Как определить, для каких BLOB-объектов будет работать Защитник Azure?

Предупреждения системы безопасности срабатывают, когда есть:1. подозрительные шаблоны доступа - например, успешный доступ с выходного узла Tor или с IP-адреса, который Microsoft Threat Intelligence считает подозрительным; 2. подозрительные действия - такие как аномальное извлечение данных или необычное изменение прав доступа; 3. Загрузка вредоносного содержимого - например, файлов потенциальных вредоносных программ (на основе анализа репутации хэша) или размещения фишингового содержимого. Оповещения включают подробную информацию об инциденте, который их вызвал, а также рекомендации о том, как исследовать и устранять угрозы. Оповещения можно экспортировать в Azure Sentinel или любой другой сторонний SIEM или любой другой внешний инструмент.

Чтобы определить, является ли загруженный файл подозрительным, Защитник Azure для хранилища использует анализ репутации хэша, поддерживаемый Microsoft Threat Intelligence. Инструменты защиты от угроз не сканируют загруженные файлы, а скорее проверяют журналы хранилища и сравнивают хэши недавно загруженных файлов с хешами известных вирусов, троянов, шпионского ПО и программ-вымогателей.

Когда подозревается, что файл содержит вредоносное ПО, Центр безопасности отображает предупреждение и при желании может отправить владельцу хранилища электронное письмо с просьбой подтвердить удаление подозрительного файла. Чтобы настроить автоматическое удаление файлов, которые, как показывает анализ репутации хэша, содержат вредоносное ПО, разверните автоматизацию рабочего процесса, чтобы запускать предупреждения, содержащие «Возможное вредоносное ПО, загруженное в учетную запись хранения». Я прошу вас проверить это для справки https://docs.microsoft.com/en-us/azure/security-center/defender-for-storage-introduction