Обзор Microsoft Defender для служба хранилища (классическая версия)
Примечание.
Обновите новый план Microsoft Defender для служба хранилища. Она включает новые функции, такие как сканирование вредоносных программ и обнаружение угроз конфиденциальной данных. Этот план также обеспечивает более прогнозируемую ценовую структуру для более эффективного контроля над покрытием и затратами. Кроме того, все новые функции Defender для службы хранилища будут представлены только в новом плане. Переход к новому плану — это простой процесс, см. здесь о том, как перейти с классического плана. Если вы используете Defender для служба хранилища (классической) с ценами на каждую транзакцию или учетную запись хранения, вам потребуется перейти на новый план Defender для служба хранилища (классической) для доступа к этим функциям и ценам. Узнайте о преимуществах миграции в новый план Defender для служба хранилища.
Microsoft Defender для служба хранилища (классическая модель) — это собственный уровень аналитики безопасности Azure, который обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или их использования. Это решение использует расширенные возможности обнаружения угроз и данные анализа угроз Майкрософт, предлагая на их основе контекстных оповещения о безопасности. Эти оповещения также включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.
Вы можете включить Microsoft Defender для служба хранилища (классической) на уровне подписки (рекомендуется) или на уровне ресурса.
Defender для служба хранилища (классической) постоянно анализирует поток данных, создаваемый службами Хранилище BLOB-объектов Azure, Файлы Azure и Azure Data Lake служба хранилища. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака. Здесь представлены все сведения о подозрительных действиях, а также соответствующие действия по расследованию, действия по исправлению и рекомендации по безопасности.
Проанализированные данные Хранилище BLOB-объектов Azure включают такие типы операций, как Get Blob, , Put Blobи List BlobsGet Container ACLGet Blob Properties. Примерами проанализированных типов операций Файлы Azure являютсяGet File, Create File, List Files, Get File Properties и Put Range.
Защитник для служба хранилища (классическая версия) не обращается к данным учетной записи служба хранилища и не влияет на производительность.
Вы можете узнать больше, посмотрев это видео из серии "Defender для облака на практике":
Дополнительные сведения о Defender для служба хранилища (классической) см. в часто задаваемых вопросах.
Доступность
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия |
| Цены. | Плата за microsoft Defender для служба хранилища (классическая) взимается, как показано на странице цен |
| Типы защищенного хранилища: | Blob служба хранилища (Standard/хранилище класса Premium V2, блочные BLOB-объекты) Файлы Azure (через REST API и SMB) Azure Data Lake Storage 2-го поколения (учетные записи Standard/Premium с включенными иерархическими пространствами имен) |
| Облако. |  Коммерческие облака Azure для государственных организаций Microsoft Azure, управляемый 21Vianet подключенные учетные записи AWS. |
Каковы преимущества Microsoft Defender для служба хранилища (классическая версия)?
Защитник для служба хранилища (классический) предоставляет:
Встроенная безопасность Azure. С помощью 1 щелчка мыши Defender для служба хранилища (классической) защищает данные, хранящиеся в BLOB-объектах Azure, Файлы Azure и озерах данных. В качестве собственной службы Azure Defender для служба хранилища (классической) обеспечивает централизованную безопасность для всех ресурсов данных, управляемых Azure и интегрированных с другими службами безопасности Azure, такими как Microsoft Sentinel.
Расширенный набор обнаружения . Powered microsoft Threat Intelligence, обнаружения в Defender для служба хранилища (классической) охватывают основные угрозы хранения, такие как неавторентированный доступ, скомпрометированные учетные данные, атаки социального проектирования, кражи данных, злоупотребление привилегиями и вредоносное содержимое.
Масштабное реагирование. Инструменты автоматизации Defender для облака упрощают предотвращение выявленных угроз и реагирование на них. Дополнительные сведения см. в статье Автоматизация реагирования на триггеры Defender для облака.
Угрозы безопасности в облачных службах хранения
Исследователи корпорации Майкрософт по вопросам безопасности проанализировали направления атак служб хранилища. Учетные записи хранения могут сталкиваться с повреждением данных, раскрытием конфиденциального содержимого, распространением вредоносного содержимого, кражей данных, несанкционированным доступом и т. д.
Потенциальные риски безопасности описаны в матрице угроз для облачных служб хранилища и основаны на платформе MITRE ATT&CK®, база знаний для тактики и методов, используемых в кибератаках.
Какие оповещения предоставляютСя в Microsoft Defender для служба хранилища (классической версии)?
Оповещения системы безопасности активируются в следующих сценариях (обычно через 1–2 часа после события):
| тип угрозы; | Description |
|---|---|
| Необычный доступ к учетной записи | Например, доступ с выходного узла TOR, подозрительных IP-адресов, из необычных приложений, необычных мест и анонимный доступ без проверки подлинности. |
| Необычное поведение в учетной записи | Поведение, которое отклоняется от обучаемого базового плана. Например, изменение разрешений доступа в учетной записи, необычное проверка доступа, необычное исследование данных, необычное удаление БОЛЬШИХ двоичных объектов или файлов или необычное извлечение данных. |
| Обнаружение вредоносных программ на основе репутации хэша | Обнаружение известных вредоносных программ на основе полного большого двоичного объекта или хэша файла. Это может помочь обнаружить программы-шантажисты, вирусы, шпионские программы и другие вредоносные программы, отправленные в учетную запись, предотвратить его вход в организацию и распространить их на большее количество пользователей и ресурсов. См. также Ограничения анализа репутации хэша. |
| Необычные операции передачи файлов | Отправка в учетную запись необычных пакетов облачных служб и исполняемых файлов. |
| Данные в общем доступе | Потенциальные попытки взлома путем сканирования контейнеров и извлечения потенциально конфиденциальных данных из общедоступных контейнеров. |
| Фишинговые кампании | Содержимое, размещенное в службе хранилища Azure, определяется как участвующее в фишинговой атаке, затрагивающей пользователей Microsoft 365. |
Совет
Полный список всех оповещений Defender для служба хранилища (классической) см. на странице справки по оповещениям. Необходимо проверить предварительные требования, так как некоторые оповещения системы безопасности доступны только в новом плане Defender для служба хранилища. Сведения на справочной странице полезны для владельцев рабочих нагрузок, стремящихся понять обнаруженные угрозы и позволяет командам центра безопасности (SOC) ознакомиться с обнаружениями перед проведением расследований. Узнайте больше о том, что содержится в оповещениях безопасности Defender для облака и как ими управлять, из раздела Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака.
Оповещения содержат сведения об инциденте, который привел к их активации, а также рекомендации по определению причины угроз и их устранению. Оповещения можно экспортировать в Microsoft Sentinel, сторонние средства SIEM или любые другие внешние средства. Дополнительные сведения о оповещениях Stream см. в решении модели развертывания SIEM, SOAR или ИТ-классической модели развертывания.
Ограничения анализа репутации хэша
Совет
Если вы хотите, чтобы отправленные большие двоичные объекты сканировались на наличие вредоносных программ практически в режиме реального времени, рекомендуется выполнить обновление до нового плана Defender для служба хранилища. Дополнительные сведения о проверке вредоносных программ.
Репутация хэша не является глубокой проверкой файлов. Microsoft Defender для служба хранилища (классической) использует анализ репутации хэша, поддерживаемый Microsoft Threat Intelligence, чтобы определить, является ли загруженный файл подозрительным. Средства защиты от угроз не сканируют отправленные файлы; вместо этого они анализируют данные, созданные из служб больших двоичных объектов служба хранилища и файлов. Defender для служба хранилища (классической) затем сравнивает хэши недавно отправленных файлов с хэшами известных вирусов, троянов, шпионских программ и программ-шантажистов.
Анализ репутации хэша не поддерживается для всех протоколов файлов и типов операций. Некоторые, но не все журналы данных содержат хэш-значение связанного большого двоичного объекта или файла. В некоторых случаях данные не содержат хэш-значение. В результате некоторые операции не отслеживаются на предмет передачи известных вредоносных программ. Примеры таких неподдерживаемых вариантов использования включают S МБ общие папки и при создании большого двоичного объекта с помощью списка блокировок Put и Put.
Следующие шаги
В этой статье вы узнали о Microsoft Defender для служба хранилища (классической).
- Включение Defender для служба хранилища (классическая версия)
- Ознакомьтесь с общими вопросами о Защитнике для служба хранилища классической версии.