Defender para Armazenamento
O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento.
Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados.
O Microsoft Defender para Armazenamento fornece segurança abrangente analisando o plano de dados e a telemetria do plano de controle gerados pelo Armazenamento de Blobs do Azure, Arquivos do Azure e serviços do Azure Data Lake Storage. Ele usa recursos avançados de detecção de ameaças alimentados pelas Informações sobre ameaças da Microsoft, Microsoft Defender Antivírus e Descoberta de Dados Confidenciais para ajudar você a descobrir e reduzir possíveis ameaças.
O Defender para Armazenamento inclui:
- Monitoramento de Atividades
- Detecção de ameaças de dados confidenciais (versão prévia do recurso, somente novo plano)
- Verificação de malware (somente plano novo)
Começando
Com uma configuração simples sem agente em escala, você poderá habilitar o Defender para Armazenamento nos níveis de assinatura ou de recursos por meio do portal ou programaticamente. Quando habilitada no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas nessa assinatura serão protegidas automaticamente. Também é possível excluir contas de armazenamento específicas de assinaturas protegidas.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | GA (Disponibilidade Geral) |
| Disponibilidade de recursos: | – Monitoramento de atividades (alertas de segurança) – GA (Disponibilidade Geral) – Verificação de Malware – GA (Disponibilidade Geral) – Detecção de ameaças de dados confidenciais (Descoberta de Dados Confidenciais) – Versão prévia |
| Precificação: | Os preços do Microsoft Defender para Armazenamento se aplicam a nuvens comerciais. Saiba mais sobre preços e disponibilidade por região. |
Tipos de armazenamento suportados: |
Armazenamento de Blobs (Standard/Premium StorageV2, incluindo Data Lake Gen2): Monitoramento de atividades, verificação de malware, descoberta de dados confidenciais Arquivos do Azure (pela API REST e SMB): monitoramento de atividades |
| Funções e permissões necessárias: | Para a Verificação de Malware e a detecção de ameaças a dados confidenciais nos níveis de assinatura e conta de armazenamento, você precisa de funções de proprietário (proprietário da assinatura/proprietário da conta de armazenamento) ou funções específicas com ações de dados correspondentes. Para habilitar o Monitoramento de Atividades, você precisará de permissões de "Administrador de Segurança". Leia mais sobre as permissões necessárias. |
| Nuvem: |  Nuvens comerciais* Azure Governamental (somente suporte de monitoramento de atividades no plano clássico) Microsoft Azure operado pela 21Vianet Contas AWS conectadas |
Observação
Não há suporte na zona DNS do Azure para a verificação de malware e a detecção de ameaças de dados confidenciais.
Quais são os benefícios do Microsoft Defender para Armazenamento?
O Defender para Armazenamento fornece o seguinte:
- Melhor proteção contra malware: a Verificação de Malware verifica e detecta quase em tempo real todos os tipos de arquivo, incluindo arquivos de cada blob carregado, e fornece resultados rápidos e confiáveis, ajudando você a impedir que suas contas de armazenamento atuem como um ponto de entrada e distribuição para ameaças. Saiba mais sobre a Verificação de Malware.
- Melhor detecção de ameaças e proteção de dados confidenciais: a funcionalidade de detecção de ameaças a dados confidenciais permite que os profissionais de segurança priorizem e examinem com eficiência alertas de segurança considerando a confidencialidade dos dados que podem estar em risco, levando a uma melhor detecção e proteção contra possíveis ameaças. Ao identificar e abordar rapidamente os riscos mais significativos, essa funcionalidade reduz a probabilidade de violações de dados e aprimora a proteção de dados confidenciais detectando eventos de exposição e atividades suspeitas em recursos que contêm dados confidenciais. Saiba mais sobre a detecção de ameaças de dados confidenciais.
- Detecção de entidades sem identidades: o Defender para Armazenamento detecta atividades suspeitas geradas por entidades sem identidades que acessam seus dados usando Assinaturas de Acesso Compartilhado (tokens SAS) incorretamente configuradas e excessivamente permissivas que podem ter vazado ou comprometido para que você possa melhorar os hábitos de segurança e reduzir o risco de acesso não autorizado. Essa funcionalidade é uma expansão do conjunto de alertas de segurança de Monitoramento de Atividades.
- Cobertura das principais ameaças de armazenamento em nuvem: alimentadas pelas Informações sobre ameaças da Microsoft, modelos comportamentais e modelos de aprendizado de máquina para detectar atividades incomuns e suspeitas. Os alertas de segurança do Defender para Armazenamento abrangem as principais ameaças de armazenamento em nuvem, como exfiltração de dados confidenciais, corrupção de dados e uploads de arquivos mal-intencionados.
- Segurança abrangente sem habilitar logs: quando o Microsoft Defender para Armazenamento está habilitado, ele analisa continuamente o fluxo de telemetria do plano de dados e do plano de controle gerado pelo Armazenamento de Blobs do Azure, arquivos do Azure e serviços do Azure Data Lake Storage sem a necessidade de habilitar logs de diagnóstico.
- Habilitação sem atrito em escala: o Microsoft Defender para Armazenamento é uma solução sem agente, fácil de implantar e habilita a proteção de segurança em escala usando uma solução nativa do Azure.
Como funciona o serviço?
Monitoramento de atividades
O Defender para Armazenamento analisa continuamente os logs de dados e do plano de controle de contas de armazenamento protegidas quando habilitado. Não é necessário ativar logs de recursos para obter benefícios de segurança. Use as Informações sobre ameaças da Microsoft para identificar assinaturas suspeitas, como endereços IP mal-intencionados, nós de saída do Tor e aplicativos potencialmente perigosos. Ele também cria modelos de dados e usa métodos estatísticos e de aprendizado de máquina para detectar anomalias de atividade de linha de base, o que pode indicar comportamento mal-intencionado. Você recebe alertas de segurança para atividades suspeitas, mas o Defender para Armazenamento garante que você não receberá muitos alertas semelhantes. O monitoramento de atividades não afetará o desempenho, a capacidade de ingestão ou o acesso aos seus dados.
Verificação de Malware (da plataforma Microsoft Defender Antivírus)
A verificação de malware do Defender para Armazenamento ajuda a proteger as contas de armazenamento contra conteúdo mal-intencionado, fazendo uma verificação completa de malware no conteúdo carregado quase em tempo real, com a aplicação de funcionalidades do Microsoft Defender Antivírus. Ele foi projetado para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável. Cada tipo de arquivo é verificado e os resultados da verificação são retornados para cada arquivo. A funcionalidade de Verificação de Malware é uma solução SaaS sem agente que permite uma configuração simples em escala, sem manutenção e dá suporte à automatização da resposta em escala. Esse é um recurso configurável no novo plano do Defender para Armazenamento que tem preços por GB verificados.
Detecção de ameaças de dados confidenciais (da plataforma Descoberta de Dados Confidenciais)
A funcionalidade de "detecção de ameaças de dados confidenciais" permite que as equipes de segurança priorizem e examinem alertas de segurança com eficiência considerando a confidencialidade dos dados que podem estar em risco, levando a uma melhor detecção e prevenção de violações de dados. A "detecção de ameaças de dados confidenciais" é alimentada pelo mecanismo "Descoberta de Dados Confidenciais", um mecanismo sem agente que usa um método de amostragem inteligente para encontrar recursos com dados confidenciais. O serviço é integrado aos SITs (tipos de informações confidenciais) do Microsoft Purview e aos rótulos de classificação, permitindo a herança perfeita das configurações de confidencialidade da sua organização.
Esse é um recurso configurável no novo plano do Defender para Armazenamento. Você poderá optar por habilitá-lo ou desabilitá-lo sem nenhum outro custo.
Controles de preços e custos
Preços por conta de armazenamento
O novo plano do Microsoft Defender para Armazenamento tem preços previsíveis com base no número de contas de armazenamento que você protege. Com a opção de habilitar no nível de assinatura ou recurso e excluir contas de armazenamento específicas de assinaturas protegidas, você aumentou a flexibilidade para gerenciar sua cobertura de segurança. O plano de preços simplifica o processo de cálculo de custo, permitindo dimensionar facilmente conforme suas necessidades mudam. Outros encargos podem ser aplicados a contas de armazenamento com transações de alto volume.
Verificação de Malware – cobrança por GB, limitação mensal e configuração
A Verificação de Malware é cobrada por gigabyte para dados verificados. Para garantir a previsibilidade de custo, um limite mensal pode ser estabelecido para o volume de dados verificado de cada conta de armazenamento, por mês. Esse limite pode ser definido em toda a assinatura, afetando todas as contas de armazenamento na assinatura ou aplicado a contas de armazenamento individuais. Em assinaturas protegidas, você poderá configurar contas de armazenamento específicas com limites diferentes.
Por padrão, o limite é definido como 5.000 GB por mês por conta de armazenamento. Depois que esse limite for excedido, a verificação cessará para os blobs restantes, com um intervalo de confiança de 20 GB.
A verificação de malware no Defender para Armazenamento não está incluída gratuitamente nos primeiros 30 dias de avaliação e será cobrada a partir do primeiro dia, de acordo com o esquema de preços disponível na página de preços do Defender para Nuvem. A verificação de malware também incorrerá em encargos adicionais para outros serviços do Azure: operações de leitura do Armazenamento do Microsoft Azure, indexação de blobs do Armazenamento do Microsoft Azure e notificações da Grade de Eventos do Azure.
Habilitação em escala com controles granulares
O Microsoft Defender para Armazenamento permite proteger seus dados em escala com controles granulares. É possível aplicar políticas de segurança consistentes em todas as suas contas de armazenamento em uma assinatura ou personalizá-las para contas específicas para atender às suas necessidades comerciais. Também é possível controlar seus custos escolhendo o nível de proteção necessário para cada recurso.
Noções básicas sobre as diferenças entre a Verificação de Malware e a análise de reputação de hash
O Defender para Armazenamento oferece dois recursos para detectar conteúdo mal-intencionado carregado em contas de armazenamento: verificação de malware (recurso de complemento pago disponível apenas no novo plano) e análise de reputação de hash (disponível em todos os planos).
Verificação de Malware (recurso de complemento pago disponível somente no novo plano)
A Verificação de Malware usa o MDAV (Microsoft Defender Antivírus) para verificar os blobs carregados no Armazenamento de Blobs, fornecendo uma análise abrangente que inclui verificações de arquivos profundas e análise de reputação de hash. Esse recurso fornece um nível aprimorado de detecção contra possíveis ameaças.
Análise de reputação de hash (disponível em todos os planos)
A análise de reputação de hash detecta possíveis malwares no Armazenamento de Blobs e nos Arquivos do Azure comparando os valores de hash de blobs/arquivos recém-carregados com relação aos malwares conhecidos pelas Informações sobre ameaças da Microsoft. Nem todos os protocolos de arquivo e tipos de operação têm suporte com essa funcionalidade, levando a algumas operações que não estão sendo monitoradas para possíveis uploads de malware. Casos de uso sem suporte incluem compartilhamentos de arquivos SMB e quando um blob é criado usando Put Block e Put blocklist.
Em resumo, a Verificação de Malware, que só está disponível no novo plano para armazenamento de Blobs, oferece uma abordagem mais abrangente para a detecção de malware analisando todo o conteúdo dos arquivos e incorporando a análise de reputação de hash em sua metodologia de verificação.