurar contas de armazenamento específicas com limites diferentes.

Por padrão, o limite é definido como 5.000 GB por mês por conta de armazenamento. Quando esse limite for excedido, a verificação será interrompida para os blobs restantes, com um intervalo de confiança de 20 GB. Para obter detalhes de configuração, consulte configurar o Defender for Storage.

Importante

A verificação de malware no Defender for Storage não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada a partir do primeiro dia de acordo com o esquema de preços disponível na página de preços do Defender for Cloud. A verificação de malware também incorrerá em cobranças adicionais para outros serviços do Azure - operações de leitura do Armazenamento do Azure, indexação de blob do Armazenamento do Azure e notificações da Grade de Eventos do Azure.

Habilitação em escala com controles granulares

O Microsoft Defender for Storage permite que você proteja seus dados em escala com controles granulares. Você pode aplicar políticas de segurança consistentes em todas as suas contas de armazenamento dentro de uma assinatura ou personalizá-las para contas específicas para atender às suas necessidades de negócios. Também pode controlar os seus custos escolhendo o nível de proteção de que necessita para cada recurso. Para começar, visite ativar o Defender for Storage.

Monitorando sua tampa de verificação de malware

Para garantir uma proteção ininterrupta e, ao mesmo tempo, gerenciar os custos de forma eficaz, há dois alertas de segurança informacionais relacionados ao uso do limite de verificação de malware. O primeiro alerta, , é acionado quando seu uso se aproxima de 75% do limite mensal definido, oferecendo um heads-up para ajustar seu limite, Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)se necessário. O segundo alerta, Malware Scanning stopped: monthly gigabytes scan cap reached (Preview), notifica quando o limite é atingido e a verificação é pausada para o mês, potencialmente deixando novos carregamentos não digitalizados. Ambos os alertas vêm com detalhes sobre as contas de armazenamento afetadas para facilitar uma ação rápida e informada, garantindo que você possa manter o nível desejado de segurança sem despesas inesperadas.

Compreender as diferenças entre a verificação de malware e a análise de reputação de hash

O Defender for Storage oferece dois recursos para detetar conteúdo malicioso carregado em contas de armazenamento: Verificação de malware (recurso de complemento pago disponível apenas no novo plano) e análise de reputação de hash (disponível em todos os planos).

Verificação de malware (recurso de complemento pago disponível apenas no novo plano)

A verificação de malware usa o Microsoft Defender Antivirus (MDAV) para verificar blobs carregados no armazenamento de Blobs, fornecendo uma análise abrangente que inclui verificações profundas de arquivos e análise de reputação de hash. Esse recurso fornece um nível aprimorado de deteção contra ameaças potenciais.

Análise de reputação de hash (disponível em todos os planos)

A análise de reputação de hash deteta malware potencial no armazenamento de Blob e nos Arquivos do Azure comparando os valores de hash de blobs/arquivos recém-carregados com os de malware conhecido pela Microsoft Threat Intelligence. Nem todos os protocolos de arquivo e tipos de operação são suportados com esse recurso, levando a que algumas operações não sejam monitoradas para possíveis carregamentos de malware. Os casos de uso não suportados incluem compartilhamentos de arquivos SMB e quando um blob é criado usando Put Block e Put blocklist.

Em resumo, o Malware Scanning, que só está disponível no novo plano de armazenamento de Blob, oferece uma abordagem mais abrangente para a deteção de malware, analisando o conteúdo completo dos arquivos e incorporando a análise de reputação de hash em sua metodologia de varredura.

Próximos passos

Neste artigo, você aprendeu sobre o Microsoft Defender for Storage.