在许多情况下,流操作日志包含与 blob 相关的哈希。使用 Microsoft 的 Threat Intelligence 对这些哈希进行比较,以进行哈希信誉分析以查找病毒
它说“在很多情况下”,哪些情况?我们公司正在考虑使用 Azure Defender 来提醒我们有关上传的恶意文件。我们需要它适用于所有情况。
什么决定了日志是否包含 blob 的哈希?
问问题
60 次
1 回答
0
当出现以下情况时会触发安全警报: 1.可疑访问模式 - 例如从 Tor 出口节点或来自 Microsoft 威胁情报认为可疑的 IP 的成功访问 2.可疑活动 - 例如异常数据提取或访问权限的异常更改 3.上传恶意内容 - 例如潜在恶意软件文件(基于哈希信誉分析)或托管网络钓鱼内容警报包括触发它们的事件的详细信息,以及有关如何调查和补救威胁的建议。警报可以导出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。
为了确定上传的文件是否可疑,Azure Defender for Storage 使用 Microsoft 威胁情报支持的哈希信誉分析。威胁防护工具不会扫描上传的文件,而是检查存储日志并将新上传文件的哈希值与已知病毒、木马、间谍软件和勒索软件的哈希值进行比较。
当怀疑某个文件包含恶意软件时,安全中心会显示警报,并且可以选择通过电子邮件向存储所有者发送电子邮件,以获得删除可疑文件的批准。要设置此自动删除哈希信誉分析表明包含恶意软件的文件,请部署工作流自动化以触发包含“上传到存储帐户的潜在恶意软件”的警报。我请求您检查此内容以供参考https:// docs.microsoft.com/en-us/azure/security-center/defender-for-storage-introduction
于 2021-06-03T05:21:22.053 回答