Azure 存储防御者

Posted 2023-03-28

【中文标题】Azure 存储防御者

【英文标题】：Azure storage defender

【发布时间】：2021-03-09 06:33:45

【问题描述】：

基于https://docs.microsoft.com/en-us/azure/security-center/alerts-reference#alerts-azurestorage 我看到存储帐户默认启用了“对存储帐户的匿名访问”。我想知道是哪个政策或机制触发了这种情况？在 azure Defender 中，我看到只有对此的策略映射是“应启用 Azure Defender for Storage”。但我认为这只是对启用或禁用的审计检查。我认为它不会执行所有列出的警报检查。如果是这样，它是如何完成的？ blob 或其他东西是否存储会触发这些的访问日志？在 VM 上，我知道它可能是代理等，它是如何在存储上完成的。

【参考方案1】：

目前，Azure Defender for Storage 提供检测malware upon uploading files to a storage account using hash reputation analysis 的能力，利用 Microsoft Threat Intelligence 的强大功能，包括病毒、木马、间谍软件和勒索软件的哈希值

我们检查存储日志并将新上传文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。当怀疑某个文件包含恶意软件时，安全中心会显示警报，并且可以选择向存储所有者发送电子邮件以请求批准删除可疑文件。

用于存储的 Azure Defender 基于对 Azure 存储遥测的分析。这也适用于哈希信誉分析，但这里的覆盖范围是部分的。当写入 blob 或文件时，它们可能伴随有文件 blob 的哈希，可用于信誉分析。然而，情况并非总是如此，有时我们没有可用的哈希值，例如使用 SMB 写入文件时。 您可能从上面了解到，这不是扫描过程，因此也没有审核。

如果以上内容有帮助，或者您在此问题上需要进一步帮助，请告诉我们。

【讨论】：

我担心的是是否仍需要在存储帐户级别启用匿名访问诊断或 Defender 会处理它？docs.microsoft.com/en-us/azure/storage/blobs/…