共用方式為


什麼是適用於記憶體的 Microsoft Defender?

適用於雲端的 Microsoft Defender 提供 Azure 原生安全性情報層,以使用適用於記憶體的 Defender 方案,找出記憶體帳戶的潛在威脅。

適用於記憶體的 Defender 可協助防止惡意檔案上傳、敏感數據外泄和數據損毀,確保數據和工作負載的安全性和完整性。

適用於記憶體的 Defender 藉由分析 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake Storage 服務所產生的數據平面遙測,以提供完整的安全性。 此產品使用由 Microsoft 威脅情報、Microsoft Defender 防毒軟體和敏感性資料探索所提供的進階威脅偵測功能,協助您探索並減輕潛在威脅。

動畫風格圖表顯示適用於儲存體的 Defender 如何防範資料常見的威脅。

適用於儲存體的 Defender 包含:

  • 活動監視 - 藉由分析存取模式和行為,偵測涉及記憶體帳戶的異常和潛在有害活動。 這很適合用來識別未經授權的存取、數據外泄嘗試,以及其他安全性威脅。

  • 敏感數據威脅偵測 - 偵測可能表示潛在安全性威脅的可疑活動,以識別及保護記憶體帳戶內的敏感數據。 適用於記憶體的 Defender 可監視異常數據存取模式或潛在數據外泄等動作,來增強儲存在 Azure 中的敏感性資訊安全性。

  • 惡意代碼掃描 - 藉由分析檔案中的已知威脅和可疑內容,掃描您的記憶體帳戶是否有惡意代碼。 這有助於識別並減輕可能儲存或上傳至 Azure 記憶體帳戶之惡意檔案的潛在安全性風險。 因此,它會增強數據記憶體的整體安全性狀態。

開始使用

您可以在 訂用帳戶層級、資源層級或大規模啟用適用於記憶體 的Defender。

當您在訂用帳戶層級啟用適用於記憶體的Defender時,該訂用帳戶下的所有現有和新建立的記憶體帳戶都會自動包含並受到保護。 您也可以從受保護的訂用帳戶中排除特定的儲存體帳戶。

注意

如果您已啟用適用於記憶體的Defender(傳統版),而且想要存取目前的安全性功能和定價,則必須 移轉至新的定價方案

福利

圖表顯示使用適用於儲存體的 Defender 來保護資料的優點。

適用於記憶體的 Defender 提供下列功能:

  • 更妥善地防範惡意代碼:惡意代碼掃描掃描並近乎即時地偵測所有檔類型,包括每個上傳 Blob 的封存。 它提供快速且可靠的結果,協助您防止記憶體帳戶作為威脅的進入和發佈點。 深入瞭解惡意 代碼掃描

  • 改善敏感數據的威脅偵測與保護:敏感數據威脅偵測功能可協助安全性專業人員有效率地排定安全性警示的優先順序並檢查安全性警示。 它會考慮風險數據的敏感度,進而改善偵測和保護潛在威脅。 這項功能可藉由快速識別和解決最重要的風險,來降低數據外泄的機會。 它也藉由偵測包含敏感數據的資源上的曝光事件和可疑活動,來改善敏感數據的敏感數據保護。 進一步了解敏感性資料威脅偵測

  • 偵測沒有身分識別的實體:適用於記憶體的 Defender 會使用設定錯誤且過度寬鬆的共用存取簽章(SAS 令牌)來偵測來自沒有身分識別之實體的可疑活動,而無法存取您的數據。 這些令牌可能會洩漏或遭入侵。 然後,您可以改善安全性,並降低未經授權的存取風險。 這項功能是活動監控安全性警示套件的擴充。

  • 涵蓋頂級雲端記憶體威脅:適用於記憶體的 Defender 由Microsoft威脅情報、行為模型和機器學習模型提供,以偵測異常和可疑的活動。 適用於儲存體的 Defender 安全性警示涵蓋最上層雲端儲存體威脅,例如敏感性資料外流、資料損毀,以及惡意檔案上傳。

  • 未啟用記錄的完整安全性:當您啟用適用於記憶體的 Defender Microsoft 時,它會持續分析來自 Azure Blob 儲存體、Azure 檔案儲存體 和 Azure Data Lake Storage 服務的數據和控制遙測數據流。 您不需要啟用此分析的診斷記錄。

  • 大規模無摩擦啟用:適用於儲存體的 Microsoft Defender 是無代理程式解決方案,易於部署並使用原生 Azure 解決方案啟用大規模安全性保護機制。

適用於記憶體的Defender如何運作?

活動監控

適用於儲存體的 Defender 會在啟用時,持續分析受保護儲存體帳戶的資料和控制平面記錄。 不需要開啟資源記錄就能享有安全性優點。 使用 Microsoft 威脅情報來識別可疑的簽章,例如惡意 IP 位址、Tor 結束節點,以及潛在的危險應用程式。 它還可以建置資料模型,並使用統計和機器學習方法來找出可能表示惡意行為的基準活動異常。 您會收到可疑活動的安全性警示,但適用於記憶體的 Defender 可確保您不會收到太多類似的警示。 活動監視不會影響效能、擷取容量或數據的存取。

圖表顯示活動監視如何識別對您資料的威脅。

惡意代碼掃描 (由 Microsoft Defender 防毒軟體 提供電源)

適用於記憶體的 Defender 中的惡意代碼掃描可透過近乎即時地對上傳的內容執行完整惡意代碼掃描,以協助保護記憶體帳戶免於惡意內容,並套用 Microsoft Defender 防毒軟體 功能。 其設計目的是為了協助滿足處理不受信任內容的安全性與合規性需求。 系統會掃描每個檔案類型,並傳回每個檔案的掃描結果。 惡意代碼掃描功能是無代理程式 SaaS 解決方案,可讓您大規模進行簡單的設定,且零維護,並支援大規模自動化回應。 這是新的適用於儲存體的 Defender 方案中的可設定功能,可以按掃描的 GB 數計價。 深入瞭解惡意 代碼掃描

敏感性資料威脅偵測 (由「敏感性資料探索」提供)

敏感數據威脅偵測功能可協助安全性小組有效率地排定安全性警示的優先順序,並檢查安全性警示。 它會考慮風險數據的敏感度,這會導致更好的偵測並協助防止數據外洩。 敏感數據威脅偵測 是由 敏感數據探索 引擎所提供,這是使用智慧取樣方法來尋找具有敏感數據的資源的無代理程序引擎。 此服務會與 Microsoft Purview 的敏感性資訊型別 (SIT) 和分類標籤整合,讓您順暢地繼承組織的敏感度設定。

這是新的適用於儲存體的 Defender 方案中的可設定功能。 您可以選擇啟用或停用它,而不需要其他費用。 如需詳細資訊,請瀏覽敏感性資料威脅偵測

定價和成本控制

按儲存體帳戶計價

新的適用於儲存體的 Microsoft Defender 方案會根據您保護的儲存體帳戶數目,提供可預測的定價。 使用選項在訂用帳戶或資源層級啟用此功能,並將特定儲存體帳戶從受保護的訂用帳戶排除,增加管理安全性涵蓋範圍的靈活性。 定價方案可簡化成本計算程序,讓您可以在需求變更時輕鬆調整規模。 對於具有超過極大量交易的儲存體帳戶,可能會套用其他費用。

惡意代碼掃描 - 每 GB 計費、每月上限和設定

針對掃描的數據,惡意代碼掃描會以每 GB 為單位收費。 為了確保成本的可預測性,您可以建立每個儲存體帳戶每月掃描的資料量上限。 此上限的設定適用於全訂用帳戶、影響訂用帳戶中的所有儲存體帳戶,或套用至個別儲存體帳戶。 在受保護的訂用帳戶下,您可以設定特定儲存體帳戶使用不同限制。

根據預設,每個儲存體帳戶的限制會設定為每月 5,000 GB。 超過此閾值之後,掃描會停止剩餘的 Blob,且信賴間隔為 20 GB。 如需設定詳細資料,請參閱設定適用於儲存體的 Defender

重要

適用於儲存體的 Defender 中的惡意程式碼掃描未包含在前 30 天免費試用版,且會根據適用於雲端的 Defender 定價頁面上提供的定價方案,從第一天開始收費。 對其他 Azure 服務 (包括 Azure 儲存體讀取作業、Azure 儲存體 Blob 編製索引和 Azure 事件方格通知) 進行惡意程式碼掃描,也會產生額外費用。

運用細微控制大規模啟用

適用於儲存體的 Microsoft Defender 可讓您運用細微控制,大規模保護資料。 您可以在訂用帳戶中的所有儲存體帳戶上套用一致的安全性原則,或針對特定帳戶自訂安全性原則,以符合您的業務需求。 您也可以選擇每個資源所需的保護層級來控制成本。 若要開始使用,請瀏覽啟用適用於儲存體的 Defender

監視惡意代碼掃描上限

為了確保在有效管理成本的同時不受干擾的保護,有兩個與惡意程式碼掃描上限使用量相關的資訊安全性警示。 觸發第一個警示 Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview),因為使用量接近設定每月上限的 75%,並視需要發出提醒以調整上限。 第二個警示 Malware scanning stopped: monthly gigabytes scan cap reached (Preview)會在達到上限且掃描暫停當月時通知您,可能會讓新的上傳保持未掃描狀態。 這兩個警示都會提供受影響儲存體帳戶的詳細資料,以輔助提示和明智的動作,確保您可以維持所需的安全性層級,而不需要非預期的費用。

瞭解惡意代碼掃描與哈希信譽分析之間的差異

適用於記憶體的 Defender 提供兩項功能來偵測上傳至記憶體帳戶的惡意內容: 惡意代碼掃描哈希信譽分析

惡意代碼掃描

惡意代碼掃描會使用 Microsoft Defender 防毒軟體 (MDAV) 來掃描上傳至 Blob 記憶體的 Blob,並提供包含深層檔案掃描和哈希信譽分析的完整分析。 這項功能會提供針對潛在威脅的增強偵測層級。

惡意代碼掃描是付費附加元件功能,僅適用於新方案。

哈希信譽分析

哈希信譽分析會藉由比較新上傳的 Blob 和檔案的哈希值與來自 Microsoft Threat Intelligence 的已知惡意代碼,來偵測 Blob 儲存器和 Azure 檔案儲存體 的潛在惡意代碼。 這項功能並不支援所有檔案通訊協定和作業型別,導致某些作業無法監視潛在的惡意程式碼上傳。 不支援的使用案例包括 SMB 檔案共用,以及使用 Put BlockPut Block List 建立 Blob 時。 哈希信譽分析適用於所有方案。

總而言之,針對 Blob 記憶體的新方案獨佔提供惡意代碼掃描,可提供更全面的惡意代碼偵測方法。 其可藉由分析檔案的完整內容,並將哈希信譽分析併入其掃描方法來達成此目的。