Partager via

Test des fonctionnalités relatives à la sécurité des données de Defender pour le stockage

Après avoir activé Microsoft Defender pour le stockage, vous pouvez tester le service et exécuter une preuve de concept. Vous pouvez ainsi vous familiariser avec ses fonctionnalités et vérifier que les fonctionnalités de sécurité avancées protègent efficacement vos comptes de stockage en générant des alertes de sécurité réelles. Ce guide vous aide à tester les différents aspects de la couverture de sécurité offerte par Defender pour le stockage.

Il existe trois composants principaux à tester :

  • Analyse des programmes malveillants (si cette option est activée)
  • Détection des menaces liées aux données sensibles (si cette option est activée)
  • Surveillance de l’activité

Conseil

Labo pratique pour tester l’analyse des programmes malveillants dans Defender pour le stockage

Nous vous recommandons d’essayer les instructions de formation Ninja pour obtenir des instructions détaillées sur la façon de tester l’analyse des programmes malveillants de bout en bout avec la configuration de réponses aux résultats de l’analyse. Cela fait partie du projet « labos » qui aide les clients à se familiariser avec Microsoft Defender pour le cloud et à fournir une expérience pratique avec ses fonctionnalités.

Tester l’analyse des programmes malveillants

Suivez ces étapes pour tester l’analyse des programmes malveillants après avoir activé la fonctionnalité :

  1. Pour vérifier que la configuration est réussie, chargez un fichier sur le compte de stockage. Vous pouvez utiliser le portail Azure pour charger un fichier

  2. Inspectez les nouvelles balises d’index d’objets blob :

    1. Après avoir chargé le fichier, affichez l’objet blob et examinez ses balises d’index d’objets blob.

    2. Vous devriez voir deux nouvelles balises : Résultat de l’analyse des programmes malveillants et Heure d’analyse des programmes malveillants.

    3. Les balises d’index d’objets blob sont utiles pour afficher les résultats de l’analyse.

  3. Si vous ne voyez pas les nouvelles balises d’index d’objets blob, sélectionnez le bouton Actualiser.

Capture d’écran montrant comment charger un fichier pour tester l’analyse des programmes malveillants.

Notes

Les balises d’index ne sont pas prises en charge pour ADLS Gen. Pour tester et valider votre protection pour les objets blob de blocs Premium, consultez l’alerte de sécurité générée.

Charger un fichier de test EICAR pour simuler le chargement d’un programme malveillant

Pour simuler le chargement d’un programme malveillant à l’aide d’un fichier de test EICAR, procédez comme suit :

  1. Préparez le fichier de test EICAR :

    1. Pour éviter de causer des dommages, utilisez un fichier de test EICAR au lieu d’un programme malveillant réel. Le logiciel anti-programme malveillant normalisé traite les fichiers de test EICAR comme des programmes malveillants.

    2. Excluez un dossier vide pour empêcher la protection antivirus de votre point de terminaison de supprimer le fichier. Pour les utilisateurs de Microsoft Defender for Endpoint (MDE), reportez-vous à la section Ajouter une exclusion à la sécurité Windows.

  2. Créez le fichier de test EICAR :

    1. Copiez la chaîne suivante : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    2. Collez la chaîne dans un fichier .TXT et enregistrez-la dans le dossier exclu.

  3. Chargez le fichier de test EICAR sur votre compte de stockage.

  4. Vérifiez la balise d’index Résultat de l’analyse des programmes malveillants :

    1. Recherchez la balise d’index Résultat de l’analyse des programmes malveillants avec la valeur Malveillante.

    2. Si les balises ne sont pas visibles, sélectionnez le bouton Actualiser.

  5. Recevez une alerte de sécurité Microsoft Defender pour le cloud :

    1. Accédez à Microsoft Defender pour le cloud à l’aide de la barre de recherche dans Azure.

    2. Sélectionnez Alertes de sécurité.

  6. Passer en revue l’alerte de sécurité :

  7. a. Localisez l'alerte intitulée Fichier malveillant chargé dans le compte de stockage.

  8. b. Cliquez sur le bouton Afficher tous les détails de l’alerte pour afficher tous les détails qui s’y rapportent.

  9. Pour en savoir plus sur les alertes de sécurité de Defender pour le stockage, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.

Tester la détection des menaces sur les données sensibles

Pour tester la fonctionnalité de détection des menaces liées aux données sensibles en chargeant des données de test qui représentent des informations sensibles sur votre compte de stockage, procédez comme suit :

  1. Créez un compte de stockage :

    1. Choisissez un abonnement pour lequel Defender pour le stockage n’est pas activé.

    2. Créez un compte de stockage avec un nom aléatoire sous l’abonnement sélectionné.

  2. Configurez un conteneur de test :

    1. Accédez au panneau Conteneurs dans le compte de stockage récemment créé.

    2. Sélectionnez le bouton + Conteneur pour créer un nouveau conteneur d’objets blob.

    3. Nommez le nouveau conteneur test-container.

  3. Chargez des données de test :

    1. Ouvrez une application de modification de texte sur votre ordinateur, par exemple Bloc-notes ou Microsoft Word.

    2. Créez un fichier et enregistrez-le dans un format tel que TXT, CSV ou DOCX.

    3. Ajoutez la chaîne suivante au fichier : ASD 100-22-3333 SSN Text. Il s’agit d’un numéro de sécurité sociale (USA) de test.

      Capture d’écran montrant comment tester un fichier dans l’analyse des programmes malveillants pour identifier les informations relatives au numéro de sécurité sociale.

    4. Enregistrez et chargez le fichier dans le conteneur test-container dans le compte de stockage.

      Capture d’écran montrant comment charger un fichier dans l’analyse des programmes malveillants pour tester les informations du numéro de sécurité sociale.

  4. Activez Defender pour le stockage :

    1. Dans le portail Azure, accédez à Microsoft Defender pour le cloud.

    2. Activez Defender pour le stockage sur le compte de stockage avec la fonctionnalité Découverte des données sensibles activée.

    La recherche de données sensibles analyse les informations sensibles dans les 24 premières heures. Cela se produit lorsque vous l’activez au niveau du compte de stockage ou lorsque vous créez un compte de stockage sous un abonnement protégé par cette fonctionnalité au niveau de l’abonnement. Après cette analyse initiale, le service recherche des informations sensibles tous les sept jours à partir du moment de l’activation.

    Remarque

    Si vous activez la fonctionnalité, puis ajoutez des données sensibles les jours qui suivent l’activation, l’analyse suivante de ces nouvelles données ajoutées se produit au cours du prochain cycle d’analyse de 7 jours, en fonction du jour de la semaine où les données ont été ajoutées.

  5. Modifiez le niveau d’accès :

    1. Revenez au volet Conteneurs.

    2. Cliquez avec le bouton droit de la souris sur le conteneur test-container et sélectionnez Modifier le niveau d’accès.

      Capture d’écran montrant comment modifier le niveau d’accès pour un test d’analyse des programmes malveillants.

    3. Choisissez l’option Conteneur (accès en lecture anonyme pour les conteneurs et les objets blob), puis sélectionnez OK.

    L’étape précédente expose le contenu du conteneur de blobs à Internet, ce qui déclenche une alerte de sécurité dans un délai de 30 à 60 minutes.

  6. Passer en revue l’alerte de sécurité :

    1. Accédez au volet Alertes de sécurité.

    2. Recherchez l’alerte intitulée Le niveau d’accès d’un conteneur d’objets blob de stockage sensible a été modifié pour autoriser l’accès public non authentifié.

    3. Cliquez sur le bouton Afficher tous les détails de l’alerte pour afficher tous les détails qui s’y rapportent.

      Capture d’écran montrant comment afficher une alerte pour un fichier de test dans l’analyse des programmes malveillants.

Pour en savoir plus sur les alertes de sécurité de Defender pour le stockage, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.

Tester la surveillance des activités

Pour tester la fonctionnalité de surveillance des activités en simulant un accès d’un nœud de sortie Tor à un compte de stockage, procédez comme suit :

  1. Créez un compte de stockage avec un nom aléatoire.

  2. Configurez un conteneur de test :

    1. Accédez au volet Conteneurs dans le compte de stockage.

    2. Sélectionnez le bouton + Conteneur pour créer un nouveau conteneur d’objets blob.

    3. Nommez le nouveau conteneur test-container-tor.

  3. Chargez n’importe quel fichier dans le conteneur test-container-tor.

  4. Générez un jeton SAP (signatures d’accès partagé) :

    1. Cliquez avec le bouton droit sur le fichier chargé, puis sélectionnez Générer une signature d’accès partagé (SAP).

    2. Sélectionnez le bouton Générer une URL et un jeton SAS.

    3. Copiez l’URL SAS de l’objet Blob.

  5. Téléchargez le fichier à l’aide d’un navigateur Tor :

    1. Ouvrez un navigateur Tor.

    2. Collez l’URL de la SAP dans la barre d’adresse, puis appuyez sur Entrée.

    3. Téléchargez le fichier lorsque vous y êtes invité.

    L’étape précédente déclenche une alerte de sécurité en cas d’anomalie Tor dans un délai de 1 à 3 heures.

  6. Passer en revue l’alerte de sécurité :

    1. Accédez au volet Alertes de sécurité.

    2. Recherchez l’alerte intitulée Accès d’un nœud de sortie Tor à un conteneur d’objets blob de stockage.

    3. Cliquez sur le bouton Afficher tous les détails de l’alerte pour afficher tous les détails qui s’y rapportent.

Pour en savoir plus sur les alertes de sécurité de Defender pour le stockage, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.

Étapes suivantes

Dans cet article, vous avez appris à tester la protection des données et la détection des menaces dans Defender pour le stockage.

Pour en savoir plus :