Sdílet prostřednictvím

Kontrola malwaru v defenderu for Storage

  • Článek

Kontrola malwaru v defenderu for Storage pomáhá chránit službu Azure Blob Storage před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Antivirová ochrana v programu Microsoft Defender. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu.

Funkce Kontroly malwaru je řešení SaaS bez agentů, které umožňuje jednoduché nastavení ve velkém, s nulovou údržbou a podporuje automatizaci odezvy ve velkém měřítku.

Diagram znázorňující, jak kontrola malwaru chrání vaše data před škodlivým kódem

Nahrání malwaru je hlavní hrozbou v cloudovém úložišti.

Obsah nahraný do cloudového úložiště může být malware. Účty úložiště můžou být vstupním bodem malwaru do organizace a distribučního bodu malwaru. Pokud chcete chránit organizace před touto hrozbou, musí se obsah v cloudovém úložišti před přístupem zkontrolovat na malware.

Kontrola malwaru v defenderu for Storage pomáhá chránit účty úložiště před škodlivým obsahem.

  • Integrované řešení SaaS, které umožňuje jednoduché povolení ve velkém měřítku s nulovou údržbou.
  • Komplexní antimalwarové funkce využívající Antivirová ochrana v programu Microsoft Defender (MDAV), zachycení polymorfického a metamorfického malwaru
  • Každý typ souboru se zkontroluje (včetně archivů, jako jsou soubory ZIP), a výsledek se vrátí pro každou kontrolu. Limit velikosti souboru je 2 GB.
  • Podporuje odpověď ve velkém měřítku – odstraňování nebo kvazování podezřelých souborů na základě značek indexu objektů blob nebo událostí Event Gridu.
  • Když kontrola malwaru identifikuje škodlivý soubor, vygenerují se podrobné výstrahy zabezpečení v programu Microsoft Defender for Cloud.
  • Navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro kontrolu nedůvěryhodného obsahu nahraného do úložiště, včetně možnosti protokolování všech výsledků kontroly.

Běžné případy použití a scénáře

Mezi běžné případy použití a scénáře kontroly malwaru v Defenderu pro úložiště patří:

  • Webové aplikace: Mnoho cloudových webových aplikací umožňuje uživatelům nahrávat obsah do úložiště. To umožňuje nízké údržbě a škálovatelné úložiště pro aplikace, jako jsou daňové aplikace, nahrání hr webů a nahrání účtenek.

  • Ochrana obsahu: Prostředky, jako jsou videa a fotky, se běžně sdílejí a distribuují interně i externím stranám. Sítě CDN (Content Delivery Network) a centra obsahu jsou klasickou příležitostí k distribuci malwaru.

  • Požadavky na dodržování předpisů: prostředky, které splňují standardy dodržování předpisů, jako je NIST, SWIFT, GDPR a další, vyžadují robustní postupy zabezpečení, které zahrnují kontrolu malwaru. Pro organizace provozované v regulovaných odvětvích nebo oblastech je velmi důležité.

  • Integrace třetích stran: Data třetích stran můžou pocházet z široké škály zdrojů, a ne všechny můžou mít robustní postupy zabezpečení, jako jsou obchodní partneři, vývojáři a dodavatelé. Vyhledávání malwaru pomáhá zajistit, aby tato data do vašeho systému nezaváděla bezpečnostní rizika.

  • Platformy pro spolupráci: podobně jako sdílení souborů používají týmy cloudové úložiště k nepřetržitému sdílení obsahu a spolupráci napříč týmy a organizacemi. Vyhledávání malwaru zajišťuje bezpečnou spolupráci.

  • Datové kanály: Data procházející procesy ETL (extrakce, přenos, načtení) můžou pocházet z více zdrojů a můžou zahrnovat malware. Vyhledávání malwaru může pomoct zajistit integritu těchto kanálů.

  • Trénovací data strojového učení: Kvalita a zabezpečení trénovacích dat jsou důležité pro efektivní modely strojového učení. Je důležité zajistit, aby tyto datové sady byly čisté a bezpečné, zejména pokud obsahují uživatelsky generovaný obsah nebo data z externích zdrojů.

    animovaný obrázek GIF zobrazující uživatelem generovaný obsah a data z externích zdrojů

Poznámka:

Kontrola malwaru je služba téměř v reálném čase. Časy kontroly se můžou lišit v závislosti na velikosti naskenovaného souboru nebo typu souboru a také na zatížení služby nebo účtu úložiště. Microsoft neustále pracuje na snížení celkové doby kontroly, ale při návrhu uživatelského prostředí založeného na službě byste tuto variabilitu měli vzít v úvahu v časech kontroly.

Požadavky

Pokud chcete povolit a nakonfigurovat kontrolu malwaru, musíte mít role vlastníka (například vlastníka předplatného nebo vlastníka účtu úložiště) nebo konkrétní role s potřebnými akcemi dat. Přečtěte si další informace o požadovaných oprávněních.

Kontrolu malwaru můžete povolit a nakonfigurovat ve velkém měřítku pro vaše předplatná a přitom zachovat podrobnou kontrolu nad konfigurací funkce pro jednotlivé účty úložiště. Existuje několik způsobů, jak povolit a nakonfigurovat kontrolu malwaru: předdefinované zásady Azure (doporučená metoda), programově využívající infrastrukturu jako šablony kódu, včetně Terraformu, Bicep a šablon ARM, pomocí webu Azure Portal nebo přímo s rozhraním REST API.

Jak funguje kontrola malwaru

Kontrola malwaru při nahrávání

Triggery při nahrávání

Kontroly malwaru se aktivují v chráněném účtu úložiště libovolnou operací, která vede k BlobCreated události, jak je uvedeno ve službě Azure Blob Storage jako zdrojová stránka služby Event Grid. Mezi tyto operace patří počáteční nahrání nových objektů blob, přepsání existujících objektů blob a dokončení změn objektů blob prostřednictvím konkrétních operací. Dokončení operací může zahrnovat PutBlockListsestavení objektů blob bloku z několika bloků nebo FlushWithClosepotvrzení dat připojených k objektu blob v Azure Data Lake Storage Gen2.

Poznámka:

Přírůstkové operace, jako AppendFile je Azure Data Lake Storage Gen2 a PutBlock Azure BlockBlob, které umožňují přidání dat bez okamžité finalizace, neaktivují kontrolu malwaru sami. Kontrola malwaru se zahájí pouze v případě, že jsou tyto doplňky oficiálně potvrzeny: FlushWithClose potvrzení a finalizuje AppendFile operace, aktivuje kontrolu a PutBlockList potvrzení bloky v BlockBlob, iniciuje kontrolu. Pochopení tohoto rozdílu je důležité pro efektivní správu nákladů na kontrolu, protože každé potvrzení může vést k novému prohledávání a potenciálně zvýšit výdaje kvůli několika kontrolám přírůstkově aktualizovaných dat.

Prohledávání oblastí a uchovávání dat

Služba pro kontrolu malwaru, která používá technologie Antivirová ochrana v programu Microsoft Defender, čte objekt blob. Kontrola malwaru prohledá obsah "v paměti" a okamžitě po kontrole odstraní naskenované soubory. Obsah se nezachová. Kontrola probíhá ve stejné oblasti účtu úložiště. V některých případech, když je soubor podezřelý a vyžaduje se další data, může kontrola malwaru sdílet metadata souborů mimo oblast skenování, včetně metadat klasifikovaných jako zákaznická data (například hash SHA-256) s Microsoft Defenderem pro koncový bod.

Přístup k zákaznickým datům

Služba Pro kontrolu malwaru vyžaduje přístup k vašim datům, aby kontrolovat malware. Během povolování služby se ve vašem předplatném Azure vytvoří nový prostředek skeneru dat s názvem StorageDataScanner. Tento prostředek je udělen přiřazením role Vlastník dat objektu blob služby Storage pro přístup k datům a ke změně dat pro kontrolu malwaru a zjišťování citlivých dat.

Privátní koncový bod je podporovaný před nasazením.

Kontrola malwaru v defenderu for Storage se podporuje v účtech úložiště, které používají privátní koncové body při zachování ochrany osobních údajů.

Privátní koncové body poskytují zabezpečené připojení ke službám úložiště Azure, eliminují vystavení veřejného internetu a považují se za osvědčený postup.

Nastavení kontroly malwaru

Když je povolená kontrola malwaru, ve vašem prostředí se automaticky provádějí následující akce:

  • Pro každý účet úložiště, na který povolíte kontrolu malwaru, se vytvoří prostředek tématu systému Event Grid ve stejné skupině prostředků účtu úložiště , kterou používá služba pro kontrolu malwaru k naslouchání triggerům nahrávání objektů blob. Odebráním tohoto prostředku dojde k narušení funkčnosti kontroly malwaru.

  • Ke kontrole dat vyžaduje služba Kontrola malwaru přístup k vašim datům. Během povolování služby se ve vašem předplatném Azure vytvoří nový prostředek StorageDataScanner skeneru dat a přiřadí se spravované identitě přiřazené systémem. Tento prostředek je udělen přiřazením role Vlastník dat objektu blob služby Storage, které mu umožňuje přístup k vašim datům pro účely vyhledávání malwaru a zjišťování citlivých dat.

Pokud je konfigurace sítě účtu úložiště nastavená tak, aby povolila přístup k veřejné síti z vybraných virtuálních sítí a IP adres, StorageDataScanner prostředek se přidá do části Instance prostředků v části Konfigurace sítě účtu úložiště, aby byl povolený přístup ke kontrole dat.

Pokud povolíte kontrolu malwaru na úrovni předplatného, vytvoří se ve vašem předplatném Azure nový prostředek operátora StorageAccounts/securityOperators/DefenderForStorageSecurityOperator zabezpečení a přiřadí se identitě spravované systémem. Tento prostředek slouží k povolení a opravě konfigurace Defenderu pro úložiště a vyhledávání malwaru u existujících účtů úložiště a kontrole, jestli se mají povolit nové účty úložiště vytvořené v předplatném. Tento prostředek má přiřazení rolí, která zahrnují konkrétní oprávnění potřebná k povolení kontroly malwaru.

Poznámka:

Kontrola malwaru závisí na určitých prostředcích, identitách a nastavení sítě, aby fungovala správně. Pokud některou z těchto možností upravíte nebo odstraníte, kontrola malwaru přestane fungovat. Pokud chcete obnovit normální provoz, můžete ho vypnout a znovu zapnout.

Poskytování výsledků kontroly

Výsledky kontroly malwaru jsou k dispozici prostřednictvím čtyř metod. Po nastavení uvidíte výsledky kontroly jako značky indexu objektů blob pro každý nahraný a naskenovaný soubor v účtu úložiště a jako výstrahy zabezpečení v programu Microsoft Defender for Cloud, když se soubor identifikuje jako škodlivý.

Můžete se rozhodnout nakonfigurovat další metody výsledků kontroly, jako jsou Event Grid a Log Analytics. Tyto metody vyžadují další konfiguraci. V další části se dozvíte o různých metodách výsledků kontroly.

Diagram znázorňující tok zobrazení a využívání výsledků kontroly malwaru

Výsledky kontroly

Značky indexu objektů blob

Značky indexu objektů blob jsou pole metadat v objektu blob. Kategorizují data ve vašem účtu úložiště pomocí atributů značek klíč-hodnota. Tyto značky se automaticky indexují a zveřejňují jako prohledávatelný multidimenzionální index, aby bylo možné snadno najít data. Výsledky kontroly jsou stručné a zobrazují výsledek kontroly malwaru a čas kontroly malwaru UTC v metadatech objektů blob. Další typy výsledků (výstrahy, události, protokoly) poskytují další informace o typu malwaru a operaci nahrávání souborů.

Snímek obrazovky znázorňující příklad značky indexu objektu blob

Značky indexu objektů blob můžou používat aplikace k automatizaci pracovních postupů, ale nejsou odolné vůči manipulaci. Přečtěte si další informace o nastavení odpovědi.

Poznámka:

Přístup k indexovacím značek vyžaduje oprávnění. Další informace najdete v tématu Získání, nastavení a aktualizace značek indexu objektů blob.

Výstrahy zabezpečení v programu Defender for Cloud

Když se zjistí škodlivý soubor, Microsoft Defender for Cloud vygeneruje výstrahu zabezpečení v programu Microsoft Defender for Cloud. Pokud chcete výstrahu zobrazit, přejděte do Programu Microsoft Defender pro výstrahy zabezpečení cloudu . Výstraha zabezpečení obsahuje podrobnosti a kontext souboru, typ malwaru a doporučené kroky šetření a nápravy. Pokud chcete k nápravě použít tyto výstrahy, můžete:

  1. Zobrazte výstrahy zabezpečení na webu Azure Portal tak, že přejdete do programu Microsoft Defender for Cloud>Security.
  2. Nakonfigurujte automatizace na základě těchto upozornění.
  3. Export výstrah zabezpečení do SIEM Výstrahy zabezpečení můžete průběžně exportovat pomocí konektoru Microsoft Sentinelu (SIEM Od Microsoftu) nebo jiného siem podle vašeho výběru.

Přečtěte si další informace o reagování na výstrahy zabezpečení.

Událost Event Gridu

Event Grid je užitečný pro automatizaci řízenou událostmi. Jedná se o nejrychlejší metodu, jak získat výsledky s minimální latencí ve formě událostí, které můžete použít k automatizaci odpovědí.

Události z vlastních témat Event Gridu můžou využívat více typů koncových bodů. Nejužitečnější pro scénáře kontroly malwaru jsou:

  • Aplikace funkcí (dříve označovaná jako Funkce Azure) – pomocí funkce bez serveru můžete spouštět kód pro automatizovanou odpověď, jako je přesunutí, odstranění nebo karanténa.
  • Webhook – pro připojení aplikace.
  • Fronta služby Event Hubs &Service Bus – pro oznamování podřízeným příjemcům

Zjistěte, jak nakonfigurovat kontrolu malwaru tak, aby se všechny výsledky kontroly automaticky odesílaly do tématu Event Gridu pro účely automatizace.

Analýzy protokolů

Výsledky kontroly můžete chtít protokolovat pro důkazy o dodržování předpisů nebo prošetřovat výsledky kontroly. Nastavením cíle pracovního prostoru služby Log Analytics můžete ukládat všechny výsledky kontroly do centralizovaného úložiště protokolů, které se snadno dotazuje. Výsledky můžete zobrazit tak, že přejdete do cílového pracovního prostoru služby Log Analytics a vyhledáte StorageMalwareScanningResults tabulku.

Přečtěte si další informace o nastavení protokolování pro kontrolu malwaru.

Tip

Prostřednictvím praktického cvičení vás zveme, abyste prozkoumali funkci Skenování malwaru v Defenderu for Storage. Podrobné pokyny k nastavení a testování kontroly malwaru najdete v podrobných pokynech k trénování Ninja, včetně konfigurace odpovědí na výsledky skenování. Jedná se o součást projektu "labs", který zákazníkům pomáhá začít využívat Microsoft Defender pro cloud a poskytovat praktické zkušenosti s jeho funkcemi.

Řízení nákladů

Kontrola malwaru se účtuje podle GB kontrol. Pokud chcete zajistit předvídatelnost nákladů, vyhledávání malwaru podporuje nastavení limitu na množství GB prohledáváno v jednom měsíci na účet úložiště.

Důležité

Kontrola malwaru v defenderu for Storage není zahrnuta zdarma v první 30denní zkušební verzi a bude se účtovat od prvního dne v souladu s cenovým schématem dostupným na stránce s cenami Defenderu pro cloud.

Mechanismus "omezování" je navržený tak, aby nastavil měsíční limit skenování měřený v gigabajtech (GB) pro každý účet úložiště, který slouží jako efektivní řízení nákladů. Pokud je pro účet úložiště navázán předdefinovaný limit kontroly v jednom kalendářním měsíci, operace skenování se po dosažení této prahové hodnoty automaticky zastaví (s až 20GB odchylkou) a soubory by se nezkontrolovaly kvůli malwaru. Limit se resetuje na konci každého měsíce o půlnoci UTC. Aktualizace limitu obvykle trvá až hodinu.

Ve výchozím nastavení je stanoven limit 5 TB (5 000 GB), pokud není definován žádný konkrétní mechanismus omezování.

Tip

U jednotlivých účtů úložiště nebo v celém předplatném můžete nastavit mechanismus omezování (každému účtu úložiště v předplatném se přidělí limit definovaný na úrovni předplatného).

Pomocí těchto kroků nakonfigurujte mechanismus omezování.

Další náklady na kontrolu malwaru

Kontrola malwaru používá jako základ další služby Azure. To znamená, že když povolíte kontrolu malwaru, budou se vám účtovat také služby Azure, které vyžaduje. Mezi tyto služby patří operace čtení služby Azure Storage, indexování objektů blob služby Azure Storage a oznámení služby Azure Event Grid.

Zpracování možných falešně pozitivních a falešně negativních výsledků

Pokud máte soubor, který máte podezření, že je malware, ale nezjistíte ho (falešně negativní) nebo je nesprávně detekovaný (falešně pozitivní), můžete ho odeslat k analýze prostřednictvím portálu pro odeslání vzorku. Jako zdroj vyberte Microsoft Defender for Storage.

Defender for Cloud umožňuje potlačit falešně pozitivní výstrahy. Nezapomeňte pravidlo potlačení omezit pomocí názvu malwaru nebo hodnoty hash souboru.

Kontrola malwaru automaticky neblokuje přístup ani nemění oprávnění k nahranému objektu blob, i když je škodlivý.

Omezení

Nepodporované funkce a služby

  • Nepodporované účty úložiště: Kontroly malwaru nepodporují starší účty úložiště v1.

  • Nepodporovaná služba: Vyhledávání malwaru nepodporuje soubory Azure.

  • Nepodporovaný klient: Objekty blob nahrané pomocí protokolu NFS (Network File System) 3.0 nebudou při nahrání prohledány malwarem.

  • Nepodporované oblasti: Jio Indie – západ, Korea – jih, Jižní Afrika – západ.

  • Oblasti podporované programem Defender for Storage, ale ne vyhledáváním malwaru. Přečtěte si další informace o dostupnosti pro Defender for Storage.

  • Nepodporované typy objektů blob: Pro kontrolu malwaru se nepodporují doplňovací objekty blob a objekty blob stránky.

  • Nepodporované šifrování: Šifrované objekty blob na straně klienta se nepodporují, protože před kontrolou služby je nejdou dešifrovat. Neaktivní uložená data zašifrovaná pomocí klíče spravovaného zákazníkem (CMK) se ale podporují.

  • Nepodporované výsledky značek indexu: Výsledek kontroly značek indexu se nepodporuje v účtech úložiště s povoleným hierarchickým oborem názvů (Azure Data Lake Storage Gen2).

  • Event Grid: Témata Event Gridu, která nemají povolený přístup k veřejné síti (tj. připojení privátních koncových bodů), nejsou podporována kontrolou malwaru v Defenderu pro úložiště.

Omezení kapacity propustnosti a velikosti objektů blob

  • Omezení rychlosti propustnosti skenování: Kontrola malwaru může zpracovat až 2 GB za minutu pro každý účet úložiště. Pokud rychlost nahrávání souborů u účtu úložiště překročí tuto prahovou hodnotu, systém se pokusí zkontrolovat soubory nad limitem rychlosti. Pokud rychlost nahrávání souborů konzistentně překročí tuto prahovou hodnotu, některé objekty blob se neskenují.
  • Limit prohledávání objektů blob: Kontrola malwaru může zpracovat až 2 000 souborů za minutu pro každý účet úložiště. Pokud rychlost nahrávání souborů u účtu úložiště překročí tuto prahovou hodnotu, systém se pokusí zkontrolovat soubory nad limitem rychlosti. Pokud rychlost nahrávání souborů konzistentně překročí tuto prahovou hodnotu, některé objekty blob se neskenují.
  • Limit velikosti objektu blob: Maximální limit velikosti pro prohledání jednoho objektu blob je 2 GB. Objekty blob, které jsou větší, než je limit, se neskenují.

Nahrání objektů blob a aktualizace značek indexu

Při nahrání objektu blob do účtu úložiště zahájí kontrola malwaru další operaci čtení a aktualizuje značku indexu. Ve většině případů tyto operace nevygenerují významné zatížení.

Dopad na přístup a IOPS úložiště

I přes proces kontroly zůstává přístup k nahraným datům nedotčený a dopad na vstupně-výstupní operace úložiště za sekundu (IOPS) je minimální.

Omezení v porovnání s Microsoft Defenderem pro koncový bod

Defender for Storage využívá stejný antimalwarový modul a aktuální podpisy jako Defender for Endpoint ke kontrole malwaru. Když se ale soubory nahrají do služby Azure Storage, chybí jim určitá metadata, na které antimalwarový modul závisí. Tento nedostatek metadat může vést k vyšší míře zmeškaných detekcí, označovaných jako "falešně negativní hodnoty", ve službě Azure Storage ve srovnání s těmi, které detekuje Defender pro koncový bod.

Tady je několik příkladů chybějících metadat:

  • Značka webu (MOTW):MOTW je funkce zabezpečení systému Windows, která sleduje soubory stažené z internetu. Pokud se ale soubory nahrají do Služby Azure Storage, tato metadata se nezachovají.

  • Kontext cesty k souboru: Ve standardních operačních systémech může cesta k souboru poskytnout další kontext pro detekci hrozeb. Například soubor, který se pokouší upravit umístění systému (např. C:\Windows\System32), by byl označen jako podezřelý a podléhal další analýze. Ve službě Azure Storage se kontext konkrétních cest k souborům v rámci objektu blob nedá použít stejným způsobem.

  • Data chování: Defender for Storage analyzuje obsah souborů bez jejich spuštění. Kontroluje soubory a může emulovat jejich spuštění a kontrolovat malware. Tento přístup však nemusí detekovat určité typy malwaru, které odhalí jejich škodlivou povahu pouze během provádění.

Další kroky

Přečtěte si další informace o tom, jak nastavit odpověď na výsledky kontroly malwaru.