如何确定 Azure Defender 适用于哪些 blob？

Posted 2023-03-28

【中文标题】如何确定 Azure Defender 适用于哪些 blob？

【英文标题】：How to determine which blobs Azure Defender will work for?

【发布时间】：2021-08-21 03:11:32

【问题描述】：

我正在阅读 https://techcommunity.microsoft.com/t5/azure-security-center/how-to-respond-to-potential-malware-uploaded-to-azure-storage/ba-p/1452005 并被以下内容弄糊涂了：

在许多情况下，流操作日志包含与 斑点。这些哈希使用 Microsoft 的威胁情报进行比较 进行哈希信誉分析以查找病毒

它说“在很多情况下”，哪些情况下？我们公司正在考虑使用 Azure Defender 来提醒我们有关上传的恶意文件。 我们需要它适用于所有情况。

什么决定了日志是否包含 blob 的哈希？

【参考方案1】：

以下情况会触发安全警报： 1.可疑的访问模式 - 例如从 Tor 出口节点或从 Microsoft 威胁情报认为可疑的 IP 成功访问 2.可疑活动——如异常数据提取或访问权限异常更改 3.上传恶意内容——例如潜在的恶意软件文件（基于哈希信誉分析）或网络钓鱼内容的托管 警报包括触发它们的事件的详细信息，以及有关如何调查和补救威胁的建议。警报可以导出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。

为确定上传的文件是否可疑，Azure Defender for Storage 使用 Microsoft 威胁情报支持的哈希信誉分析。威胁防护工具不会扫描上传的文件，而是检查存储日志并将新上传文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。

当怀疑某个文件包含恶意软件时，安全中心会显示警报，并且可以选择通过电子邮件向存储所有者发送电子邮件，请求批准删除可疑文件。要设置自动删除哈希信誉分析表明包含恶意软件的文件，请部署工作流自动化以触发包含“上传到存储帐户的潜在恶意软件”的警报。 我请你检查这个以供参考https://docs.microsoft.com/en-us/azure/security-center/defender-for-storage-introduction

【讨论】：

感谢您的回答，但这并不能回答我的问题。