Configurazione di Microsoft Defender per l'archiviazione per il rilevamento delle minacce di dati

Configurazione di Microsoft Defender per l'archiviazione per il rilevamento delle minacce di dati

01/08/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare gli analisti della sicurezza, gli amministratori IT e gli ingegneri di sistema nella configurazione e nell'ottimizzazione di Microsoft Defender for Storage. In uno scenario in cui l’archiviazione dei dati nel cloud è essenziale per le operazioni, la protezione di questi dati dalle minacce informatiche è fondamentale. Defender for Storage fornisce un livello di sicurezza nativo di Azure, rilevando attività insolite e potenziale malware negli account di archiviazione, garantendo l'integrità e la riservatezza dei dati [1].

Introduzione

Gli account di archiviazione di Azure (archiviazione BLOB, archiviazione file, Data Lake Storage e così via) sono repository essenziali per un'ampia gamma di dati, dai backup e file di log ai dati delle applicazioni e alle informazioni sensibili. La protezione di questi beni è fondamentale poiché una violazione può portare a perdite finanziarie, danni alla reputazione e problemi di conformità. Gli attacchi comuni agli account di archiviazione includono caricamento di malware, accesso non autorizzato, esfiltrazione e manipolazione dei dati [2].

Microsoft Defender for Storage, parte di Microsoft Defender for Cloud, è una soluzione di sicurezza basata su cloud che fornisce il rilevamento delle minacce intelligente e contestualizzato per gli account di archiviazione di Azure. Monitora continuamente l'attività degli account di archiviazione per identificare comportamenti sospetti come l'accesso da posizioni insolite, tentativi di esfiltrazione di dati, caricamenti di malware e attività di cryptomining. Inoltre, offre funzionalità avanzate come la scansione di malware in tempo reale per i BLOB e il rilevamento delle minacce per dati sensibili [3].

Questa guida pratica tratterà dell'abilitazione di Defender for Storage a livello di abbonamento e di account di archiviazione, della configurazione degli avvisi di sicurezza, dell'abilitazione della scansione del malware e del rilevamento delle minacce ai dati sensibili. Verranno fornite istruzioni dettagliate, esempi pratici e spiegazioni concise in modo che il lettore possa implementare, testare e convalidare queste funzionalità. Inoltre, verranno discussi suggerimenti sulla sicurezza, controlli di conformità e procedure consigliate per garantire che i tuoi account di archiviazione siano protetti dalle minacce più recenti in modo autonomo, professionale e affidabile.

Perché Microsoft Defender for Storage è fondamentale?

  • Rilevamento completo delle minacce: identifica un'ampia gamma di minacce, tra cui malware, accessi sospetti, esfiltrazione di dati e attività di cryptomining.
  • Scansione malware in tempo reale: esegue la scansione dei BLOB caricati in tempo reale, utilizzando l'intelligence sulle minacce di Microsoft, per rilevare e bloccare file dannosi prima che possano causare danni.
  • Rilevamento minacce dati sensibili: utilizza meccanismi di classificazione dei dati per identificare attività sospette relative ai dati sensibili archiviati, come accessi non autorizzati o movimenti insoliti.
  • Avvisi di sicurezza utilizzabili: genera avvisi di sicurezza dettagliati in Microsoft Defender for Cloud, fornendo consigli sul contesto e sulla correzione.
  • Integrazione nativa con Azure: si integra perfettamente con l'ecosistema Azure, sfruttando Monitoraggio di Azure e Log Analytics per il monitoraggio e l'analisi.
  • Conformità: aiuta a soddisfare i requisiti di conformità normativa che richiedono protezione e monitoraggio dei dati archiviati.

Prerequisiti

Per configurare Microsoft Defender per Storage, avrai bisogno dei seguenti elementi:

  1. Abbonamento Azure attivo: un abbonamento Azure per creare e gestire risorse.
  2. Accesso amministrativo: un account con il ruolo di "Proprietario", "Collaboratore" o "Amministratore della sicurezza" sulla sottoscrizione o sul gruppo di risorse in cui si trovano gli account di archiviazione.
  3. Account di archiviazione di Azure esistenti: account di archiviazione (BLOB, file, Data Lake Gen2) che si desidera proteggere.

Passo dopo passo: configurazione di Microsoft Defender per l'archiviazione

Abilitiamo Defender for Storage e configuriamo le sue funzionalità.

1. Abilitazione di Defender per l'archiviazione a livello di abbonamento

La procedura consigliata consiste nell'abilitare Defender for Storage a livello di abbonamento per proteggere automaticamente tutti gli account di archiviazione esistenti e futuri.

  1. Apri il browser e accedi al portale di Azure: "https://portal.azure.com".
  2. Accedi con al'account che dispone delle autorizzazioni necessarie.
  3. Nel campo di ricerca in alto, digita "Microsoft Defender for Cloud" e selezionalo dai risultati.
  4. Nel riquadro di navigazione sinistro di Defender for Cloud, seleziona Impostazioni ambiente.
  5. Seleziona l'abbonamento in cui desideri abilitare Defender for Storage.

  6. Nella pagina dei piani Defender, trova "Archiviazione" e imposta lo stato su "Abilitato".

  7. Fare clic su "Impostazioni" per il piano di archiviazione per esaminare le opzioni avanzate.

    • Scansione malware durante il caricamento: assicurati che questa opzione sia "Attiva". Ciò consente la scansione del malware quasi in tempo reale per i BLOB caricati.
    • Rilevamento delle minacce relative ai dati sensibili: assicurati che questa opzione sia "Attiva". Ciò consente il rilevamento di attività sospette attorno ai dati sensibili.
    • Eventi di sicurezza per Archiviazione di Azure: assicurati che questa opzione sia "On". Ciò consente il monitoraggio degli accessi e delle attività di rete.

  8. Fare clic su Salva.

    • Spiegazione: l'abilitazione di Defender per l'archiviazione a livello di abbonamento garantisce che tutti gli account di archiviazione all'interno dell'abbonamento (esistenti e nuovi) siano protetti. Le impostazioni predefinite includono la scansione di malware nei caricamenti e il rilevamento di minacce ai dati sensibili.

2. Verifica dello stato di archiviazione di Defender su un account specifico

Pur essendo abilitato nell'abbonamento, è bene verificare lo stato sui singoli account.

  1. Nel portale di Azure passare a uno dei tuoi account di archiviazione.
  2. Nel riquadro di spostamento sinistro dell'account di archiviazione, in "Sicurezza + Rete", seleziona Microsoft Defender for Cloud.
  3. Dovresti vedere che lo stato di "Microsoft Defender for Storage" è "Abilitato".

3. Configurazione degli avvisi e delle notifiche di sicurezza

Gli avvisi sono essenziali per informare i team di sicurezza sulle minacce rilevate.

  1. Nel riquadro di navigazione sinistro di Defender for Cloud, seleziona Avvisi di sicurezza.

  2. Qui è possibile visualizzare tutti gli avvisi generati da Defender for Storage e altre soluzioni Defender for Cloud.

  3. Per configurare le notifiche e-mail per gli avvisi, nel riquadro di navigazione sinistro di Defender for Cloud, selezionare Impostazioni ambiente.

  4. Seleziona abbonamento.
  5. Nel riquadro di navigazione a sinistra, seleziona Notifiche email.
  6. Aggiungi gli indirizzi email degli amministratori della sicurezza che dovrebbero ricevere gli avvisi.
  7. Imposta il livello di gravità degli avvisi per i quali desideri ricevere notifiche (ad esempio "Alto", "Medio").
  8. Fare clic su Salva.

4. Configurazione della scansione antimalware (scansione antimalware in caricamento) e del rilevamento delle minacce relative ai dati sensibili

Queste funzionalità sono abilitate per impostazione predefinita quando si abilita Defender per l'archiviazione nell'abbonamento, ma, se necessario, possono essere modificate per ogni account di archiviazione.

  1. Passare a un account di archiviazione specifico nel portale di Azure.
  2. Nel riquadro di navigazione a sinistra, in "Sicurezza + Rete", seleziona Microsoft Defender for Cloud.
  3. Fare clic su "Impostazioni".
  4. Puoi visualizzare le opzioni per "Cerca malware nei caricamenti" e "Rileva minacce relative ai dati sensibili".
  5. Assicurarsi che entrambe le opzioni siano "abilitate" per questo account di archiviazione se è necessaria una configurazione del livello di sottoscrizione diversa.
  6. Fare clic su Salva.

Convalida e test

È fondamentale testare l'efficacia di Defender for Storage per garantire che rilevi e avvisi sulle minacce previste.

1. Test del rilevamento malware (scansione al caricamento)

  1. Scenario: caricare un file di test del malware innocuo (ad esempio il file EICAR, che è un modello di test antivirus) in un contenitore BLOB nell'account di archiviazione protetto.
    • È possibile ottenere il file EICAR da https://www.eicar.org/download-and-test/.
    • Crea un file di testo con il seguente contenuto e salvalo come eicar.com.txt: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  2. Azione prevista: Defender for Storage dovrebbe rilevare il file EICAR come malware e generare un avviso di sicurezza.
  3. Verifica:
    • Nel portale di Azure passare a Microsoft Defender for Cloud > Avvisi di sicurezza.
    • Cerca un avviso con il titolo "Malware rilevato in un contenitore".sistema di archiviazione o simile. L'avviso deve fornire dettagli sul file, sul contenitore e sull'account di archiviazione.

2. Test del rilevamento di attività sospette (esfiltrazione dei dati)

La simulazione dell'esfiltrazione dei dati è più complessa e deve essere eseguita in un ambiente di test isolato. Possiamo però simulare un accesso insolito che potrebbe generare un alert.

  1. Scenario: accedere all'account di archiviazione da un indirizzo IP o da una posizione geografica che in genere non viene utilizzata dall'organizzazione. Ad esempio, utilizza una VPN per simulare l'accesso da un paese diverso.
  2. Azione prevista: Defender for Storage può generare un avviso relativo a "Accesso insolito a un account di archiviazione" o "Attività di accesso sospetta".
  3. Verifica:
    • Nel portale di Azure passare a Microsoft Defender for Cloud > Avvisi di sicurezza.
    • Cerca avvisi relativi ad attività di accesso anomalo.

3. Testare il rilevamento delle minacce legate ai dati sensibili

Per testare il rilevamento dei dati sensibili, sarebbero necessari dati classificati come sensibili all'interno dell'account di archiviazione ed eseguire un'attività che Defender for Storage considererebbe sospetta per tali dati. Ad esempio, un gran numero di download di documenti con informazioni sulla carta di credito.

  1. Scenario: caricare alcuni file di testo in un contenitore BLOB che contengono modelli di dati sensibili (ad esempio numeri di carta di credito fittizi, numeri di previdenza sociale fittizi). Quindi simula un accesso o un download in blocco di questi file.
  2. Azione prevista: Defender for Storage può generare avvisi come "Accesso insolito a dati sensibili" o "Potenziale esfiltrazione di dati sensibili".
  3. Verifica:
    • Nel portale di Azure passare a Microsoft Defender for Cloud > Avvisi di sicurezza.
    • Cerca avvisi relativi a dati sensibili.

Suggerimenti e best practice per la sicurezza

  • Abilita a livello di abbonamento: quando possibile, abilita Defender per archiviazione a livello di abbonamento per garantire una copertura completa e automatica per tutti gli account di archiviazione.
  • Rivedi e modifica gli avvisi: monitora gli avvisi generati da Defender for Storage. Modifica le impostazioni di notifica e analizza i falsi positivi per perfezionare il rilevamento.
  • Integrazione SIEM/SOAR: integra gli avvisi di Defender for Cloud (inclusi gli avvisi di Defender for Storage) con il tuo SIEM (ad esempio, Microsoft Sentinel) e SOAR per una visione centralizzata della sicurezza e dell'automazione della risposta agli incidenti.
  • Principio del privilegio minimo: garantire che solo le entità necessarie (utenti, applicazioni) abbiano accesso agli account di archiviazione e con il minor privilegio possibile.
  • Crittografia a riposo e in transito: mentre Defender for Storage protegge dalle minacce, assicurati che i tuoi dati siano sempre crittografati a riposo (per impostazione predefinita in Archiviazione di Azure) e in transito (usando HTTPS).
  • Controllo dell'accesso alla rete: utilizza firewall di archiviazione, endpoint di servizio o endpoint privati ​​per limitare l'accesso di rete ai tuoi account di archiviazione.
  • Formazione degli utenti: sensibilizzare gli utenti sui rischi derivanti dal caricamento di file dannosi e sull'importanza di segnalare attività sospette.

Risoluzione dei problemi comuni

  • Defender for Storage non è abilitato:
    • Verificare che il piano "Archiviazione" sia "Abilitato" in Microsoft Defender for Cloud, sia a livello di abbonamento che a livello di account di archiviazione se configurato individualmente.
    • Confermare che l'abbonamento disponga della licenza appropriata (spesso inclusa con Security Center Standard).
  • Gli avvisi non vengono generati:
    • Verificare che le impostazioni di notifica e-mail siano corrette nel Centro sicurezza PC.
    • Confermare che i log di diagnostica per l'account di archiviazione vengano inviati a Log Analytics (se in uso). Sebbene Defender for Storage non si basi direttamente sui log di diagnostica per generare avvisi, sono utili per le indagini.
    • Assicurati che l'attività che stai testando attivi effettivamente una regola di rilevamento di Defender for Storage. Alcune attività possono essere considerate normali a seconda del contesto.
  • Falsi positivi (avvisi per attività legittime):
    • Esaminare l'avviso sul portaleDefender for Cloud per comprendere il motivo dell'avviso.
    • Se si tratta di un'attività legittima, è possibile eliminare l'avviso (con cautela) o modificare le impostazioni dell'account di archiviazione/applicazione per evitare che l'attività venga contrassegnata come sospetta.
    • Fornire feedback a Microsoft sui falsi positivi per contribuire a migliorare l'intelligence sulle minacce.
  • La scansione malware non funziona:
    • Assicurati che "Scansione malware del caricamento" sia "Abilitato" nelle impostazioni di Defender for Storage per l'account pertinente.
    • Conferma che il file che stai caricando sia un tipo di file supportato per la scansione antimalware (in particolare i BLOB).
    • Potrebbe verificarsi un leggero ritardo nella generazione degli avvisi dopo il caricamento del file.

Conclusione

Microsoft Defender for Storage è una soluzione indispensabile per proteggere i dati archiviati in Azure dal panorama delle minacce in continua evoluzione. Abilitando e configurando correttamente le funzionalità di rilevamento malware, monitoraggio delle attività e rilevamento delle minacce legate ai dati sensibili, le organizzazioni possono rafforzare in modo significativo il proprio livello di sicurezza nel cloud. La capacità di identificare e avvisare in tempo reale di attività sospette consente una risposta rapida agli incidenti, riducendo al minimo l'impatto di potenziali violazioni. Con questa guida pratica, i professionisti della sicurezza e gli amministratori IT saranno ben attrezzati per configurare, convalidare e gestire Microsoft Defender for Storage, garantendo che le loro risorse di dati più preziose rimangano sicure e conformi.

Riferimenti:

[1]Microsoft Learn. Che cos'è Microsoft Defender per l'archiviazione?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-introduction [2]Microsoft Learn. Defender per minacce e avvisi alla sicurezza dello storage. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-threats-alerts [3]Microsoft Learn. Distribuisci Microsoft Defender per l'archiviazione. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-storage-plan [4]Microsoft Learn. Scansione malware di caricamento di Microsoft Defender for Storage. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/on-upload-malware-scanning [5]Microsoft Learn. Configura la scansione antimalware in Microsoft Defender for Storage. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-configure-malware-scan [6]Microsoft Learn. Abilita Microsoft Defender per l'archiviazione utilizzando il portale di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-azure-portal-enablement