適用於 儲存體 的 Microsoft Defender 概觀
適用於 儲存體 的 Microsoft Defender 是 Azure 原生安全性情報層,可偵測記憶體帳戶的潛在威脅。
其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。
注意
本文是關於 2023 年 3 月 28 日推出的適用於 儲存體 的新 Defender 計劃。 其中包含惡意代碼掃描和敏感數據威脅偵測等新功能。 此方案也提供更可預測的定價結構,以便更準確地控制涵蓋範圍和成本。 此外,所有新的 Defender 功能只會新增至新方案。 移轉至新方案是一個簡單的程式,請在這裡閱讀如何從傳統方案移轉。
適用於 儲存體 的 Microsoft Defender 藉由分析 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake 儲存體 服務所產生的數據平面和控制平面遙測,以提供完整的安全性。 它會使用 Microsoft 威脅情報、Microsoft Defender 防毒軟體 和敏感數據探索所提供的進階威脅偵測功能,協助您探索並降低潛在威脅。
適用於 儲存體 的 Defender 包括:
- 活動監控
- 敏感數據威脅偵測 (預覽功能,僅限新方案)
- 惡意代碼掃描 (僅限新方案)
開始使用
透過大規模的簡單無代理程式設定,您可以透過入口網站或以程序設計方式,在訂用帳戶或資源層級啟用適用於 儲存體 的 Defender。 在訂用帳戶層級啟用時,該訂用帳戶下的所有現有和新建立的記憶體帳戶都會自動受到保護。 您也可以從受保護的訂用帳戶中排除特定的記憶體帳戶。
注意
如果您已啟用適用於 儲存體 的 Defender(傳統版),而且想要存取新的安全性功能和定價,則必須移轉至新的定價方案。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 正式發行 (GA) |
| 功能可用性: | - 活動監視 (安全性警示) - 正式上市 (GA) - 惡意代碼掃描 - 正式推出 (GA) - 敏感數據威脅偵測 (敏感數據探索) - 預覽 |
| 定價: | 適用於 儲存體 的 Microsoft Defender 定價適用於商業雲端。 深入瞭解 每個區域的定價和可用性。 |
支援的儲存體類型: |
Blob 儲存體 (標準/進階儲存體 V2,包括 Data Lake Gen2):活動監視、惡意程式碼掃描、敏感性資料探索 Azure 檔案儲存體 (透過 REST API 和 SMB):活動監視 |
| 必要的角色和權限: | 針對在訂用帳戶和儲存體帳戶層級的惡意程式碼掃描和敏感性資料威脅偵測,您需要擁有者角色 (訂用帳戶擁有者/儲存體帳戶擁有者) 或具有對應資料動作的特定角色。 若要啟用活動監視,您需要「安全性系統管理員」權限。 深入了解必要的權限。 |
| 雲端: |  商業雲端* Azure Government(僅限傳統方案的活動監視支援) 由 21Vianet 營運的 Microsoft Azure 已連線的 AWS 帳戶 |
* 惡意代碼掃描和敏感數據威脅偵測不支援 Azure DNS 區域。
適用於儲存體的 Microsoft Defender 有哪些優點?
適用於 儲存體 的 Defender 提供下列專案:
更妥善地防範惡意代碼:惡意代碼掃描會掃描並偵測近乎即時的所有檔類型,包括每個上傳的 Blob 封存,並提供快速且可靠的結果,協助您防止記憶體帳戶作為威脅的進入和發佈點。 深入瞭解惡意 代碼掃描。
改善敏感數據的威脅偵測與保護:敏感數據威脅偵測功能可讓安全性專業人員考慮可能面臨風險的數據敏感度,以有效率地排定優先順序並檢查安全性警示,進而改善偵測和防範潛在威脅。 藉由快速識別和解決最重要的風險,這項功能可降低數據外洩的可能性,並藉由偵測包含敏感數據之資源的暴露事件和可疑活動來增強敏感數據保護的可能性。 深入瞭解 敏感數據威脅偵測。
偵測沒有身分識別的實體:適用於 儲存體 的Defender會偵測未經識別的實體所產生的可疑活動,這些活動會使用設定錯誤且過度寬鬆的共用存取簽章(SAS 令牌)來存取您的數據,而可能洩漏或遭入侵,以便您可以改善安全性衛生,並降低未經授權的存取風險。 這項功能是活動監視安全性警示套件的擴充。
涵蓋最上層雲端記憶體威脅:由 Microsoft 威脅情報、行為模型和機器學習模型提供,以偵測異常和可疑的活動。 適用於 儲存體 的 Defender 安全性警示涵蓋頂級雲端記憶體威脅,例如敏感數據外泄、數據損毀,以及惡意檔案上傳。
未啟用記錄的完整安全性:啟用適用於 儲存體 的 Microsoft Defender 時,它會持續分析 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake 儲存體 服務所產生的數據平面和控制平面遙測數據流,而不需要啟用診斷記錄。
大規模無摩擦啟用:適用於 儲存體 的 Microsoft Defender 是無代理程式解決方案,易於部署,並使用原生 Azure 解決方案大規模啟用安全性保護。
服務的運作方式為何?
活動監視
適用於 儲存體的Defender會在啟用時,持續分析來自受保護記憶體帳戶的數據和控制平面記錄。 不需要開啟資源記錄以取得安全性優點。 使用 Microsoft 威脅情報來識別可疑的簽章,例如惡意 IP 位址、Tor 結束節點,以及潛在的危險應用程式。 它也會建置數據模型,並使用統計和機器學習方法來找出基準活動異常,這可能表示惡意行為。 您會收到可疑活動的安全性警示,但適用於 儲存體 的 Defender 可確保不會收到太多類似的警示。 活動監視不會影響效能、擷取容量或數據的存取。
惡意代碼掃描 (由 Microsoft Defender 防毒軟體 提供電源)
注意
惡意代碼掃描的計費從 2023 年 9 月 3 日開始。 若要限制費用,請使用 Monthly capping 此功能來設定每個記憶體帳戶每月掃描 GB 的上限,以協助您控制成本。
適用於 儲存體 Defender 中的惡意代碼掃描可透過近乎即時地對上傳的內容執行完整惡意代碼掃描,以協助保護記憶體帳戶免於惡意內容,並套用 Microsoft Defender 防毒軟體 功能。 其設計目的是為了協助滿足安全性與合規性需求來處理不受信任的內容。 系統會掃描每個檔類型,並針對每個檔案傳回掃描結果。 惡意代碼掃描功能是無代理程式 SaaS 解決方案,可讓您大規模進行簡單的設定,且零維護,並支援大規模自動回應。 這是適用於 儲存體 的新 Defender 方案中可設定的功能,每個 GB 掃描的價格。 深入瞭解惡意 代碼掃描。
敏感資料威脅偵測(由敏感數據探索提供電源)
「敏感數據威脅偵測」功能可讓安全性小組考慮可能面臨風險的數據敏感度,以有效率地排定安全性警示的優先順序並檢查安全性警示,進而改善偵測並防止數據外泄。 「敏感數據威脅偵測」是由「敏感數據探索」引擎所提供,這是使用智慧取樣方法來尋找具有敏感數據的資源的無代理程式引擎。 此服務與 Microsoft Purview 的敏感性資訊類型 (SIT) 和分類標籤整合,可讓您順暢地繼承組織的敏感度設定。
這是新Defender for 儲存體方案中的可設定功能。 您可以選擇啟用或停用它,而不需要其他成本。 如需詳細資訊,請流覽 敏感數據威脅偵測。
定價和成本控制
每個記憶體帳戶定價
新的適用於 儲存體 的 Microsoft Defender 方案會根據您所保護的記憶體帳戶數目,提供可預測的定價。 您可以選擇在訂用帳戶或資源層級啟用,並從受保護的訂用帳戶中排除特定記憶體帳戶,讓您能夠彈性地管理安全性涵蓋範圍。 定價方案可簡化成本計算程式,讓您在需求變更時輕鬆地調整規模。 其他費用可能會套用至具有大量交易的記憶體帳戶。
惡意代碼掃描 - 每 GB 計費、每月上限和設定
針對掃描的數據,惡意代碼掃描會以每 GB 為單位收費。 為了確保成本可預測性,可以針對每個記憶體帳戶每月掃描的數據量建立每月上限。 此上限可以設定全訂用帳戶、影響訂用帳戶內的所有記憶體帳戶,或套用至個別記憶體帳戶。 在受保護的訂用帳戶下,您可以設定具有不同限制的特定記憶體帳戶。
根據預設,每個記憶體帳戶的限制會設定為每月 5,000 GB。 超過此臨界值之後,掃描會停止剩餘的 Blob,且信賴區間為 20 GB。 如需設定詳細數據,請參閱設定適用於 儲存體的Defender。
重要
適用於 儲存體的 Defender 中的惡意代碼掃描在前 30 天試用版中不包含免費,且會根據 適用於雲端的 Defender 定價頁面上提供的定價方案,從第一天收取費用。 惡意代碼掃描也會對其他 Azure 服務產生額外費用 - Azure 儲存體 讀取作業、Azure 儲存體 Blob 索引編製和 Azure 事件方格 通知。
使用細微控件大規模啟用
適用於 儲存體 的 Microsoft Defender 可讓您使用細微的控制,大規模保護您的數據。 您可以在訂用帳戶內的所有記憶體帳戶套用一致的安全策略,或針對特定帳戶自定義它們,以符合您的業務需求。 您也可以選擇每個資源所需的保護層級來控制成本。 若要開始使用,請造訪啟用適用於 儲存體的Defender。
監視惡意代碼掃描上限
為了確保在有效管理成本的同時不受干擾的保護,有兩個與惡意代碼掃描上限使用量相關的資訊安全性警示。 第一個警示 Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)會在使用量接近設定每月上限的 75% 時觸發,並視需要提供頭來調整上限。 第二個警示 Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)會通知您達到上限,且掃描已暫停當月,可能會讓新的上傳保持未掃描狀態。 這兩個警示都會提供受影響記憶體帳戶的詳細數據,以利提示和明智的動作,確保您可以維持所需的安全性層級,而不需要非預期的費用。
瞭解惡意代碼掃描與哈希信譽分析之間的差異
適用於 儲存體 的 Defender 提供兩項功能來偵測上傳至記憶體帳戶的惡意內容:惡意代碼掃描(僅新方案上提供的付費附加元件功能)和哈希信譽分析(適用於所有方案)。
惡意代碼掃描(僅限新方案提供的付費附加元件功能)
惡意代碼掃描會使用 Microsoft Defender 防毒軟體 (MDAV) 來掃描上傳至 Blob 記憶體的 Blob,並提供包含深層檔案掃描和哈希信譽分析的完整分析。 這項功能提供針對潛在威脅的增強偵測層級。
哈希信譽分析 (適用於所有方案)
哈希信譽分析會藉由比較新上傳的 Blob/檔案與 Microsoft 威脅情報已知惡意代碼的哈希值,來偵測 Blob 記憶體和 Azure 檔案儲存體 的潛在惡意代碼。 這項功能並不支援所有檔案通訊協議和作業類型,導致某些作業無法監視潛在的惡意代碼上傳。 不支援的使用案例包括SMB檔案共用,以及使用Put區塊和Put封鎖清單建立 Blob 時。
總而言之,只有 Blob 記憶體的新方案才提供惡意代碼掃描,藉由分析檔案的完整內容,並在掃描方法中納入哈希信譽分析,提供更全面的惡意代碼偵測方法。
下一步
在本文中,您已了解適用於 儲存體 的 Microsoft Defender。