问题描述
我正在阅读 https://techcommunity.microsoft.com/t5/azure-security-center/how-to-respond-to-potential-malware-uploaded-to-azure-storage/ba-p/1452005 并被以下内容弄糊涂了:
在许多情况下,流操作日志包含与 斑点。使用 Microsoft 的威胁情报比较这些哈希值 做哈希信誉分析寻找病毒
它说“在很多情况下”,哪些情况?我们公司正在考虑使用 Azure Defender 来提醒我们有关上传的恶意文件。 我们需要它适用于所有情况。
什么决定日志是否包含 blob 的哈希?
解决方法
出现以下情况时会触发安全警报: 1. 可疑访问模式 - 例如从 Tor 出口节点或从 Microsoft 威胁情报认为可疑的 IP 成功访问 2.可疑活动——如异常数据提取或访问权限异常变化 3.上传恶意内容——例如潜在的恶意软件文件(基于哈希信誉分析)或托管网络钓鱼内容 警报包括触发警报的事件的详细信息,以及有关如何调查和补救威胁的建议。警报可以导出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。
为确定上传的文件是否可疑,Azure Defender for Storage 使用 Microsoft Threat Intelligence 支持的哈希信誉分析。威胁防护工具不会扫描上传的文件,而是检查存储日志并将新上传文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。
当怀疑文件包含恶意软件时,安全中心会显示警报,并且可以选择向存储所有者发送电子邮件以请求批准删除可疑文件。要设置自动删除哈希信誉分析表明包含恶意软件的文件,请部署工作流自动化以触发包含“上传到存储帐户的潜在恶意软件”的警报。 我会要求你检查这个以供参考https://docs.microsoft.com/en-us/azure/security-center/defender-for-storage-introduction