用于存储的 Azure Defender
次
用于存储的 Azure Defender 是 Azure 原生安全智能层,用于检测试图访问或利用你的存储帐户的异常或可能有害的企图。 它利用安全 AI 的高级功能和 Microsoft 威胁智能提供上下文安全警报和建议。
当活动出现异常时,会触发安全警报。 这些警报与 Azure 安全中心集成,还通过电子邮件发送给订阅管理员,其中包含可疑活动的详细信息以及有关如何调查和修正威胁的建议。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 定价: | 用于存储的 Azure Defender 按安全中心定价中显示的定价计费 |
| 受保护的存储类型: | Blob 存储 Azure 文件 Azure Data Lake Storage Gen2 |
| 云: |
 商业云 US Gov China Gov,其他 Gov |
适用于存储的 Azure Defender 有哪些优点?
适用于存储的 Azure Defender 提供:
Azure 本机安全性 - 单击即可启用适用于存储的 Defender,可保护存储在 Azure Blob、Azure 文件存储和数据湖中的数据。 作为 Azure 本机服务,适用于存储的 Defender 可集中为 Azure 管理的所有数据资产提供安全性,并与 Azure Sentinel 等其他 Azure 安全服务集成。
富检测套件 - 适用于存储的 Defender 中的检测功能由 Microsoft 威胁情报提供支持,可检测最常见的存储威胁风险,例如匿名访问、泄露凭据、社会工程、权限滥用和恶意内容。
大规模响应 - 安全中心的自动化工具使你可以更轻松地阻止和响应已识别的威胁。 有关详细信息,请参阅自动响应安全中心触发器。
用于存储的 Azure Defender 提供哪种类型的警报?
当存在以下情况时,会触发安全警报:
可疑访问模式 - 例如,从 Tor 出口节点或从 Microsoft 威胁智能视为可疑的 IP 成功访问
可疑活动 - 例如异常数据提取或访问权限的异常更改
上传恶意内容 - 例如潜在的恶意软件(基于哈希信誉分析)或托管钓鱼内容
警报包含触发警报的事件的详细信息,并提供有关如何调查和消除威胁的建议。 警报可导出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。
提示
最佳做法是在订阅级别配置用于存储的 Azure Defender,但也可以在单独的存储帐户上进行配置。
什么是针对恶意软件的哈希信誉分析?
为确定上传的文件是否可疑,用于存储的 Azure Defender 使用由 Microsoft 威胁情报提供支持的哈希信誉分析。 威胁防护工具不扫描上传的文件,而是检查存储日志,并将新上传的文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。
当怀疑某个文件包含恶意软件时,安全中心会显示一个警报,并且可以选择向存储所有者发送电子邮件,请求其批准删除该可疑文件。 若要设置为自动删除哈希信誉分析指示为包含恶意软件的文件,请部署工作流自动化,以便在出现包含“可能有恶意软件上传到存储帐户”信息的警报时触发操作。
备注
若要启用安全中心的威胁保护功能,必须在包含适用工作负载的订阅上启用 Azure Defender。
可以在订阅级别或资源级别启用 用于存储的 Azure Defender。
触发 Azure Defender for Storage 的测试警报
若要在你的环境中测试 Azure Defender for Storage 发出的安全警报,请执行以下步骤,生成“从 Tor 出口节点访问存储帐户”警报:
打开存储帐户,并启用 Azure Defender for Storage。
-
从边栏中选择“容器”,打开现有容器或创建一个新容器。
-
将文件上传到该容器。
注意
不要上传包含敏感数据的文件。
-
在上传的文件上使用上下文菜单以选择“生成 SAS”。
保留默认选项,然后选择“生成 SAS 令牌和 URL”。
复制生成的 SAS URL。
-
在本地计算机上,打开 Tor 浏览器。
提示
可以从 Tor 项目站点 https://www.torproject.org/download/ 下载 Tor。
在 Tor 浏览器中,导航到 SAS URL。
-
下载步骤 3 中上传的文件。
在两个小时内,你将从安全中心获得以下安全警报:
