Visão geral do Microsoft Defender para Armazenamento

O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento.
Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos.

Observação

Este artigo é sobre o novo plano do Defender para Armazenamento que foi lançado em 28 de março de 2023. Ele inclui novos recursos, como Verificação de Malware e Detecção de Ameaças de Dados Confidenciais. Esse plano também fornece uma estrutura de preços mais previsível para um melhor controle de cobertura e de custos. Além disso, todos os novos recursos do Defender só serão adicionados ao novo plano. Migrar para o novo plano é um processo simples, leia aqui sobre como migrar do plano clássico.

O Microsoft Defender para Armazenamento fornece segurança abrangente ao analisar o plano de dados e a telemetria do painel de controle gerada pelos serviços Armazenamento de Blobs do Azure, Arquivos do Azure e Azure Data Lake Storage. Ele usa recursos avançados de detecção de ameaças da plataforma Inteligência contra Ameaças da Microsoft, Microsoft Defender Antivírus e Descoberta de Dados Confidenciais para ajudá-lo a descobrir e mitigar possíveis ameaças.

O Defender para Armazenamento inclui:

  • Monitoramento de Atividades

  • Detecção de ameaças de dados confidenciais (somente novo plano)

  • Verificação de Malware (somente no novo plano)

Diagrama animado mostrando como o Defender para Armazenamento protege contra ameaças comuns aos dados.

Introdução

Com uma configuração simples sem agente em escala, você pode habilitar o Defender para Armazenamento nos níveis de assinatura ou de recursos por meio do portal ou de forma programática. Quando habilitada no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas nessa assinatura serão protegidas automaticamente. Você também pode excluir contas de armazenamento específicas de assinaturas protegidas.

Observação

Se você já tiver o Defender para Armazenamento (clássico) habilitado e quiser acessar os preços e os novos recursos de segurança, precisará migrar para o novo plano de preços.

Disponibilidade

Aspecto Detalhes
Estado da versão: GA (Disponibilidade Geral)
Disponibilidade de recursos: - Monitoramento de atividades (alertas de segurança): Disponibilidade Geral (GA)
- Verificação de Malware: Disponibilidade Geral (GA)
– Detecção de ameaças de dados confidenciais (Descoberta de Dados Confidenciais) – DISPONIBILIDADE Geral (GA)
Preço: Os preços do Microsoft Defender para Armazenamento se aplicam a nuvens comerciais. Saiba mais sobre os preços e disponibilidade por região.


Tipos de armazenamento com suporte:
Armazenamento de Blobs (Armazenamento Standard/PremiumV2, incluindo o Data Lake Gen2): monitoramento de atividades, Verificação de Malware, Descoberta de Dados Confidenciais
Arquivos do Azure (pela API REST e pelo SMB): monitoramento de atividades
Funções e permissões necessárias: Para Verificação de Malware e detecção de ameaças de dados confidenciais nos níveis de assinatura e conta de armazenamento, você precisará de funções de Proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para habilitar o Monitoramento de Atividades, você precisa de permissões de "Administrador de Segurança". Leia mais sobre as permissões necessárias.
Nuvens: Nuvens comerciais*
Azure Governamental (somente suporte ao monitoramento de atividades no plano clássico)
Microsoft Azure operado pela 21Vianet (apenas suporte para monitoramento de atividades no plano clássico)
Contas da AWS conectadas

* A zona DNS do Azure não tem suporte para verificação de malware e detecção de ameaças a dados confidenciais.

Quais são os benefícios do Microsoft Defender para Armazenamento?

Diagrama mostrando os benefícios de usar o Defender para Armazenamento para proteger seus dados.

O Defender para Armazenamento fornece o seguinte:

  • Melhor proteção contra malware: a Verificação de Malware examina e detecta quase em tempo real todos os tipos de arquivo, incluindo arquivos de cada blob carregado, e fornece resultados rápidos e confiáveis, ajudando você a impedir que suas contas de armazenamento atuem como um ponto de entrada e de distribuição de ameaças. Saiba mais sobre a Verificação de Malware.

  • Melhor detecção de ameaças e proteção de dados confidenciais: a funcionalidade de detecção de ameaças de dados confidenciais permite que os profissionais de segurança priorizem e examinem alertas de segurança com eficiência, considerando a confidencialidade dos dados que podem estar em risco, levando a uma melhor detecção e proteção contra possíveis ameaças. Ao identificar e abordar rapidamente os riscos mais significativos, essa funcionalidade reduz a probabilidade de violações de dados e aprimora a proteção de dados confidenciais detectando eventos de exposição e atividades suspeitas de recursos que contêm dados confidenciais. Saiba mais sobre detecção de ameaças de dados confidenciais.

  • Detecção de entidades sem identidades: o Defender para Armazenamento detecta atividades suspeitas geradas por entidades sem identidades que acessam seus dados usando Assinaturas de Acesso Compartilhado (tokens SAS) configuradas incorretamente e excessivamente permissivas que podem ter sido vazadas ou comprometidas para que você possa melhorar a higiene de segurança e reduzir o risco de acesso não autorizado. Essa funcionalidade é uma expansão do conjunto de alertas de segurança do Monitoramento de Atividades.

  • Cobertura das principais ameaças de armazenamento em nuvem: da plataforma Inteligência contra Ameaças da Microsoft, modelos comportamentais e modelos de machine learning para detectar atividades incomuns e suspeitas. Os alertas de segurança do Defender para armazenamento abrangem as principais ameaças ao armazenamento em nuvem, como exfiltração de dados confidenciais, corrupção de dados e uploads de arquivos mal-intencionados.

  • Segurança abrangente sem habilitar logs: quando o Microsoft Defender para Armazenamento está habilitado, ele analisa continuamente o plano de dados e o fluxo de telemetria do painel de controle gerado pelos serviços Armazenamento de Blobs do Azure, Arquivos do Azure e Azure Data Lake Storage sem a necessidade de habilitar logs de diagnóstico.

  • Habilitação sem restrições em escala: o Microsoft Defender para Armazenamento é uma solução sem agente, fácil de implantar e permite a proteção de segurança em escala usando uma solução nativa do Azure.

Como funciona o serviço?

Monitorando de atividades

O Defender para Armazenamento analisa continuamente os dados e os logs do painel de controle de contas de armazenamento protegidas quando habilitados. Não é necessário ativar os logs de recursos para obter benefícios de segurança. Utilize a Inteligência contra Ameaças da Microsoft para identificar assinaturas suspeitas, como endereços IP maliciosos, nós de saída do Tor e aplicativos potencialmente perigosos. Ela também cria modelos de dados e usa métodos estatísticos e de aprendizado de máquina para detectar anomalias de atividade de linha de base, o que pode indicar comportamento mal-intencionado. Você recebe alertas de segurança sobre atividades suspeitas, mas o Defender para Armazenamento garante que você não receberá muitos alertas semelhantes. O monitoramento de atividades não afetará o desempenho, a capacidade de ingestão ou o acesso aos seus dados.

Diagrama mostrando como o monitoramento de atividades identifica ameaças aos seus dados.

Verificação de Malware (da plataforma Microsoft Defender Antivírus)

A varredura de malware no Defender para Armazenamento ajuda a proteger as contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa em busca de malware no conteúdo carregado quase em tempo real, aplicando os recursos do Microsoft Defender Antivirus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. Cada tipo de arquivo é verificado e os resultados da verificação são retornados para cada arquivo. O recurso de Verificação de Malware é uma solução SaaS sem agente que permite configuração simples em escala, com manutenção zero e dá suporte à resposta automática em escala. Esse é um recurso configurável no novo plano do Defender para Armazenamento cujo preço é calculado por GB verificado. Saiba mais sobre a Verificação de Malware.

Detecção de ameaças de dados confidenciais (da plataforma Descoberta de Dados Confidenciais)

A funcionalidade de "detecção de ameaças de dados confidenciais" permite que as equipes de segurança priorizem e examinem alertas de segurança com eficiência, considerando a confidencialidade dos dados que podem estar em risco, levando a uma melhor detecção e prevenção de violações de dados. A "detecção de ameaças de dados confidenciais" é alimentada pelo mecanismo "Descoberta de Dados Confidenciais", um mecanismo sem agente que usa um método de amostragem inteligente para encontrar recursos com dados confidenciais. O serviço é integrado aos SITs (tipos de informações confidenciais) e aos rótulos de classificação do Microsoft Purview, permitindo a herança perfeita das configurações de confidencialidade da sua organização.

Esse é um recurso configurável no novo plano do Defender para Armazenamento. Você pode optar por habilitá-lo ou desabilitá-lo sem nenhum outro custo. Para obter mais detalhes, visite Detecção de ameaças de dados confidenciais.

Preços e controles de custo

Preços da conta de armazenamento

O novo plano do Microsoft Defender para Armazenamento tem preços previsíveis com base no número de contas de armazenamento que você protege. Com a opção de habilitar no nível da assinatura ou do recurso e excluir contas de armazenamento específicas de assinaturas protegidas, você tem maior flexibilidade para gerenciar sua cobertura de segurança. O plano de preços simplifica o processo de cálculo de custo, permitindo que você dimensione facilmente conforme suas necessidades mudam. Outros preços podem ser aplicados a contas de armazenamento com transações de alto volume.

Verificação de Malware - Cobrança por GB, limite mensal e configuração

A Verificação de Malware é cobrada por gigabyte de dados verificados. Para garantir a previsibilidade de custos, um limite mensal pode ser estabelecido para o volume de dados verificado de cada conta de armazenamento, por mês. Esse limite pode ser definido em toda a assinatura, afetando todas as contas de armazenamento da assinatura ou aplicado a contas de armazenamento individuais. Em assinaturas protegidas, você pode configurar contas de armazenamento específicas com limites diferentes.

Por padrão, o limite é definido como 5.000 GB por mês por conta de armazenamento. Quando esse limite for ultrapassado, a verificação será interrompida para os blobs restantes, com um intervalo de confiança de 20 GB. Para obter detalhes de configuração, confira configurar o Defender para Armazenamento.

Importante

A verificação de malware no Defender para Armazenamento não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada desde o primeiro dia de acordo com os preços disponível na página de preços do Defender para Nuvem. A verificação de malware também incorrerá em cobranças adicionais por outros serviços do Azure - operações de leitura do Armazenamento do Azure, indexação de blob do Armazenamento do Azure e notificações da Grade de Eventos do Azure.

Habilitação em escala com controles granulares

O Microsoft Defender para Armazenamento permite proteger seus dados em escala com controles granulares. Você pode aplicar políticas de segurança consistentes em todas as suas contas de armazenamento em uma assinatura ou personalizá-las para contas específicas para atender às suas necessidades de negócios. Você também pode controlar seus custos escolhendo o nível de proteção necessário para cada recurso. Para começar, visite habilitar o Defender para Armazenamento.

Monitorar o limite de verificação de malware

Para garantir a proteção constante ao gerenciar efetivamente os custos, há dois alertas de segurança informativos relacionados ao uso do limite de verificação de malware. O primeiro alerta, Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview), é disparado à medida que seu uso se aproxima de 75% do limite mensal definido, oferecendo um aviso para ajustar o limite, se necessário. O segundo alerta, Malware Scanning stopped: monthly gigabytes scan cap reached (Preview), envia uma notificação quando o limite é atingido e a verificação é pausada para o mês, potencialmente não verificando novos uploads. Ambos os alertas vêm com detalhes sobre contas de armazenamento afetadas para facilitar a ação rápida e informada, garantindo que você mantenha o nível de segurança desejado sem despesas inesperadas.

Como entender as diferenças entre Verificação de Malware e análise de reputação de hash

O Defender para Armazenamento oferece dois recursos para detectar conteúdo mal-intencionado carregado em contas de armazenamento: a Verificação de Malware (recurso complementar pago, disponível apenas no novo plano) e análise de reputação de hash (disponível em todos os planos).

Verificação de Malware (recurso complementar pago, disponível apenas no novo plano)

Verificação em busca de Malware usa o Microsoft Defender Antivirus (MDAV) para verificar os blobs carregados no armazenamento Blob, fornecendo uma análise abrangente que inclui verificações profundas de arquivos e análise de reputação de hash. Esse recurso fornece um nível aprimorado de detecção contra possíveis ameaças.

Análise de reputação de hash (disponível em todos os planos)

A análise de reputação de hash detecta possíveis malwares no armazenamento de Blobs e nos Arquivos do Azure comparando os valores de hash de blobs/arquivos recém-carregados aos malwares conhecidos pela Inteligência contra Ameaças da Microsoft. Nem todos os protocolos de arquivo e tipos de operação são compatíveis com essa funcionalidade, o que resulta em algumas operações não sendo monitoradas para uploads com possibilidade de ser malware. Os casos de uso sem suporte incluem compartilhamentos de arquivos SMB e quando um blob é criado utilizando Colocar Bloqueio e Colocar Lista de Bloqueados.

Em resumo, a Verificação de Malware, que só está disponível no novo plano para armazenamento de Blobs, oferece uma abordagem mais abrangente para a detecção de malware analisando todo o conteúdo dos arquivos e incorporando a análise de reputação de hash em sua metodologia de verificação.

Próximas etapas

Neste artigo, você aprendeu sobre o Microsoft Defender para Armazenamento.