用于存儲的 Azure Defender

來源： Microsoft

作者：Microsoft

時間：2021-07-28

用于存儲的 Azure Defender 是 Azure 原生安全智能層，用于檢測試圖訪問或利用你的存儲帳戶的異常或可能有害的企圖。它利用安全 AI 的高級功能和 Microsoft 威脅智能提供上下文安全警報和建議。

用于存儲的 Azure Defender 是 Azure 原生安全智能層，用于檢測試圖訪問或利用你的存儲帳戶的異?；蚩赡苡泻Φ钠髨D。它利用安全 AI 的高級功能和 Microsoft 威脅智能提供上下文安全警報和建議。

當活動出現(xiàn)異常時，會觸發(fā)安全警報。這些警報與 Azure 安全中心集成，還通過電子郵件發(fā)送給訂閱管理員，其中包含可疑活動的詳細信息以及有關(guān)如何調(diào)查和修正威脅的建議。

可用性

可用性
方面	詳細信息
發(fā)布狀態(tài)：	正式發(fā)布版 (GA)
定價：	用于存儲的 Azure Defender 按安全中心定價中顯示的定價計費
受保護的存儲類型：	Blob 存儲 Azure 文件 Azure Data Lake Storage Gen2
云：	商業(yè)云 US Gov China Gov，其他 Gov

適用于存儲的 Azure Defender 有哪些優(yōu)點？

適用于存儲的 Azure Defender 提供：

Azure 本機安全性 - 單擊即可啟用適用于存儲的 Defender，可保護存儲在 Azure Blob、Azure 文件存儲和數(shù)據(jù)湖中的數(shù)據(jù)。作為 Azure 本機服務(wù)，適用于存儲的 Defender 可集中為 Azure 管理的所有數(shù)據(jù)資產(chǎn)提供安全性，并與 Azure Sentinel 等其他 Azure 安全服務(wù)集成。
富檢測套件 - 適用于存儲的 Defender 中的檢測功能由 Microsoft 威脅情報提供支持，可檢測最常見的存儲威脅風(fēng)險，例如匿名訪問、泄露憑據(jù)、社會工程、權(quán)限濫用和惡意內(nèi)容。
大規(guī)模響應(yīng) - 安全中心的自動化工具使你可以更輕松地阻止和響應(yīng)已識別的威脅。有關(guān)詳細信息，請參閱自動響應(yīng)安全中心觸發(fā)器。

適用于存儲的 Azure Defender 功能的概要性介紹

用于存儲的 Azure Defender 提供哪種類型的警報？

當存在以下情況時，會觸發(fā)安全警報：

可疑訪問模式 - 例如，從 Tor 出口節(jié)點或從 Microsoft 威脅智能視為可疑的 IP 成功訪問
可疑活動 - 例如異常數(shù)據(jù)提取或訪問權(quán)限的異常更改
上傳惡意內(nèi)容 - 例如潛在的惡意軟件（基于哈希信譽分析）或托管釣魚內(nèi)容

警報包含觸發(fā)警報的事件的詳細信息，并提供有關(guān)如何調(diào)查和消除威脅的建議。警報可導(dǎo)出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。

提示

最佳做法是在訂閱級別配置用于存儲的 Azure Defender，但也可以在單獨的存儲帳戶上進行配置。

什么是針對惡意軟件的哈希信譽分析？

為確定上傳的文件是否可疑，用于存儲的 Azure Defender 使用由 Microsoft 威脅情報提供支持的哈希信譽分析。威脅防護工具不掃描上傳的文件，而是檢查存儲日志，并將新上傳的文件的哈希值與已知病毒、木馬、間諜軟件和勒索軟件的哈希值進行比較。

當懷疑某個文件包含惡意軟件時，安全中心會顯示一個警報，并且可以選擇向存儲所有者發(fā)送電子郵件，請求其批準刪除該可疑文件。若要設(shè)置為自動刪除哈希信譽分析指示為包含惡意軟件的文件，請部署工作流自動化，以便在出現(xiàn)包含“可能有惡意軟件上傳到存儲帳戶”信息的警報時觸發(fā)操作。

備注

若要啟用安全中心的威脅保護功能，必須在包含適用工作負載的訂閱上啟用 Azure Defender。

可以在訂閱級別或資源級別啟用用于存儲的 Azure Defender。

觸發(fā) Azure Defender for Storage 的測試警報

若要在你的環(huán)境中測試 Azure Defender for Storage 發(fā)出的安全警報，請執(zhí)行以下步驟，生成“從 Tor 出口節(jié)點訪問存儲帳戶”警報：

打開存儲帳戶，并啟用 Azure Defender for Storage。
從邊欄中選擇“容器”，打開現(xiàn)有容器或創(chuàng)建一個新容器。
將文件上傳到該容器。
注意
不要上傳包含敏感數(shù)據(jù)的文件。
在上傳的文件上使用上下文菜單以選擇“生成 SAS”。
保留默認選項，然后選擇“生成 SAS 令牌和 URL”。
復(fù)制生成的 SAS URL。
在本地計算機上，打開 Tor 瀏覽器。
提示
可以從 Tor 項目站點 https://www.torproject.org/download/ 下載 Tor。
在 Tor 瀏覽器中，導(dǎo)航到 SAS URL。
下載步驟 3 中上傳的文件。
在兩個小時內(nèi)，你將從安全中心獲得以下安全警報：