Konfigurace programu Microsoft Defender pro úložiště pro zjišťování hrozeb dat

Konfigurace programu Microsoft Defender pro úložiště pro zjišťování hrozeb dat

01/08/2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a optimalizaci programu Microsoft Defender pro úložiště. Ve scénáři, kde je úložiště dat v cloudu nezbytné pro provoz, je ochrana těchto dat před kybernetickými hrozbami prvořadá. Defender for Storage poskytuje nativní vrstvu zabezpečení Azure, která zjišťuje neobvyklou aktivitu a potenciální malware v účtech úložiště a zajišťuje integritu a důvěrnost dat [1].

Úvod

Účty úložiště Azure (Blob Storage, File Storage, Data Lake Storage atd.) jsou nezbytná úložiště pro širokou škálu dat, od záloh a souborů protokolů až po data aplikací a citlivé informace. Ochrana těchto aktiv je zásadní, protože porušení může vést k finančním ztrátám, poškození pověsti a problémům s dodržováním předpisů. Mezi běžné útoky na účty úložiště patří nahrávání malwaru, neoprávněný přístup, exfiltrace dat a manipulace s daty [2].

Microsoft Defender for Storage, součást Microsoft Defender for Cloud, je cloudové bezpečnostní řešení, které poskytuje inteligentní kontextovou detekci hrozeb pro účty Azure Storage. Nepřetržitě monitoruje aktivitu napříč účty úložiště a identifikuje podezřelé chování, jako je přístup z neobvyklých míst, pokusy o exfiltraci dat, nahrávání malwaru a kryptominové aktivity. Kromě toho nabízí pokročilé funkce, jako je skenování malwaru v reálném čase na bloby a detekci hrozeb pro citlivá data [3].

Tento návod se bude zabývat aktivací Defender for Storage na úrovni předplatného a účtu úložiště, konfigurací bezpečnostních výstrah, povolením skenování malwaru a zjišťováním hrozeb pro citlivá data. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou probrány bezpečnostní tipy, kontroly souladu a osvědčené postupy, aby byly vaše účty úložiště chráněny před nejnovějšími hrozbami autonomním, profesionálním a spolehlivým způsobem.

Proč je Microsoft Defender for Storage zásadní?

  • Komplexní detekce hrozeb: Identifikuje širokou škálu hrozeb, včetně malwaru, podezřelého přístupu, exfiltrace dat a kryptominačních aktivit.
  • Skenování malwaru v reálném čase: Prověřuje nahrané objekty blob v reálném čase pomocí zpravodajství o hrozbách společnosti Microsoft, aby detekovalo a zablokovalo škodlivé soubory dříve, než mohou způsobit poškození.
  • Detekce hrozeb citlivých dat: Používá mechanismy klasifikace dat k identifikaci podezřelých aktivit kolem uložených citlivých dat, jako je neoprávněný přístup nebo neobvyklý pohyb.
  • Actionable Security Alerts: Generuje podrobné bezpečnostní výstrahy v programu Microsoft Defender pro Cloud a poskytuje kontext a doporučení k nápravě.
  • Nativní integrace s Azure: Hladce se integruje s ekosystémem Azure a využívá Azure Monitor a Log Analytics pro monitorování a analýzu.
  • Soulad: Pomáhá splnit požadavky na shodu s předpisy, které vyžadují ochranu a monitorování uložených dat.

Předpoklady

Chcete-li nakonfigurovat Microsoft Defender pro úložiště, budete potřebovat následující položky:

  1. Aktivní předplatné Azure: Předplatné Azure k vytváření a správě prostředků.
  2. Administrativní přístup: Účet s rolí Vlastník, Přispěvatel nebo Správce zabezpečení v předplatném nebo skupině prostředků, kde jsou umístěny účty úložiště.
  3. Stávající účty Azure Storage: Účty úložiště (Blob, File, Data Lake Gen2), které chcete chránit.

Krok za krokem: Konfigurace programu Microsoft Defender pro úložiště

Povolme Defender for Storage a nakonfigurujeme jeho funkce.

1. Povolení úložiště Defender na úrovni předplatného

Nejlepším postupem je povolit Defender for Storage na úrovni předplatného, aby automaticky chránil všechny stávající a budoucí účty úložiště.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste se pomocí aúčet, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte „Microsoft Defender for Cloud“ a vyberte jej z výsledků.
  4. V levém navigačním panelu Defender for Cloud vyberte Nastavení prostředí.
  5. Vyberte předplatné, kde chcete povolit Defender for Storage.

  6. Na stránce plánů Defender najděte Úložiště a přepněte stav na Povoleno.

  7. Kliknutím na Nastavení pro plán úložiště zobrazíte pokročilé možnosti.

    • Skenování malwaru při nahrání: Ujistěte se, že je tato možnost nastavena na „Zapnuto“. To umožňuje skenování malwaru pro nahrané objekty blob téměř v reálném čase.
    • Detekce hrozeb citlivých dat: Ujistěte se, že je tato možnost nastavena na „Zapnuto“. To umožňuje detekovat podezřelou aktivitu kolem citlivých dat.
    • Události zabezpečení pro Azure Storage: Ujistěte se, že je tato možnost nastavena na „Zapnuto“. To umožňuje monitorování přístupu a síťových aktivit.

  8. Klikněte na Uložit.

    • Vysvětlení: Povolení Defender pro úložiště na úrovni předplatného zajistí, že všechny účty úložiště v rámci tohoto předplatného (stávající i nové) budou chráněny. Výchozí nastavení zahrnuje skenování malwaru v nahrávaných souborech a zjišťování hrozeb pro citlivá data.

2. Kontrola stavu úložiště v programu Defender na konkrétním účtu

Přestože je v předplatném povoleno, je dobré kontrolovat stav na jednotlivých účtech.

  1. Na webu Azure Portal přejděte na jeden ze svých účtů úložiště.
  2. V levém navigačním podokně účtu úložiště v části „Zabezpečení + síť“ vyberte Microsoft Defender for Cloud.
  3. Měli byste vidět, že stav Microsoft Defender for Storage je Povoleno.

3. Konfigurace bezpečnostních výstrah a upozornění

Upozornění jsou nezbytná pro upozorňování bezpečnostních týmů na zjištěné hrozby.

  1. V levém navigačním podokně Defender for Cloud vyberte Security Alerts.

  2. Zde si můžete prohlédnout všechna upozornění generovaná aplikací Defender for Storage a dalšími řešeními Defender for Cloud.

  3. Chcete-li nakonfigurovat e-mailová upozornění na výstrahy, v levém navigačním panelu Defender for Cloud vyberte Nastavení prostředí.

  4. Vyberte předplatné.
  5. V levém navigačním panelu vyberte E-mailová upozornění.
  6. Přidejte e-mailové adresy správců zabezpečení, kteří by měli dostávat výstrahy.
  7. Nastavte úroveň závažnosti upozornění, pro která chcete dostávat upozornění (např. „Vysoká“, „Střední“).
  8. Klikněte na Uložit.

4. Konfigurace skenování malwaru (skenování malwaru při nahrání) a detekce hrozeb citlivých dat

Tyto funkce jsou ve výchozím nastavení povoleny při povolení Defender for Storage v rámci předplatného, ale v případě potřeby je lze upravit podle účtu úložiště.

  1. Přejděte na konkrétní účet úložiště na Azure Portal.
  2. V levém navigačním podokně v části „Zabezpečení + síť“ vyberte Microsoft Defender for Cloud.
  3. Klikněte na „Nastavení“.
  4. Můžete vidět možnosti pro „Vyhledat malware v nahraných souborech“ a „Zjistit ohrožení citlivých dat“.
  5. Pokud požadujete jinou konfiguraci úrovně předplatného, ​​ujistěte se, že jsou obě možnosti pro tento účet úložiště „Povoleno“.
  6. Klikněte na Uložit.

Validace a testování

Je klíčové otestovat účinnost Defender for Storage, aby bylo zajištěno, že detekuje a varuje před očekávanými hrozbami.

1. Testování detekce malwaru (skenování při nahrání)

  1. Scénář: Nahrajte neškodný testovací soubor malwaru (jako je soubor EICAR, což je vzorek antivirového testu) do kontejneru blob v účtu chráněného úložiště.
    • Soubor EICAR můžete získat z https://www.eicar.org/download-and-test/.
    • Vytvořte textový soubor s následujícím obsahem a uložte jej jako eicar.com.txt: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDNÍ-ANTIVIROVÝ-TESTOVACÍ SOUBOR!$H+H*
  2. Očekávaná akce: Defender for Storage by měl detekovat soubor EICAR jako malware a vygenerovat bezpečnostní upozornění.
  3. Ověření:
    • V Azure Portal přejděte na Microsoft Defender for Cloud > Výstrahy zabezpečení.
    • Hledejte upozornění s názvem `Malware zjištěn v kontejneruskladovací systém nebo podobný. Výstraha musí obsahovat podrobnosti o souboru, kontejneru a účtu úložiště.

2. Testování detekce podezřelé aktivity (exfiltrace dat)

Simulace exfiltrace dat je složitější a musí být provedena v izolovaném testovacím prostředí. Můžeme však simulovat neobvyklý přístup, který by mohl vygenerovat výstrahu.

  1. Scénář: Přístup k účtu úložiště z adresy IP nebo geografického umístění, které vaše organizace obvykle nepoužívá. Například použijte VPN k simulaci přístupu z jiné země.
  2. Očekávaná akce: Defender for Storage může vygenerovat upozornění na „Neobvyklý přístup k účtu úložiště“ nebo „Podezřelá aktivita přístupu“.
  3. Ověření:
    • V Azure Portal přejděte na Microsoft Defender for Cloud > Výstrahy zabezpečení.
    • Hledejte upozornění související s anomálním přístupem.

3. Testování detekce hrozeb citlivých dat

Chcete-li otestovat detekci citlivých dat, budete potřebovat data klasifikovaná jako citlivá v rámci vašeho účtu úložiště a provést aktivitu, kterou by Defender for Storage považoval za podezřelou pro tato data. Například velký počet stažení dokumentů s informacemi o kreditní kartě.

  1. Scénář: Nahrajte do kontejneru blob nějaké textové soubory, které obsahují vzory citlivých dat (např. fiktivní čísla kreditních karet, fiktivní čísla sociálního pojištění). Poté simulujte hromadný přístup nebo stahování těchto souborů.
  2. Očekávaná akce: Defender for Storage může generovat výstrahy jako „Neobvyklý přístup k citlivým datům“ nebo „Potenciální únik citlivých dat“.
  3. Ověření:
    • V Azure Portal přejděte na Microsoft Defender for Cloud > Výstrahy zabezpečení.
    • Hledejte upozornění týkající se citlivých údajů.

Bezpečnostní tipy a doporučené postupy

  • Povolit na úrovni předplatného: Kdykoli je to možné, povolte Defender for Storage na úrovni předplatného, abyste zajistili úplné automatické pokrytí všech účtů úložiště.
  • Zkontrolovat a upravit výstrahy: Monitorujte výstrahy generované aplikací Defender pro úložiště. Upravte nastavení oznámení a prozkoumejte falešné poplachy, abyste zpřesnili detekci.
  • Integrace SIEM/SOAR: Integrujte výstrahy Defender for Cloud (včetně výstrah Defender for Storage) se svými SIEM (např. Microsoft Sentinel) a SOAR pro centralizovaný pohled na zabezpečení a automatizaci reakce na incidenty.
  • Princip nejmenšího oprávnění: Zajistěte, aby k účtům úložiště měly přístup pouze nezbytné entity (uživatelé, aplikace) s co nejmenšími oprávněními.
  • Šifrování v klidu a při přenosu: Zatímco Defender for Storage chrání před hrozbami, ujistěte se, že jsou vaše data vždy šifrována v klidu (ve výchozím nastavení v Azure Storage) a při přenosu (pomocí HTTPS).
  • Řízení přístupu k síti: Použijte brány firewall úložiště, koncové body služeb nebo privátní koncové body k omezení síťového přístupu k účtům úložiště.
  • Vzdělávání uživatelů: Informujte uživatele o rizicích nahrávání škodlivých souborů a důležitosti hlášení podezřelé aktivity.

Běžné odstraňování problémů

  • Defender for Storage není povolen:
    • Ověřte, zda je plán ,úložiště‘ v programu Microsoft Defender for Cloud ,povolen‘, a to jak na úrovni předplatného, tak na úrovni účtu úložiště, pokud je nakonfigurován individuálně.
    • Potvrďte, že předplatné má odpovídající licencování (často součástí Security Center Standard).
  • Upozornění se negenerují:
    • Ověřte správnost nastavení e-mailových upozornění v Centru zabezpečení.
    • Potvrďte, že diagnostické protokoly pro účet úložiště jsou odesílány do Log Analytics (pokud je používáte). Ačkoli Defender for Storage přímo nespoléhá na diagnostické protokoly při generování výstrah, jsou užitečné pro vyšetřování.
    • Ujistěte se, že aktivita, kterou testujete, skutečně spouští pravidlo detekce Defender for Storage. Některé činnosti mohou být považovány za normální v závislosti na kontextu.
  • Falešně pozitivní (Upozornění na legitimní aktivitu):
    • Prozkoumejte upozornění na portáluDefender pro Cloud, aby pochopil důvod výstrahy.
    • Pokud se jedná o legitimní aktivitu, můžete upozornění potlačit (opatrně) nebo upravit nastavení účtu/aplikace úložiště, abyste zabránili označení aktivity jako podezřelé.
    • Poskytněte společnosti Microsoft zpětnou vazbu o falešně pozitivních zjištěních a pomozte tak zlepšit zpravodajství o hrozbách.
  • Skenování malwaru nefunguje:
    • Ujistěte se, že v nastavení Defender for Storage pro příslušný účet je „Nahrát skenování malwaru“ „Povoleno“.
    • Potvrďte, že soubor, který nahráváte, je podporovaným typem souboru pro skenování malwaru (zejména blobů).
    • Po nahrání souboru může dojít k mírnému zpoždění při generování výstrah.

Závěr

Microsoft Defender for Storage je nezbytné řešení pro ochranu dat uložených v Azure proti neustále se vyvíjejícímu prostředí hrozeb. Správným povolením a konfigurací detekce malwaru, monitorování aktivity a detekce citlivých datových hrozeb mohou organizace výrazně posílit svou pozici v oblasti zabezpečení cloudu. Schopnost identifikovat a upozornit na podezřelou aktivitu v reálném čase umožňuje rychlou reakci na incidenty a minimalizuje dopad potenciálních narušení. S touto praktickou příručkou budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě aplikace Microsoft Defender for Storage, což zajistí, že jejich nejcennější datová aktiva zůstanou v bezpečí a budou v souladu s předpisy.

Reference:

[1] Microsoft Learn. Co je Microsoft Defender pro úložiště?. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-introduction [2] Microsoft Learn. Defender pro bezpečnostní hrozby a výstrahy. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-threats-alerts [3] Microsoft Learn. Nasaďte Microsoft Defender pro úložiště. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-storage-plan [4] Microsoft Learn. Skenování malwaru při nahrávání v aplikaci Microsoft Defender for Storage. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/on-upload-malware-scanning [5] Microsoft Learn. Nakonfigurujte skenování malwaru v aplikaci Microsoft Defender pro úložiště. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-configure-malware-scan [6] Microsoft Learn. Povolte Microsoft Defender pro úložiště pomocí Azure Portal. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-azure-portal-enablement