A kártevő-vizsgálatra adott válasz beállítása

Automatikus válaszokat állíthat be a rosszindulatú fájlok áthelyezéséhez vagy eltávolításához, illetve a tiszta fájlok másik célhelyre való áthelyezéséhez/betöltéséhez. Válassza ki a forgatókönyv architektúrájának megfelelő előnyben részesített válaszlehetőséget.

A kártevő-vizsgálattal az automatizálási választ a következő vizsgálati eredmények beállításaival hozhatja létre:

• Felhőhöz készült Defender biztonsági riasztások
• Event Grid-események
• Blobindex-címkék

Tipp.

Gyakorlati tesztkörnyezetünkben megismerheti a Defender for Storage kártevő-ellenőrzési funkcióját. A Ninja betanítási utasításait követve részletes, részletes útmutatót talál a kártevők vizsgálatának végpontok közötti beállításáról és teszteléséről, beleértve a válaszok konfigurálását az eredmények vizsgálatához. Ez a "laborok" projekt része, amely segít az ügyfeleknek a Felhőhöz készült Microsoft Defender elsajátításában, és gyakorlati tapasztalatot nyújt a képességeikkel kapcsolatban.

Az alábbiakban néhány válaszbeállítást használhat a válasz automatizálásához:

A be nem vizsgált vagy rosszindulatú fájlok hozzáférésének letiltása az ABAC használatával (attribútumalapú hozzáférés-vezérlés)

A microsoft Entra attribútumalapú hozzáférés-vezérlési (ABAC) engedélyével letilthatja a rosszindulatú és a be nem vizsgált fájlokhoz való hozzáférést. Lehetővé teszi a blobok feltételes hozzáférésének beállítását a vizsgálati eredmények alapján, és lehetővé teszi, hogy az alkalmazások és a felhasználók csak tiszta beolvasott fájlokat férjenek hozzá.

A beállításhoz kövesse az alábbi videó utasításait.

Kártevő blob törlése vagy áthelyezése

Kód- vagy munkafolyamat-automatizálással törölheti vagy áthelyezheti a kártevő fájlokat karanténba.

A környezet előkészítése törlésre vagy áthelyezésre

• A kártékony fájl törlése – Az automatikus törlés beállítása előtt ajánlott engedélyezni a helyreállítható törlést a tárfiókon. Lehetővé teszi a fájlok "törlését", ha hamis pozitívak, vagy ha a biztonsági szakemberek meg szeretnék vizsgálni a rosszindulatú fájlokat.

• Helyezze át a kártékony fájlt karanténba – A fájlokat áthelyezheti egy dedikált tárolóba vagy tárfiókba, amely karanténnak minősül. Előfordulhat, hogy csak bizonyos felhasználók, például egy biztonsági rendszergazda vagy egy SOC-elemző számára szeretné engedélyezni, hogy hozzáférjenek ehhez a dedikált tárolóhoz vagy tárfiókhoz.

  • Ajánlott eljárás a Blob Storage-hoz való hozzáférés szabályozása a Microsoft Entra ID használatával. A dedikált karanténtárolóhoz való hozzáférés szabályozásához használhat tárolószintű szerepkör-hozzárendeléseket a Microsoft Entra szerepköralapú hozzáférés-vezérlés (RBAC) használatával. A tárfiókszintű engedélyekkel rendelkező felhasználók továbbra is hozzáférhetnek a "karantén" tárolóhoz. Szerkesztheti a tárolószintű engedélyeket, vagy másik megközelítést választhat, és áthelyezheti a kártékony fájlt egy dedikált tárfiókba.
  • Ha más módszereket, például SAS-jogkivonatokat (például közös hozzáférésű jogosultságkódokat) kell használnia a védett tárfiókon, ajánlott a kártékony fájlokat áthelyezni egy másik tárfiókba (karanténba). Ezután a legjobb, ha csak a Microsoft Entra engedélyt ad a karanténba helyezett tárfiók elérésére.

Automatizálás beállítása

1. lehetőség: Logikai alkalmazás Felhőhöz készült Microsoft Defender biztonsági riasztások alapján

A logikai alkalmazáson alapuló válaszok egyszerű, kód nélküli megközelítések a válasz beállításához. A válaszidő azonban lassabb, mint az eseményvezérelt kódalapú megközelítés.

1. Telepítse a DeleteBlobLogicApp Azure Resource Manager (ARM) sablont az Azure Portal használatával.

2. Válassza ki az üzembe helyezett logikai alkalmazást.

3. Adjon hozzá egy szerepkör-hozzárendelést a logikai alkalmazáshoz, amely lehetővé teszi a blobok törlését a tárfiókból:

   1. Nyissa meg az identitást az oldalsó menüben, és válassza ki az Azure-szerepkör-hozzárendeléseket.

      

   2. Adjon hozzá egy szerepkör-hozzárendelést az előfizetés szintjén a Storage Blob Data Közreműködő szerepkörrel.

   3. Munkafolyamat-automatizálás létrehozása Felhőhöz készült Microsoft Defender riasztásokhoz:

      1. Nyissa meg a Felhőhöz készült Microsoft Defender az Azure Portalon.
      2. Nyissa meg a munkafolyamat-automatizálást az oldalsó menüben.
      3. Új munkafolyamat hozzáadása: A Riasztás neve mezőben adja meg a tárfiókba feltöltött rosszindulatú fájlt, és válassza ki a Logikai alkalmazást a Műveletek szakaszban.
      4. Válassza a Létrehozás parancsot.

      

2. lehetőség: Event Grid-eseményeken alapuló függvényalkalmazás

A függvényalkalmazások nagy teljesítményt és alacsony késési válaszidőt biztosítanak.

1. Hozzon létre egy függvényalkalmazást ugyanabban az erőforráscsoportban, mint a védett tárfiók.

2. Szerepkör-hozzárendelés hozzáadása a függvényalkalmazás identitásához.

   1. Nyissa meg az identitást az oldalsó menüben, győződjön meg arról, hogy a rendszer által hozzárendelt identitás állapota be van kapcsolva, és válassza ki az Azure-szerepkör-hozzárendeléseket.

   2. Adjon hozzá egy szerepkör-hozzárendelést az előfizetés vagy a tárfiók szintjeihez a Storage Blob Data Közreműködő szerepkörrel.

3. Használja az Event Grid-eseményeket, és csatlakoztassa az Azure-függvényt végponttípusként.

4. Az Azure-függvénykód írásakor használhatja az előre elkészített függvénymintát – MoveMaliciousBlobEventTrigger , vagy saját kódot írhat a blob máshová másolásához, majd törölheti azt a forrásból.

Az egyes vizsgálati eredmények esetében a rendszer az alábbi séma szerint küld egy eseményt.

Eseményüzenet struktúrája

Az eseményüzenet egy olyan JSON-objektum, amely kulcs-érték párokat tartalmaz, amelyek részletes információkat nyújtanak a kártevők vizsgálatának eredményéről. Íme az eseményüzenetben szereplő kulcsok lebontása:

• id: Az esemény egyedi azonosítója.

• tárgy: A tárfiókban lévő beolvasott blob (fájl) erőforrás-elérési útját leíró sztring.

• data: Egy JSON-objektum, amely további információkat tartalmaz az eseményről:

  • correlationId: Egyedi azonosító, amely az azonos vizsgálathoz kapcsolódó több esemény korrelálásához használható.

  • blobUri: A tárfiókban lévő beolvasott blob (fájl) URI-ja.

  • eTag: A beolvasott blob (fájl) ETagje.

    • scanFinishedTimeUtc: Az UTC időbélyeg, amikor a vizsgálat befejeződött.

    • scanResultType: A vizsgálat eredménye, például "Rosszindulatú" vagy "Nem található fenyegetés".

    • scanResultDetails: A vizsgálati eredmény részleteit tartalmazó JSON-objektum:

      1. malwareNamesFound: A beolvasott fájlban található kártevőnevek tömbje.

      2. sha256: A beolvasott fájl SHA-256 kivonata.

• eventType: Az esemény típusát jelző sztring, ebben az esetben a "Microsoft.Security.MalwareScanningResult".

• dataVersion: Az adatséma verziószáma.

• metadataVersion: A metaadat-séma verziószáma.

• eventTime: Az esemény létrehozásakor az UTC időbélyege.

• témakör: Annak az Event Grid-témakörnek az erőforrás-elérési útja, amelyhez az esemény tartozik.

Íme egy példa egy eseményüzenetre:

{
  "id": "52d00da0-8f1a-4c3c-aa2c-24831967356b",
  "subject": "storageAccounts/<storage_account_name>/containers/app-logs-storage/blobs/EICAR - simulating malware.txt",
  "data": {
    "correlationId": "52d00da0-8f1a-4c3c-aa2c-24831967356b",
    "blobUri": "https://<storage_account_name>.blob.core.windows.net/app-logs-storage/EICAR - simulating malware.txt",
    "eTag": "0x8DB4C9327B08CBF",
    "scanFinishedTimeUtc": "2023-05-04T11:31:54.0481279Z",
    "scanResultType": "Malicious",
    "scanResultDetails": {
      "malwareNamesFound": [
        "DOS/EICAR_Test_File"
      ],
      "sha256": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F"
    }
  },
  "eventType": "Microsoft.Security.MalwareScanningResult",
  "dataVersion": "1.0",
  "metadataVersion": "1",
  "eventTime": "2023-05-04T11:31:54.048375Z",
  "topic": "/subscriptions/<subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.EventGrid/topics/<event_grid_topic_name>"
}

Az eseményüzenet szerkezetének megismerésével releváns információkat nyerhet ki a kártevő-vizsgálat eredményéről, és ennek megfelelően feldolgozhatja azt.

Az alkalmazások és adatfolyamok értesülése a kártevők vizsgálatának eredményeiről

A kártevők vizsgálata közel valós idejű, és általában van egy kis időablak a feltöltés ideje és a vizsgálat ideje között. Mivel a tárolás nem megfelelő, nem áll fenn annak a veszélye, hogy rosszindulatú fájlok futnak a tárolóban. A kockázat az, hogy a felhasználók vagy alkalmazások hozzáférnek a kártékony fájlokhoz, és terjesztik őket a szervezetben.

Van néhány módszer arra, hogy az alkalmazások és az adatfolyamok értesüljenek a kártevő-vizsgálat eredményeiről, és győződjön meg arról, hogy nincs mód a fájlok elérésére/feldolgozására, mielőtt beolvasták volna, és az eredményeket felhasználták és elvégezték volna.

Az alkalmazások a vizsgálati eredmény alapján betöltik az adatokat

1. lehetőség: Az alkalmazások a feldolgozás előtt ellenőrzik az "Indexcímkét".

A betöltött adatok lekérésének egyik módja a tárfiókhoz hozzáférő összes alkalmazás frissítése. Minden alkalmazás ellenőrzi az egyes fájlok vizsgálati eredményét, és ha a blobindex-címke vizsgálatának eredménye nem található fenyegetés, az alkalmazás felolvassa a blobot.

2. lehetőség: Csatlakozás az alkalmazást egy Webhookba az Event Grid-eseményekben

Az alkalmazást csatlakoztathatja egy Webhookhoz az Event Grid-eseményekben, és ezekkel az eseményekkel aktiválhatja a megfelelő folyamatokat olyan fájlok esetében, amelyek nem találtak fenyegetést a vizsgálati eredményekre . További információ a Webhook-eseménykézbesítés használatáról és a végpont ellenőrzéséről.

Köztes tárfiók használata DMZ-ként

Konfigurálhat egy közvetítő tárfiókot a nem megbízható tartalmakhoz (DMZ), és közvetlenül feltöltheti a forgalmat a DMZ-be. A nem megbízható tárfiókban engedélyezze a kártevők vizsgálatát, és csatlakoztassa az Event Grid és a függvényalkalmazást, hogy csak a "nem található fenyegetés" eredménnyel beolvasott blobokat helyezze át a céltárfiókba.

Következő lépések

Megtudhatja, hogyan értelmezheti a Microsoft Defender for Storage kártevő-vizsgálatának eredményeit.