Azure 存储防御者
Posted
技术标签:
【中文标题】Azure 存储防御者【英文标题】:Azure storage defender 【发布时间】:2021-03-09 06:33:45 【问题描述】:基于https://docs.microsoft.com/en-us/azure/security-center/alerts-reference#alerts-azurestorage 我看到存储帐户默认启用了“对存储帐户的匿名访问”。我想知道是哪个政策或机制触发了这种情况?在 azure Defender 中,我看到只有对此的策略映射是“应启用 Azure Defender for Storage”。但我认为这只是对启用或禁用的审计检查。我认为它不会执行所有列出的警报检查。如果是这样,它是如何完成的? blob 或其他东西是否存储会触发这些的访问日志?在 VM 上,我知道它可能是代理等,它是如何在存储上完成的。
【问题讨论】:
【参考方案1】:目前,Azure Defender for Storage 提供检测malware upon uploading files to a storage account using hash reputation analysis 的能力,利用 Microsoft Threat Intelligence 的强大功能,包括病毒、木马、间谍软件和勒索软件的哈希值
我们检查存储日志并将新上传文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。当怀疑某个文件包含恶意软件时,安全中心会显示警报,并且可以选择向存储所有者发送电子邮件以请求批准删除可疑文件。
-
用于存储的 Azure Defender 基于对 Azure 存储遥测的分析。这也适用于哈希信誉分析,但这里的覆盖范围是部分的。当写入 blob 或文件时,它们可能伴随有文件 blob 的哈希,可用于信誉分析。然而,情况并非总是如此,有时我们没有可用的哈希值,例如使用 SMB 写入文件时。
您可能从上面了解到,这不是扫描过程,因此也没有审核。
如果以上内容有帮助,或者您在此问题上需要进一步帮助,请告诉我们。
【讨论】:
我担心的是是否仍需要在存储帐户级别启用匿名访问诊断或 Defender 会处理它?docs.microsoft.com/en-us/azure/storage/blobs/…以上是关于Azure 存储防御者的主要内容,如果未能解决你的问题,请参考以下文章