Общие сведения о Microsoft Defender для хранилища

Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения.
Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных.

Примечание.

Эта статья посвящена новому плану Defender для хранения, который был запущен 28 марта 2023 года. Она включает новые функции, такие как сканирование вредоносных программ и обнаружение угроз конфиденциальной данных. Этот план также обеспечивает более прогнозируемую ценовую структуру для более эффективного контроля над покрытием и затратами. Кроме того, все новые функции Defender будут добавлены только в новый план. Переход к новому плану — это простой процесс, см. здесь о том, как перейти с классического плана.

Microsoft Defender для хранилища обеспечивает комплексную безопасность путем анализа телеметрии плоскости данных и плоскости управления, созданных Хранилище BLOB-объектов Azure, Файлы Azure и служб Azure Data Lake Storage. Она использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence, антивирусная программа в Microsoft Defender и обнаружение конфиденциальных данных, чтобы помочь вам обнаружить и устранить потенциальные угрозы.

Defender для хранилища включает:

  • Мониторинг активности

  • Обнаружение угроз конфиденциальной данных (только новый план)

  • Сканирование вредоносных программ (только для нового плана)

Анимированная схема, показывающая, как Defender для хранилища защищает от распространенных угроз для данных.

Начало работы

С помощью простой настройки без агента в масштабе можно включить Defender для хранилища на уровне подписки или ресурсов на портале или программно. При включении на уровне подписки все существующие и вновь созданные учетные записи хранения в этой подписке будут автоматически защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок.

Примечание.

Если вы уже включили Защитник для хранилища (классическую) и хотите получить доступ к новым функциям безопасности и ценам, вам потребуется перейти к новому ценовому плану.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Доступность компонентов: — Мониторинг активности (оповещения системы безопасности) — общедоступная версия (GA)
— Сканирование вредоносных программ — общедоступная версия (GA)
— обнаружение угроз конфиденциальной данных (обнаружение конфиденциальных данных) — общедоступная версия (GA)
Цены. Цены на Microsoft Defender для хранилища применяются к коммерческим облакам. Дополнительные сведения о ценах и доступности для каждого региона.


Поддерживаемые типы хранилища:
Хранилище BLOB-объектов (standard/хранилище класса Premium V2, включая Data Lake 2-го поколения): мониторинг активности, сканирование вредоносных программ, обнаружение конфиденциальных данных
Файлы Azure (по REST API и SMB): мониторинг активности
Требуемые роли и разрешения Для обнаружения угроз сканирования вредоносных программ и конфиденциальных данных на уровнях подписки и учетных записей хранения требуются роли владельца (владелец подписки или владелец учетной записи хранения) или определенные роли с соответствующими действиями данных. Чтобы включить мониторинг действий, вам потребуется разрешение "Администратор безопасности". Дополнительные сведения о необходимых разрешениях.
Облако. Коммерческие облака*
Azure для государственных организаций (поддержка мониторинга действий только в классическом плане)
Microsoft Azure, управляемый 21Vianet (поддержка мониторинга действий только в классическом плане)
подключенные учетные записи AWS.

* Зона AZURE DNS не поддерживается для сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.

Каковы преимущества Microsoft Defender для хранилища?

Схема, показывающая преимущества использования Defender для хранения данных.

Defender для хранилища предоставляет следующие возможности:

  • Улучшенная защита от вредоносных программ: сканирование вредоносных программ и обнаружение в практически реальном времени всех типов файлов, включая архивы каждого загруженного большого двоичного объекта, и обеспечивает быстрые и надежные результаты, помогая предотвратить использование учетных записей хранения в качестве точки входа и распространения угроз. Дополнительные сведения о проверке вредоносных программ.

  • Улучшено обнаружение угроз и защита конфиденциальных данных: возможность обнаружения угроз конфиденциальной информации позволяет специалистам по безопасности эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к улучшению обнаружения и защиты от потенциальных угроз. Быстро идентифицируя и устраняя наиболее значительные риски, эта возможность снижает вероятность нарушений данных и повышает защиту конфиденциальных данных путем обнаружения событий воздействия и подозрительных действий на ресурсах, содержащих конфиденциальные данные. Дополнительные сведения об обнаружении угроз конфиденциальных данных.

  • Обнаружение сущностей без удостоверений: Defender для хранилища обнаруживает подозрительные действия, созданные сущностями без удостоверений, которые обращаются к данным с использованием неправильно настроенных и чрезмерно разрешенных подписанных URL-адресов (маркеров SAS), которые могут быть утечкой или скомпрометированы, чтобы повысить гигиену безопасности и снизить риск несанкционированного доступа. Эта возможность является расширением набора оповещений системы безопасности мониторинга активности.

  • Охват основных угроз облачного хранилища: Powered microsoft Threat Intelligence, поведенческих моделей и моделей машинного обучения для обнаружения необычных и подозрительных действий. Оповещения системы безопасности Defender для хранилища охватывают основные угрозы облачного хранилища, такие как утечка конфиденциальных данных, повреждение данных и отправка вредоносных файлов.

  • Комплексная безопасность без включения журналов. При включении Microsoft Defender для хранилища она постоянно анализирует поток телеметрии плоскости данных и плоскости управления, создаваемый Хранилище BLOB-объектов Azure, Файлы Azure и службами Azure Data Lake Storage без необходимости включения журналов диагностики.

  • Включение без трений в масштабе: Microsoft Defender для хранилища — это бессерверное решение, простое для развертывания и включение защиты безопасности в масштабе с помощью собственного решения Azure.

Как работает служба?

Мониторинг активности

Defender для хранилища постоянно анализирует журналы данных и плоскости управления из защищенных учетных записей хранения при включении. Нет необходимости включать журналы ресурсов для преимуществ безопасности. Используйте Microsoft Threat Intelligence для выявления подозрительных подписей, таких как вредоносные IP-адреса, узлы выхода tor и потенциально опасные приложения. Он также создает модели данных и использует статистические и методы машинного обучения для выявления аномалий базовых действий, которые могут указывать на вредоносное поведение. Вы получаете оповещения системы безопасности для подозрительных действий, но Defender для хранилища гарантирует, что вы не получите слишком много похожих оповещений. Мониторинг активности не влияет на производительность, емкость приема или доступ к данным.

Схема, показывающая, как мониторинг действий определяет угрозы для данных.

Сканирование вредоносных программ (на антивирусная программа в Microsoft Defender)

Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ на загруженном содержимом практически в режиме реального времени, применяя антивирусная программа в Microsoft Defender возможности. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Каждый тип файла сканируется, и результаты сканирования возвращаются для каждого файла. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе. Это настраиваемая функция в новом плане Защитника для хранилища, который по цене за отсканирован на ГБ. Дополнительные сведения о проверке вредоносных программ.

Обнаружение угроз конфиденциальной данных (на языке обнаружения конфиденциальных данных)

Возможность "обнаружения угроз конфиденциальных данных" позволяет группам безопасности эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к улучшению обнаружения и предотвращения нарушений данных. "Обнаружение угроз конфиденциальных данных" работает с помощью обработчика "Обнаружение конфиденциальных данных", обработчик без агента, использующий интеллектуальный метод выборки для поиска ресурсов с конфиденциальными данными. Служба интегрирована с типами конфиденциальной информации (SIT) Microsoft Purview и метками классификации, что позволяет легко наследование параметров конфиденциальности вашей организации.

Это настраиваемая функция в новом плане Defender для хранилища. Вы можете включить или отключить его без других затрат. Дополнительные сведения см. в статье "Обнаружение угроз конфиденциальных данных".

Элементы управления ценами и затратами

Цены на учетную запись хранения

Новый план Microsoft Defender для хранилища имеет прогнозируемую цену на основе количества защищенных учетных записей хранения. Если вы можете включить на уровне подписки или ресурса и исключить определенные учетные записи хранения из защищенных подписок, у вас есть повышенная гибкость для управления покрытием безопасности. План ценообразования упрощает процесс вычисления затрат, что позволяет легко масштабироваться по мере изменения потребностей. Другие расходы могут применяться к учетным записям хранения с большим объемом транзакций.

Сканирование вредоносных программ — выставление счетов за ГБ, ежемесячное ограничение и настройка

Сканирование вредоносных программ взимается по гигабайтам на основе сканированных данных. Чтобы обеспечить прогнозируемость затрат, ежемесячное ограничение можно установить для отсканированного объема данных каждой учетной записи хранения в месяц. Это ограничение можно задать на уровне подписки, влияя на все учетные записи хранения в подписке или применяться к отдельным учетным записям хранения. В разделе защищенных подписок можно настроить определенные учетные записи хранения с различными ограничениями.

По умолчанию ограничение равно 5000 ГБ в месяц на учетную запись хранения. После превышения этого порогового значения проверка прекратится для оставшихся больших двоичных объектов с интервалом доверия в 20 ГБ. Дополнительные сведения о конфигурации см. в разделе "Настройка Defender для хранилища".

Внимание

Сканирование вредоносных программ в Defender для хранилища не включается бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице цен на Defender для облака. Сканирование вредоносных программ также будет взимать дополнительную плату за другие службы Azure— служба хранилища Azure операции чтения, служба хранилища Azure индексирование BLOB-объектов и уведомления Сетка событий Azure.

Включение в масштабе с помощью детализированных элементов управления

Microsoft Defender для хранилища позволяет защитить данные в масштабе с помощью детализированных элементов управления. Вы можете применять согласованные политики безопасности во всех учетных записях хранения в подписке или настраивать их для определенных учетных записей в соответствии с потребностями бизнеса. Вы также можете контролировать затраты, выбрав уровень защиты, необходимый для каждого ресурса. Чтобы приступить к работе, перейдите к включению Defender для хранилища.

Мониторинг ограничения сканирования вредоносных программ

Чтобы обеспечить непрерывную защиту при эффективном управлении затратами, существует два оповещения информационной безопасности, связанные с сканированием вредоносных программ. Первое оповещение Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)активируется, так как использование приближается к 75 % набора ежемесячной крышки, предлагая головку для настройки крышки при необходимости. Второе оповещение уведомляет Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)вас о достижении ограничения и сканировании в течение месяца, потенциально оставляя новые отправки незасканированными. Оба оповещения содержат подробные сведения о затронутых учетных записях хранения для упрощения оперативного и информированного действия, обеспечивая поддержание требуемого уровня безопасности без непредвиденных расходов.

Общие сведения о различиях между сканированием вредоносных программ и анализом хэш-репутации

Defender для хранилища предоставляет две возможности для обнаружения вредоносного содержимого, отправленного в учетные записи хранения: сканирование вредоносных программ (платная функция надстройки доступна только в новом плане) и анализ репутации хэша (доступный во всех планах).

Сканирование вредоносных программ (платная функция надстройки доступна только в новом плане)

Сканирование вредоносных программ использует антивирусная программа в Microsoft Defender (MDAV) для сканирования больших двоичных объектов, отправленных в хранилище BLOB-объектов, предоставляя комплексный анализ, включающий глубокие проверки файлов и анализ репутации хэша. Эта функция обеспечивает расширенный уровень обнаружения потенциальных угроз.

Анализ репутации хэша (доступен во всех планах)

Анализ репутации хэша обнаруживает потенциальные вредоносные программы в хранилище BLOB-объектов и Файлы Azure путем сравнения хэш-значений недавно отправленных больших двоичных объектов или файлов с известными вредоносными программами Microsoft Threat Intelligence. Не все протоколы файлов и типы операций поддерживаются с этой возможностью, что приводит к тому, что некоторые операции не отслеживаются для потенциальных отправки вредоносных программ. Неподдерживаемые варианты использования включают общие папки SMB и при создании большого двоичного объекта с помощью списка блокировок Put и Put.

В итоге сканирование вредоносных программ, которое доступно только в новом плане для хранилища BLOB-объектов, предлагает более комплексный подход к обнаружению вредоносных программ, анализируя полное содержимое файлов и включив анализ репутации хэша в методологии сканирования.

Следующие шаги

Из этой статьи вы узнали о том, что такое Microsoft Defender для хранилища.