Översikt över Microsoft Defender för Storage

Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton.
Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data.

Kommentar

Den här artikeln handlar om den nya Defender for Storage-planen som lanserades den 28 mars 2023. Den innehåller nya funktioner som skanning av skadlig kod och identifiering av känsligt datahot. Den här planen har också en mer förutsägbar prisstruktur, vilket ger bättre kontroll över täckning och kostnader. Dessutom läggs alla nya Defender-funktioner bara till i den nya planen. Att migrera till den nya planen är en enkel process. Läs här om hur du migrerar från den klassiska planen.

Microsoft Defender för Storage ger omfattande säkerhet genom att analysera telemetrin för dataplanet och kontrollplanet som genereras av Azure Blob Storage, Azure Files och Azure Data Lake Storage-tjänster . Den använder avancerade funktioner för hotidentifiering som drivs av Microsoft Threat Intelligence, Microsoft Defender Antivirus och Känslig dataidentifiering för att hjälpa dig att identifiera och minimera potentiella hot.

Defender för Storage innehåller:

  • Aktivitetsövervakning

  • Identifiering av känsligt datahot (endast ny plan)

  • Skanning av skadlig kod (endast ny plan)

Animerat diagram som visar hur Defender för Storage skyddar mot vanliga hot mot data.

Komma igång

Med en enkel agentlös konfiguration i stor skala kan du aktivera Defender för lagring på prenumerations- eller resursnivå via portalen eller programmatiskt. När det är aktiverat på prenumerationsnivå skyddas alla befintliga och nyligen skapade lagringskonton under den prenumerationen automatiskt. Du kan också exkludera specifika lagringskonton från skyddade prenumerationer.

Kommentar

Om du redan har aktiverat Defender for Storage (klassisk) och vill komma åt de nya säkerhetsfunktionerna och prissättningen måste du migrera till den nya prisplanen.

Tillgänglighet

Aspekt Details
Versionstillstånd: Allmän tillgänglighet (GA)
Funktionstillgänglighet: – Aktivitetsövervakning (säkerhetsaviseringar) – Allmän tillgänglighet (GA)
– Skanning av skadlig kod – Allmän tillgänglighet (GA)
– Identifiering av känsligt datahot (identifiering av känsliga data) – allmän tillgänglighet (GA)
Prissättning: Priser för Microsoft Defender för lagring gäller för kommersiella moln. Läs mer om priser och tillgänglighet per region.


Lagringstyper som stöds:
Blob Storage (Standard/Premium StorageV2, inklusive Data Lake Gen2): Aktivitetsövervakning, genomsökning av skadlig kod, identifiering av känsliga data
Azure Files (via REST API och SMB): Aktivitetsövervakning
Nödvändiga roller och behörigheter: För skanning av skadlig kod och identifiering av känsliga datahot på prenumerations- och lagringskontonivåer behöver du ägarroller (prenumerationsägare/lagringskontoägare) eller specifika roller med motsvarande dataåtgärder. För att aktivera aktivitetsövervakning behöver du behörigheter som säkerhetsadministratör. Läs mer om de behörigheter som krävs.
Moln: Kommersiella moln*
Azure Government (endast stöd för aktivitetsövervakning i den klassiska planen)
Microsoft Azure drivs av 21Vianet (endast stöd för aktivitetsövervakning i den klassiska planen)
Anslutna AWS-konton

* Azure DNS-zonen stöds inte för genomsökning av skadlig kod och identifiering av känsliga datahot.

Vilka är fördelarna med Microsoft Defender för Storage?

Diagram som visar fördelarna med att använda Defender för Storage för att skydda dina data.

Defender för Storage innehåller följande:

  • Bättre skydd mot skadlig kod: Genomsökning av skadlig kod söker igenom och identifierar i nästan realtid alla filtyper, inklusive arkiv för varje uppladdad blob, och ger snabba och tillförlitliga resultat, vilket hjälper dig att förhindra att dina lagringskonton fungerar som en start- och distributionsplats för hot. Läs mer om skanning av skadlig kod.

  • Förbättrad hotidentifiering och skydd av känsliga data: Funktionen för identifiering av känsligt datahot gör det möjligt för säkerhetspersonal att effektivt prioritera och undersöka säkerhetsaviseringar genom att överväga känsligheten hos de data som kan vara utsatta för risk, vilket leder till bättre identifiering och skydd mot potentiella hot. Genom att snabbt identifiera och åtgärda de viktigaste riskerna minskar den här funktionen sannolikheten för dataintrång och förbättrar känsligt dataskydd genom att identifiera exponeringshändelser och misstänkta aktiviteter på resurser som innehåller känsliga data. Läs mer om identifiering av känsligt datahot.

  • Identifiering av entiteter utan identiteter: Defender for Storage identifierar misstänkta aktiviteter som genereras av entiteter utan identiteter som kommer åt dina data med felkonfigurerade och alltför tillåtande signaturer för delad åtkomst (SAS-token) som kan ha läckt ut eller komprometterats så att du kan förbättra säkerhetshygienen och minska risken för obehörig åtkomst. Den här funktionen är en utökning av sviten aktivitetsövervakningssäkerhetsaviseringar.

  • Täckning av de främsta molnlagringshoten: Drivs av Microsoft Threat Intelligence, beteendemodeller och maskininlärningsmodeller för att identifiera ovanliga och misstänkta aktiviteter. Säkerhetsaviseringar för Defender för lagring omfattar de främsta molnlagringshoten, till exempel exfiltrering av känsliga data, skadade data och skadliga filuppladdningar.

  • Omfattande säkerhet utan att aktivera loggar: När Microsoft Defender för lagring är aktiverat analyseras kontinuerligt både telemetriströmmen för dataplanet och kontrollplanet som genereras av Azure Blob Storage, Azure Files och Azure Data Lake Storage utan krav på att aktivera diagnostikloggar.

  • Friktionsfri aktivering i stor skala: Microsoft Defender för Storage är en agentlös lösning som är enkel att distribuera och möjliggör säkerhetsskydd i stor skala med hjälp av en inbyggd Azure-lösning.

Hur fungerar tjänsten?

Aktivitetsövervakning

Defender for Storage analyserar kontinuerligt data- och kontrollplansloggar från skyddade lagringskonton när de är aktiverade. Du behöver inte aktivera resursloggar för säkerhetsfördelar. Använd Microsoft Threat Intelligence för att identifiera misstänkta signaturer som skadliga IP-adresser, Tor-utgångsnoder och potentiellt farliga appar. Den bygger också datamodeller och använder statistiska metoder och maskininlärningsmetoder för att upptäcka avvikelser i baslinjeaktiviteten, vilket kan tyda på skadligt beteende. Du får säkerhetsaviseringar för misstänkta aktiviteter, men Defender för Lagring ser till att du inte får för många liknande aviseringar. Aktivitetsövervakning påverkar inte prestanda, inmatningskapacitet eller åtkomst till dina data.

Diagram som visar hur aktivitetsövervakning identifierar hot mot dina data.

Skanning av skadlig kod (drivs av Microsoft Defender Antivirus)

Genomsökning av skadlig kod i Defender för Lagring hjälper till att skydda lagringskonton från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid och använda Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskrav för att hantera obetrott innehåll. Varje filtyp genomsöks och genomsökningsresultat returneras för varje fil. Funktionen För skanning av skadlig kod är en agentlös SaaS-lösning som möjliggör enkel installation i stor skala, utan underhåll, och som stöder automatisering av svar i stor skala. Det här är en konfigurerbar funktion i den nya Defender for Storage-planen som prissätts per GB genomsökt. Läs mer om skanning av skadlig kod.

Identifiering av känsligt datahot (drivs av identifiering av känsliga data)

Funktionen "identifiering av känsligt datahot" gör det möjligt för säkerhetsteam att effektivt prioritera och undersöka säkerhetsaviseringar genom att överväga känsligheten hos de data som kan vara i riskzonen, vilket leder till bättre identifiering och förhindra dataintrång. "Identifiering av känsligt datahot" drivs av motorn "Känslig dataidentifiering", en agentlös motor som använder en metod för smart sampling för att hitta resurser med känsliga data. Tjänsten är integrerad med Microsoft Purviews typer av känslig information (SIT) och klassificeringsetiketter, vilket möjliggör sömlöst arv av organisationens känslighetsinställningar.

Det här är en konfigurerbar funktion i den nya Defender for Storage-planen. Du kan välja att aktivera eller inaktivera det utan någon annan kostnad. Mer information finns i Identifiering av känsligt datahot.

Pris- och kostnadskontroller

Priser per lagringskonto

Den nya Microsoft Defender for Storage-planen har förutsägbara priser baserat på antalet lagringskonton som du skyddar. Med alternativet att aktivera på prenumerations- eller resursnivå och exkludera specifika lagringskonton från skyddade prenumerationer har du ökad flexibilitet för att hantera din säkerhetstäckning. Prisplanen förenklar kostnadsberäkningsprocessen så att du enkelt kan skala när dina behov ändras. Andra avgifter kan tillkomma för lagringskonton med transaktioner med stora volymer.

Genomsökning av skadlig kod – Fakturering per GB, månatlig begränsning och konfiguration

Genomsökning av skadlig kod debiteras per gigabyte för genomsökt data. För att säkerställa kostnadsförutsägbarhet kan ett månatligt tak fastställas för varje lagringskontos genomsökta datavolym per månad. Det här taket kan anges i hela prenumerationen, vilket påverkar alla lagringskonton i prenumerationen eller tillämpas på enskilda lagringskonton. Under skyddade prenumerationer kan du konfigurera specifika lagringskonton med olika gränser.

Som standard är gränsen inställd på 5 000 GB per månad per lagringskonto. När det här tröskelvärdet har överskridits upphör genomsökningen för de återstående blobarna med ett konfidensintervall på 20 GB. Konfigurationsinformation finns i konfigurera Defender för lagring.

Viktigt!

Genomsökning av skadlig kod i Defender for Storage ingår inte kostnadsfritt under den första 30-dagars utvärderingsversionen och debiteras från och med den första dagen i enlighet med det prisschema som är tillgängligt på sidan med Defender för molnet prissättning. Genomsökning av skadlig kod medför också ytterligare avgifter för andra Azure-tjänster – Läsåtgärder för Azure Storage, Azure Storage-blobindexering och Azure Event Grid-meddelanden.

Aktivering i stor skala med detaljerade kontroller

Med Microsoft Defender för Storage kan du skydda dina data i stor skala med detaljerade kontroller. Du kan tillämpa konsekventa säkerhetsprinciper för alla dina lagringskonton i en prenumeration eller anpassa dem för specifika konton som passar dina affärsbehov. Du kan också styra dina kostnader genom att välja den skyddsnivå som du behöver för varje resurs. Kom igång genom att gå till Aktivera Defender för lagring.

Övervaka din skanningsgräns för skadlig kod

För att säkerställa oavbrutet skydd samtidigt som kostnaderna hanteras effektivt finns det två informationssäkerhetsaviseringar relaterade till användning av gräns för skadlig kodgenomsökning. Den första aviseringen, Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview), utlöses när din användning närmar sig 75 % av det angivna månatliga taket, vilket ger en heads-up för att justera ditt tak om det behövs. Den andra aviseringen, Malware Scanning stopped: monthly gigabytes scan cap reached (Preview), meddelar dig när taket har nåtts och genomsökningen pausas för månaden, vilket kan leda till att nya uppladdningar inte genomsöks. Båda aviseringarna kommer med information om berörda lagringskonton för att underlätta snabba och informerade åtgärder, vilket säkerställer att du kan upprätthålla önskad säkerhetsnivå utan oväntade utgifter.

Förstå skillnaderna mellan sökning efter skadlig kod och hash-ryktesanalys

Defender for Storage erbjuder två funktioner för att identifiera skadligt innehåll som laddats upp till lagringskonton: Skanning av skadlig kod (betald tilläggsfunktion som endast är tillgänglig i den nya planen) och hash-ryktesanalys (tillgänglig i alla planer).

Skanning av skadlig kod (betald tilläggsfunktion är endast tillgänglig i den nya planen)

Genomsökning av skadlig kod använder Microsoft Defender Antivirus (MDAV) för att skanna blobar som laddats upp till Blob Storage, vilket ger en omfattande analys som innehåller djupgående filgenomsökningar och hash-ryktesanalys. Den här funktionen ger en förbättrad identifieringsnivå mot potentiella hot.

Hash-ryktesanalys (finns i alla planer)

Hash-ryktesanalys identifierar potentiell skadlig kod i Blob Storage och Azure Files genom att jämföra hash-värdena för nyligen uppladdade blobar/filer med de som är kända för skadlig kod från Microsoft Threat Intelligence. Alla filprotokoll och åtgärdstyper stöds inte med den här funktionen, vilket leder till att vissa åtgärder inte övervakas för potentiella uppladdningar av skadlig kod. Användningsfall som inte stöds inkluderar SMB-filresurser och när en blob skapas med hjälp av Put Block och Put blocklist.

Sammanfattningsvis erbjuder Malware Scanning, som endast är tillgängligt i den nya planen för Blob Storage, en mer omfattande metod för identifiering av skadlig kod genom att analysera det fullständiga innehållet i filer och införliva hash-ryktesanalys i sin genomsökningsmetod.

Nästa steg

I den här artikeln har du lärt dig om Microsoft Defender för Storage.