用于存儲的 Azure Defender

用于存儲的 Azure Defender 是 Azure 原生安全智能層，用于檢測試圖訪問或利用你的存儲帳戶的異常或可能有害的企圖。 它利用安全 AI 的高級功能和 Microsoft 威脅智能提供上下文安全警報(bào)和建議。

當(dāng)活動(dòng)出現(xiàn)異常時(shí)，會(huì)觸發(fā)安全警報(bào)。 這些警報(bào)與 Azure 安全中心集成，還通過電子郵件發(fā)送給訂閱管理員，其中包含可疑活動(dòng)的詳細(xì)信息以及有關(guān)如何調(diào)查和修正威脅的建議。

可用性

可用性

方面	詳細(xì)信息
發(fā)布狀態(tài)：	正式發(fā)布版 (GA)
定價(jià)：	用于存儲的 Azure Defender 按安全中心定價(jià)中顯示的定價(jià)計(jì)費(fèi)
受保護(hù)的存儲類型：	Blob 存儲 Azure 文件 Azure Data Lake Storage Gen2
云：	商業(yè)云  US Gov  China Gov，其他 Gov

適用于存儲的 Azure Defender 有哪些優(yōu)點(diǎn)？

適用于存儲的 Azure Defender 提供：

• Azure 本機(jī)安全性 - 單擊即可啟用適用于存儲的 Defender，可保護(hù)存儲在 Azure Blob、Azure 文件存儲和數(shù)據(jù)湖中的數(shù)據(jù)。 作為 Azure 本機(jī)服務(wù)，適用于存儲的 Defender 可集中為 Azure 管理的所有數(shù)據(jù)資產(chǎn)提供安全性，并與 Azure Sentinel 等其他 Azure 安全服務(wù)集成。

• 富檢測套件 - 適用于存儲的 Defender 中的檢測功能由 Microsoft 威脅情報(bào)提供支持，可檢測最常見的存儲威脅風(fēng)險(xiǎn)，例如匿名訪問、泄露憑據(jù)、社會(huì)工程、權(quán)限濫用和惡意內(nèi)容。

• 大規(guī)模響應(yīng) - 安全中心的自動(dòng)化工具使你可以更輕松地阻止和響應(yīng)已識別的威脅。 有關(guān)詳細(xì)信息，請參閱自動(dòng)響應(yīng)安全中心觸發(fā)器。

用于存儲的 Azure Defender 提供哪種類型的警報(bào)？

當(dāng)存在以下情況時(shí)，會(huì)觸發(fā)安全警報(bào)：

• 可疑訪問模式 - 例如，從 Tor 出口節(jié)點(diǎn)或從 Microsoft 威脅智能視為可疑的 IP 成功訪問

• 可疑活動(dòng) - 例如異常數(shù)據(jù)提取或訪問權(quán)限的異常更改

• 上傳惡意內(nèi)容 - 例如潛在的惡意軟件（基于哈希信譽(yù)分析）或托管釣魚內(nèi)容

警報(bào)包含觸發(fā)警報(bào)的事件的詳細(xì)信息，并提供有關(guān)如何調(diào)查和消除威脅的建議。 警報(bào)可導(dǎo)出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。

 提示

最佳做法是在訂閱級別配置用于存儲的 Azure Defender，但也可以在單獨(dú)的存儲帳戶上進(jìn)行配置。

什么是針對惡意軟件的哈希信譽(yù)分析？

為確定上傳的文件是否可疑，用于存儲的 Azure Defender 使用由 Microsoft 威脅情報(bào)提供支持的哈希信譽(yù)分析。 威脅防護(hù)工具不掃描上傳的文件，而是檢查存儲日志，并將新上傳的文件的哈希值與已知病毒、木馬、間諜軟件和勒索軟件的哈希值進(jìn)行比較。

當(dāng)懷疑某個(gè)文件包含惡意軟件時(shí)，安全中心會(huì)顯示一個(gè)警報(bào)，并且可以選擇向存儲所有者發(fā)送電子郵件，請求其批準(zhǔn)刪除該可疑文件。 若要設(shè)置為自動(dòng)刪除哈希信譽(yù)分析指示為包含惡意軟件的文件，請部署工作流自動(dòng)化，以便在出現(xiàn)包含“可能有惡意軟件上傳到存儲帳戶”信息的警報(bào)時(shí)觸發(fā)操作。

 備注

若要啟用安全中心的威脅保護(hù)功能，必須在包含適用工作負(fù)載的訂閱上啟用 Azure Defender。

可以在訂閱級別或資源級別啟用 用于存儲的 Azure Defender。

觸發(fā) Azure Defender for Storage 的測試警報(bào)

若要在你的環(huán)境中測試 Azure Defender for Storage 發(fā)出的安全警報(bào)，請執(zhí)行以下步驟，生成“從 Tor 出口節(jié)點(diǎn)訪問存儲帳戶”警報(bào)：

1. 打開存儲帳戶，并啟用 Azure Defender for Storage。

2. 從邊欄中選擇“容器”，打開現(xiàn)有容器或創(chuàng)建一個(gè)新容器。

   

3. 將文件上傳到該容器。

    注意

   不要上傳包含敏感數(shù)據(jù)的文件。

4. 在上傳的文件上使用上下文菜單以選擇“生成 SAS”。

   

5. 保留默認(rèn)選項(xiàng)，然后選擇“生成 SAS 令牌和 URL”。

6. 復(fù)制生成的 SAS URL。

7. 在本地計(jì)算機(jī)上，打開 Tor 瀏覽器。

    提示

   可以從 Tor 項(xiàng)目站點(diǎn) https://www.torproject.org/download/ 下載 Tor。

8. 在 Tor 瀏覽器中，導(dǎo)航到 SAS URL。

9. 下載步驟 3 中上傳的文件。

   在兩個(gè)小時(shí)內(nèi)，你將從安全中心獲得以下安全警報(bào)：