Microsoft defender for cloud ウイルス対策

メインコンテンツにスキップ

このブラウザーはサポートされなくなりました。

目次 Show

Microsoft Defender for Storage の概要
この記事の内容
Microsoft Defender for Storage の利点
クラウドベースのストレージサービスにおけるセキュリティの脅威
Microsoft Defender for Storage で提供されるアラートの種類
セキュリティ異常を調べる
ハッシュ評価分析の制限事項
FAQ - Microsoft Defender for Storage
アカウントレベルで料金を見積もるにはどうすればよいですか?
保護されたサブスクリプションから特定の Azure Storage アカウントを除外することはできますか?
セキュリティアラートへの自動応答を構成するにはどうすればよいですか?
次の手順
Microsoft Defender for Cloudの機能は？
Windows Defenderのレベルは？
Azure Defenderの概要は？
Defender ATPの名称は？

Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカルサポートを利用できます。

Microsoft Defender for Storage の概要

[アーティクル]
11/22/2022

この記事の内容

Microsoft Defender for Storage は、ストレージアカウントに対する通常とは異なる潜在的に有害なアクセスの試行、すなわちストレージアカウントの悪用を検出する、Azure ネイティブのセキュリティインテリジェンスレイヤーです。高度な脅威検出機能と Microsoft の脅威インテリジェンスデータを使用して、コンテキストに応じたセキュリティアラートを提供します。これらのアラートには、検出された脅威を軽減し、将来の攻撃を防ぐための手順も含まれます。

Microsoft Defender for Storage は、サブスクリプションレベル (推奨) またはリソースレベルで有効にできます。

Defender for Storage では、Azure Blob Storage サービスと Azure Files サービスによって生成されたテレメトリストリームが分析されます。悪意のある可能性のあるアクティビティが検出されると、セキュリティアラートが生成されます。これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に、Microsoft Defender for Cloud に表示されます。

分析される Azure Blob Storage のテレメトリには、Get Blob、Put Blob、Get Container ACL、List Blobs、および Get Blob Properties などの操作の種類が含まれます。分析された Azure Files 操作の種類の例には Get File、Create File、List Files、Get File Properties、Put Range があります。

Defender for Storage ではストレージアカウントデータにアクセスしないので、そのパフォーマンスに影響はありません。

詳細については、Field ビデオシリーズの Defender for Cloud に関する次のビデオをご覧ください。

現場での Defender for Storage

可用性

側面	詳細
リリース状態:	一般公開 (GA)
価格:	Microsoft Defender for Storage は、価格ページに記載されているように課金されます
保護されるストレージの種類:	Blob Storage (Standard/Premium StorageV2、ブロック BLOB) Azure Files (REST API および SMB 経由) Azure Data Lake Storage Gen2 (階層型名前空間 (HNS) が有効になっている Standard/Premium アカウント)
クラウド:	商用クラウド Azure Government Azure China 21Vianet 接続されている AWS アカウント

Microsoft Defender for Storage の利点

Defender for Storage は次を提供します。

Azure ネイティブのセキュリティ - 1 回クリックして有効にすれば、Azure Blob、Azure Files、Data Lake に格納されているデータが Defender for Storage によって保護されます。 Defender for Storage は Azure ネイティブのサービスとして、Azure で管理されるすべてのデータ資産に一元的なセキュリティを提供し、Microsoft Sentinel など他の Azure セキュリティサービスと統合されます。
豊富な検出スイート - Microsoft の脅威インテリジェンスを利用した Defender for Storage の検出機能は、非認証アクセス、資格情報の漏洩、ソーシャルエンジニアリング攻撃、データ流出、特権の乱用、悪意のあるコンテンツなど、ストレージに関する代表的な脅威をカバーしています。
包括的な対応 - 特定された脅威は、Defender for Cloud のオートメーションツールによって簡単に防止、対応できます。詳細については、「Defender for Cloud のトリガーへの応答を自動化する」を参照してください。

クラウドベースのストレージサービスにおけるセキュリティの脅威

Microsoft のセキュリティ研究者は、ストレージサービスの攻撃面を分析しました。ストレージアカウントは、データの破損、機密コンテンツの漏洩、悪意のあるコンテンツの配布、データ流出、未認可のアクセスなどの対象になる可能性があります。

潜在的なセキュリティリスクは、クラウドベースのストレージサービスの脅威マトリックスで説明されており、サイバー攻撃で使用される戦術と手法のナレッジベースである MITRE ATT&CK® フレームワークに基づいています。

Microsoft Defender for Storage で提供されるアラートの種類

セキュリティアラートは、次のシナリオでトリガーされます (通常はイベントの 1 から 2 時間後)。

脅威の種類	説明
アカウントへの異常なアクセス	たとえば、TOR 出口ノードからのアクセス、疑わしい IP アドレス、異常なアプリケーション、通常とは異なる場所、認証なしの匿名アクセスなどです。
アカウントでの異常な動作	アカウントのアクセス許可の変更、通常とは異なるアクセスの検査、異常なデータ探索、BLOB/ファイルの異常な削除、異常なデータ抽出など、学習したベースラインから逸脱した動作。
ハッシュ評価ベースのマルウェア検出	完全な BLOB/ファイルハッシュに基づく既知のマルウェアの検出。これは、ランサムウェア、ウイルス、スパイウェア、およびアカウントにアップロードされたその他のマルウェアを検出して、それが組織に侵入し、さらに多くのユーザーやリソースに拡散することを防ぐのに役立つ可能性があります。「ハッシュ評価分析の制限事項」も参照してください。
通常とは異なるファイルのアップロード	アカウントにアップロードされた異常なクラウドサービスパッケージと実行可能ファイル。
パブリックの可視性	コンテナーのスキャンとパブリックにアクセス可能なコンテナーからの潜在的な機密データのプルによる潜在的な不法侵入の試み。
フィッシングキャンペーン	Azure Storage でホストされているコンテンツが、Microsoft 365 ユーザーに影響を与えているフィッシング攻撃の一部として識別される場合。

Microsoft Defender for Storage アラートの完全な一覧を確認できます。

アラートには、それらをトリガーするインシデントの詳細と、脅威の調査や修復方法に関する推奨事項が含まれています。アラートは、Microsoft Sentinel、他のサードパーティ製 SIEM、またはその他の外部ツールにエクスポートできます。詳細については、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」を参照してください。

セキュリティ異常を調べる

ストレージアクティビティの異常が発生すると、疑わしいセキュリティイベントに関する情報を含む通知が電子メールで送信されます。イベントの詳細には、次のものが含まれます。

異常の種類
ストレージアカウント名
イベント時間
ストレージの種類
考えられる原因
調査手順
修復手順

電子メールには、潜在的な脅威の考えられる原因と調査や緩和のための推奨されるアクションについての詳細も含まれます。

Microsoft Defender for Cloud の [セキュリティアラート] タイルから、現在のセキュリティアラートを確認して管理できます。アラートを選択して、詳細な情報と、現在の脅威を調査し、今後の脅威に対処するためのアクションを表示します。

ハッシュ評価分析の制限事項

ハッシュ評価は詳細ファイル検査ではない - Microsoft Defender for Storage では、アップロードされたファイルが疑わしいかどうかを判断するため、Microsoft の脅威インテリジェンスによってサポートされているハッシュ評価分析が使われます。脅威保護ツールでは、アップロードされたファイルはスキャンされず、Blobs Storage と Files サービスから生成されたテレメトリが分析されます。次に、Defender for Storage によって、新しくアップロードされたファイルのハッシュと、既知のウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュが比較されます。
ハッシュ評価分析は、すべてのファイルプロトコルと操作の種類でサポートされているわけではない - テレメトリログの一部 (すべてではありません) には、関連する BLOB またはファイルのハッシュ値が含まれます。場合によっては、テレメトリにハッシュ値が含まれていないことがあります。その結果、一部の操作で、既知のマルウェアのアップロードについて、監視できない場合があります。そのようなサポートされていないユースケースの例には、SMB ファイル共有や、BLOB が Put Block と Put Block List を使用して作成される場合などがあります。

FAQ - Microsoft Defender for Storage

アカウントレベルで料金を見積もるにはどうすればよいですか?
保護されたサブスクリプションから特定の Azure Storage アカウントを除外することはできますか?
セキュリティアラートへの自動応答を構成するにはどうすればよいですか?

アカウントレベルで料金を見積もるにはどうすればよいですか?

コストを最適化するために、大量のトラフィックに関連付けられている特定の Storage アカウントを、Defender for Storage の保護から除外する必要がある場合があります。 Defender for Storage のコストの見積もりを入手するには、Azure portal で価格見積もりブックを使います。

保護されたサブスクリプションから特定の Azure Storage アカウントを除外することはできますか?

サブスクリプションで Defender for Storage が有効になっている場合に特定の Storage アカウントを除外するには、「Microsoft Defender for Storage 保護からストレージアカウントを除外する」の手順に従います。

セキュリティアラートへの自動応答を構成するにはどうすればよいですか?

ワークフローの自動化を使用して、Defender for Cloud セキュリティアラートへの自動応答をトリガーします。

たとえば、外部タスク管理システムで特定の担当者またはチームのタスクやチケットを開く自動化を設定できます。

自動応答の自動化を使用して、独自の自動化や、コミュニティからの既製の自動化 (検出時に悪意のあるファイルを削除するなど) を定義します。その他の解決策については、GitHub の Microsoft コミュニティにアクセスしてください。

次の手順

この記事では、Microsoft Defender for Storage について説明しました。

Microsoft Defender for Cloudの機能は？

Defender for Cloud は、セキュリティの脆弱性の検出と修正、悪意のあるアクティビティをブロックするためのアクセス制御とアプリケーション制御の適用、分析とインテリジェンスを使用した脅威の検出、攻撃を受けたときのすばやい対応を支援します。強化されたセキュリティ機能は無料でお試しいただけます。

Windows Defenderのレベルは？

Windows Defenderを利用すると、スパイウェアや不適切な挙動を検出し、必要ならその実行を拒否することができる。デフォルトでは、「高」「中」「低」の3つの警告レベルの挙動のみが検出されるが、オプションを変更すると、未定義の挙動も含めてすべて検出できるようになる。

Azure Defenderの概要は？

Azure Defender for Resource Managerは、Azureのデプロイと管理のためのサービスだ。 Azureアカウントの全てのリソースを作成、更新できる他、アクセス制御やロック、タグなどの機能も利用できる。全てのクラウドリソースと接続される重要なサービスであるため、攻撃者に狙われる恐れがある。