Pemindaian malware di Defender for Storage
Pemindaian Malware di Defender for Storage membantu melindungi Azure Blob Storage Anda dari konten berbahaya dengan melakukan pemindaian malware penuh pada konten yang diunggah dalam waktu dekat secara real time, menggunakan kemampuan Antivirus Microsoft Defender. Ini dirancang untuk membantu memenuhi persyaratan keamanan dan kepatuhan untuk menangani konten yang tidak tepercaya.
Kemampuan Pemindaian Malware adalah solusi SaaS tanpa agen yang memungkinkan pengaturan sederhana dalam skala besar, dengan pemeliharaan nol, dan mendukung respons otomatis dalam skala besar.
Unggahan malware adalah ancaman teratas pada penyimpanan cloud
Konten yang diunggah ke penyimpanan cloud bisa berupa malware. Akun penyimpanan dapat menjadi titik masuk malware ke organisasi dan titik distribusi malware. Untuk melindungi organisasi dari ancaman ini, konten dalam penyimpanan cloud harus dipindai untuk malware sebelum diakses.
Pemindaian malware di Defender for Storage membantu melindungi akun penyimpanan dari konten berbahaya
- Solusi SaaS bawaan yang memungkinkan pengaktifan sederhana dalam skala besar dengan pemeliharaan nol.
- Kemampuan antimalware komprehensif menggunakan Antivirus Microsoft Defender (MDAV), menangkap malware polimorfik dan metamorfik.
- Setiap jenis file dipindai (termasuk arsip seperti file zip) dan hasilnya dikembalikan untuk setiap pemindaian. Batas ukuran file adalah 2 GB.
- Mendukung respons dalam skala besar – menghapus atau mengkarantina file yang mencurigakan, berdasarkan tag indeks blob atau peristiwa Event Grid.
- Saat pemindaian malware mengidentifikasi file berbahaya, pemberitahuan keamanan Microsoft Defender untuk Cloud terperinci dihasilkan.
- Dirancang untuk membantu memenuhi persyaratan keamanan dan kepatuhan untuk memindai konten yang tidak tepercaya yang diunggah ke penyimpanan, termasuk opsi untuk mencatat setiap hasil pemindaian.
Kasus dan skenario penggunaan umum
Beberapa kasus penggunaan dan skenario umum untuk pemindaian malware di Defender for Storage meliputi:
Aplikasi web: banyak aplikasi web cloud memungkinkan pengguna mengunggah konten ke penyimpanan. Ini memungkinkan pemeliharaan rendah dan penyimpanan yang dapat diskalakan untuk aplikasi seperti aplikasi pajak, situs HR unggah CV, dan unggahan tanda terima.
Perlindungan konten: aset seperti video dan foto umumnya dibagikan dan didistribusikan dalam skala besar baik secara internal maupun kepada pihak eksternal. CDN (Content Delivery Network) dan hub konten adalah peluang distribusi malware klasik.
Persyaratan kepatuhan: sumber daya yang mematuhi standar kepatuhan seperti NIST, SWIFT, GDPR, dan lainnya memerlukan praktik keamanan yang kuat, yang mencakup pemindaian malware. Sangat penting bagi organisasi yang beroperasi di industri atau wilayah yang diatur.
Integrasi pihak ketiga: data pihak ketiga dapat berasal dari berbagai sumber, dan tidak semuanya mungkin memiliki praktik keamanan yang kuat, seperti mitra bisnis, pengembang, dan kontraktor. Pemindaian malware membantu memastikan bahwa data ini tidak menimbulkan risiko keamanan pada sistem Anda.
Platform kolaboratif: mirip dengan berbagi file, tim menggunakan penyimpanan cloud untuk terus berbagi konten dan berkolaborasi di seluruh tim dan organisasi. Memindai malware memastikan kolaborasi yang aman.
Alur data: data yang bergerak melalui proses ETL (Ekstrak, Transfer, Muat) dapat berasal dari beberapa sumber dan mungkin menyertakan malware. Pemindaian malware dapat membantu memastikan integritas alur ini.
Data pelatihan pembelajaran mesin: kualitas dan keamanan data pelatihan sangat penting untuk model pembelajaran mesin yang efektif. Penting untuk memastikan himpunan data ini bersih dan aman, terutama jika menyertakan konten atau data yang dihasilkan pengguna dari sumber eksternal.
Catatan
Pemindaian malware adalah layanan yang hampir real time. Waktu pemindaian dapat bervariasi tergantung pada ukuran file atau jenis file yang dipindai serta pada beban pada layanan atau pada akun penyimpanan. Microsoft terus berupaya mengurangi waktu pemindaian secara keseluruhan, namun Anda harus mempertimbangkan varianbilitas ini dalam waktu pemindaian saat merancang pengalaman pengguna berdasarkan layanan.
Prasyarat
Untuk mengaktifkan dan mengonfigurasi Pemindaian Malware, Anda harus memiliki peran Pemilik (seperti Pemilik Langganan atau Pemilik Akun Penyimpanan) atau peran tertentu dengan tindakan data yang diperlukan. Pelajari selengkapnya tentang izin yang diperlukan.
Anda dapat mengaktifkan dan mengonfigurasi Pemindaian Malware dalam skala besar untuk langganan Anda sambil mempertahankan kontrol terperinci atas mengonfigurasi fitur untuk akun penyimpanan individual. Ada beberapa cara untuk mengaktifkan dan mengonfigurasi Pemindaian Malware: Kebijakan bawaan Azure (metode yang direkomendasikan), secara terprogram menggunakan templat Infrastruktur sebagai Kode, termasuk templat Terraform, Bicep, dan ARM, menggunakan portal Azure, atau langsung dengan REST API.
Bagaimana cara kerja pemindaian malware
Pemindaian malware saat diunggah
Pemicu saat diunggah
Pemindaian malware dipicu di akun penyimpanan yang dilindungi oleh operasi apa pun yang menghasilkan BlobCreated
peristiwa, seperti yang ditentukan dalam Azure Blob Storage sebagai halaman sumber Event Grid. Operasi ini termasuk pengunggahan awal blob baru, menimpa blob yang ada, dan menyelesaikan perubahan pada blob melalui operasi tertentu. Menyelesaikan operasi mungkin melibatkan PutBlockList
, yang menyusun blob blok dari beberapa blok, atau FlushWithClose
, yang menerapkan data yang ditambahkan ke blob di Azure Data Lake Storage Gen2.
Catatan
Operasi tambahan seperti AppendFile
di Azure Data Lake Storage Gen2 dan PutBlock
di Azure BlockBlob, yang memungkinkan data ditambahkan tanpa finalisasi segera, tidak memicu pemindaian malware sendiri. Pemindaian malware dimulai hanya ketika penambahan ini secara resmi dilakukan: FlushWithClose
menerapkan dan menyelesaikan AppendFile
operasi, memicu pemindaian, dan PutBlockList
melakukan blok di BlockBlob, memulai pemindaian. Memahami perbedaan ini sangat penting untuk mengelola biaya pemindaian secara efektif, karena setiap penerapan dapat menyebabkan pemindaian baru dan berpotensi meningkatkan pengeluaran karena beberapa pemindaian data yang diperbarui secara bertahap.
Memindai wilayah dan retensi data
Layanan pemindaian malware yang menggunakan teknologi Antivirus Microsoft Defender membaca blob. Pemindaian Malware memindai konten "dalam memori" dan menghapus file yang dipindai segera setelah pemindaian. Konten tidak dipertahankan. Pemindaian terjadi di wilayah yang sama dari akun penyimpanan. Dalam beberapa kasus, ketika file mencurigakan, dan lebih banyak data diperlukan, Pemindaian Malware mungkin berbagi metadata file di luar wilayah pemindaian, termasuk metadata yang diklasifikasikan sebagai data pelanggan (misalnya, hash SHA-256), dengan Microsoft Defender untuk Titik Akhir.
Mengakses data pelanggan
Layanan Pemindaian Malware memerlukan akses ke data Anda untuk memindai data Anda untuk malware. Selama pengaktifan layanan, sumber daya Pemindai Data baru yang disebut StorageDataScanner dibuat di langganan Azure Anda. Sumber daya ini diberikan dengan penetapan peran Pemilik Data Blob Penyimpanan untuk mengakses dan mengubah data Anda untuk pemindaian malware dan penemuan data sensitif.
Titik Akhir Privat didukung secara langsung
Pemindaian malware di Defender for Storage didukung di akun penyimpanan yang menggunakan titik akhir privat sambil menjaga privasi data.
Titik akhir privat menyediakan konektivitas yang aman ke layanan penyimpanan Azure Anda, menghilangkan paparan internet publik, dan dianggap sebagai praktik terbaik.
Menyiapkan pemindaian malware
Saat pemindaian malware diaktifkan, tindakan berikut secara otomatis terjadi di lingkungan Anda:
Untuk setiap akun penyimpanan tempat Anda mengaktifkan pemindaian malware, sumber daya Topik Sistem Event Grid dibuat dalam grup sumber daya yang sama dari akun penyimpanan - digunakan oleh layanan pemindaian malware untuk mendengarkan pemicu pengunggahan blob. Menghapus sumber daya ini merusak fungsionalitas pemindaian malware.
Untuk memindai data Anda, layanan Pemindaian Malware memerlukan akses ke data Anda. Selama pengaktifan layanan, sumber daya Pemindai Data baru yang disebut
StorageDataScanner
dibuat di langganan Azure Anda dan ditetapkan dengan identitas terkelola yang ditetapkan sistem. Sumber daya ini diberikan dengan penetapan peran Pemilik Data Blob Penyimpanan yang mengizinkannya mengakses data Anda untuk tujuan Pemindaian Malware dan Penemuan Data Sensitif.
Jika konfigurasi Jaringan akun penyimpanan Anda diatur ke Aktifkan Akses jaringan publik dari jaringan virtual dan alamat IP yang dipilih, StorageDataScanner
sumber daya ditambahkan ke bagian Instans sumber daya di bawah konfigurasi Jaringan akun penyimpanan untuk memungkinkan akses memindai data Anda.
Jika Anda mengaktifkan pemindaian malware di tingkat langganan, sumber daya Operator Keamanan baru yang disebut StorageAccounts/securityOperators/DefenderForStorageSecurityOperator
dibuat di langganan Azure Anda dan ditetapkan dengan identitas yang dikelola sistem. Sumber daya ini digunakan untuk mengaktifkan dan memperbaiki konfigurasi Pemindaian Pertahanan untuk Penyimpanan dan Malware pada akun penyimpanan yang ada dan memeriksa akun penyimpanan baru yang dibuat dalam langganan untuk diaktifkan. Sumber daya ini memiliki penetapan peran yang mencakup izin khusus yang diperlukan untuk mengaktifkan pemindaian malware.
Catatan
Pemindaian malware tergantung pada sumber daya, identitas, dan pengaturan jaringan tertentu agar berfungsi dengan baik. Jika Anda memodifikasi atau menghapus salah satu dari ini, pemindaian malware akan berhenti berfungsi. Untuk memulihkan operasi normalnya, Anda dapat mematikan dan menyalakannya lagi.
Memberikan hasil pemindaian
Hasil pemindaian malware tersedia melalui empat metode. Setelah penyiapan, Anda akan melihat hasil pemindaian sebagai tag indeks blob untuk setiap file yang diunggah dan dipindai di akun penyimpanan, dan sebagai Microsoft Defender untuk Cloud pemberitahuan keamanan saat file diidentifikasi sebagai berbahaya.
Anda dapat memilih untuk mengonfigurasi metode hasil pemindaian tambahan, seperti Event Grid dan Log Analytics; metode ini memerlukan konfigurasi tambahan. Di bagian berikutnya, Anda akan mempelajari tentang berbagai metode hasil pemindaian.
Hasil pemindaian
Tag indeks blob
Tag indeks blob adalah bidang metadata pada blob. Mereka mengategorikan data di akun penyimpanan Anda menggunakan atribut tag nilai kunci. Tag ini secara otomatis diindeks dan diekspos sebagai indeks multi-dimensi yang dapat dicari untuk menemukan data dengan mudah. Hasil pemindaian ringkas, menampilkan hasil pemindaian Malware Scanning dan waktu pemindaian malware UTC dalam metadata blob. Jenis hasil lainnya (pemberitahuan, peristiwa, log) memberikan informasi lebih lanjut tentang jenis malware dan operasi pengunggah file.
Tag indeks blob dapat digunakan oleh aplikasi untuk mengotomatiskan alur kerja, tetapi tidak tahan terhadap perubahan. Baca selengkapnya tentang menyiapkan respons.
Catatan
Akses ke tag indeks memerlukan izin. Untuk informasi selengkapnya lihat Mendapatkan, mengatur, dan memperbarui tag indeks blob.
Defender untuk Cloud pemberitahuan keamanan
Saat file berbahaya terdeteksi, Microsoft Defender untuk Cloud menghasilkan pemberitahuan keamanan Microsoft Defender untuk Cloud. Untuk melihat pemberitahuan, buka Microsoft Defender untuk Cloud pemberitahuan keamanan. Pemberitahuan keamanan berisi detail dan konteks pada file, jenis malware, dan langkah-langkah investigasi dan remediasi yang direkomendasikan. Untuk menggunakan pemberitahuan ini untuk remediasi, Anda dapat:
- Lihat pemberitahuan keamanan di portal Azure dengan menavigasi ke pemberitahuan Microsoft Defender untuk Cloud> Keamanan.
- Konfigurasikan otomatisasi berdasarkan pemberitahuan ini.
- Ekspor pemberitahuan keamanan ke SIEM. Anda dapat terus mengekspor pemberitahuan keamanan Microsoft Sentinel (SIEM Microsoft) menggunakan konektor Microsoft Azure Sentinel, atau SIEM lain pilihan Anda.
Pelajari selengkapnya tentang merespons pemberitahuan keamanan.
Peristiwa Event Grid
Event Grid berguna untuk otomatisasi berbasis peristiwa. Ini adalah metode tercepat untuk mendapatkan hasil dengan latensi minimum dalam bentuk peristiwa yang dapat Anda gunakan untuk mengotomatiskan respons.
Peristiwa dari topik kustom Event Grid dapat dikonsumsi oleh beberapa jenis titik akhir. Yang paling berguna untuk skenario pemindaian malware adalah:
- Aplikasi Fungsi (sebelumnya disebut Azure Function) - gunakan fungsi tanpa server untuk menjalankan kode untuk respons otomatis seperti memindahkan, menghapus, atau mengkarantina.
- Webhook – untuk menyambungkan aplikasi.
- Event Hubs &Bus Layanan Queue – untuk memberi tahu konsumen hilir.
Pelajari cara mengonfigurasi Pemindaian Malware sehingga setiap hasil pemindaian dikirim secara otomatis ke topik Event Grid untuk tujuan otomatisasi.
Analitik log
Anda mungkin ingin mencatat hasil pemindaian untuk bukti kepatuhan atau menyelidiki hasil pemindaian. Dengan menyiapkan tujuan Ruang Kerja Analitik Log, Anda dapat menyimpan setiap hasil pemindaian di repositori log terpusat yang mudah dikueri. Anda dapat melihat hasilnya dengan menavigasi ke ruang kerja tujuan Analitik Log dan mencari StorageMalwareScanningResults
tabel.
Pelajari selengkapnya tentang menyiapkan pengelogan untuk pemindaian malware.
Tip
Kami mengundang Anda untuk menjelajahi fitur Pemindaian Malware di Defender for Storage melalui lab langsung kami. Ikuti instruksi pelatihan Ninja untuk panduan langkah demi langkah terperinci tentang cara menyiapkan dan menguji Pemindaian Malware secara menyeluruh, termasuk mengonfigurasi respons terhadap hasil pemindaian. Ini adalah bagian dari proyek 'lab' yang membantu pelanggan meningkatkan Microsoft Defender untuk Cloud dan memberikan pengalaman praktis langsung dengan kemampuannya.
Kontrol biaya
Pemindaian malware ditagih per GB yang dipindai. Untuk memberikan prediksi biaya, Pemindaian Malware mendukung pengaturan batas jumlah GB yang dipindai dalam satu bulan per akun penyimpanan.
Penting
Pemindaian malware di Defender for Storage tidak disertakan secara gratis dalam uji coba 30 hari pertama dan akan dikenakan biaya dari hari pertama sesuai dengan skema harga yang tersedia di halaman harga Defender untuk Cloud.
Mekanisme "pembatasan" dirancang untuk menetapkan batas pemindaian bulanan, yang diukur dalam gigabyte (GB), untuk setiap akun penyimpanan, berfungsi sebagai kontrol biaya yang efektif. Jika batas pemindaian yang telah ditentukan sebelumnya ditetapkan untuk akun penyimpanan dalam satu bulan kalender, operasi pemindaian akan secara otomatis berhenti setelah ambang batas ini tercapai (dengan penyimpangan hingga 20 GB), dan file tidak akan dipindai untuk malware. Batas diatur ulang pada akhir setiap bulan pada tengah malam UTC. Memperbarui batas biasanya membutuhkan waktu hingga satu jam untuk diterapkan.
Secara default, batas 5 TB (5.000 GB) ditetapkan jika tidak ada mekanisme pembatasan tertentu yang ditentukan.
Tip
Anda dapat mengatur mekanisme pembatasan pada akun penyimpanan individual atau di seluruh langganan (setiap akun penyimpanan pada langganan akan dialokasikan batas yang ditentukan pada tingkat langganan).
Ikuti langkah-langkah ini untuk mengonfigurasi mekanisme pembatasan.
Biaya tambahan pemindaian malware
Pemindaian malware menggunakan layanan Azure lainnya sebagai fondasinya. Ini berarti bahwa ketika Anda mengaktifkan pemindaian Malware, Anda juga akan dikenakan biaya untuk layanan Azure yang diperlukannya. Layanan ini termasuk operasi baca Azure Storage, pengindeksan blob Azure Storage, dan pemberitahuan Azure Event Grid.
Menangani kemungkinan positif palsu dan negatif palsu
Jika Anda memiliki file yang Anda duga mungkin malware tetapi tidak terdeteksi (negatif palsu) atau salah terdeteksi (positif palsu), Anda dapat mengirimkannya kepada kami untuk dianalisis melalui portal pengiriman sampel. Pilih "Pertahanan Microsoft untuk Penyimpanan" sebagai sumbernya.
Defender untuk Cloud memungkinkan Anda menekan pemberitahuan positif palsu. Pastikan untuk membatasi aturan supresi dengan menggunakan nama malware atau hash file.
Pemindaian Malware tidak secara otomatis memblokir akses atau mengubah izin ke blob yang diunggah, meskipun berbahaya.
Batasan
Fitur dan layanan yang tidak didukung
Akun penyimpanan yang tidak didukung: Akun penyimpanan v1 warisan tidak didukung oleh pemindaian malware.
Layanan yang tidak didukung: Azure Files tidak didukung oleh pemindaian malware.
Klien yang tidak didukung: Blob yang diunggah dengan protokol Network File System (NFS) 3.0 tidak akan dipindai untuk malware saat diunggah.
Wilayah yang tidak didukung: Jio India Barat, Korea Selatan, Afrika Selatan Barat.
Wilayah yang didukung oleh Defender for Storage tetapi tidak dengan pemindaian malware. Pelajari selengkapnya tentang ketersediaan untuk Defender for Storage.
Jenis blob yang tidak didukung: Blob Tambahkan dan Halaman tidak didukung untuk Pemindaian Malware.
Enkripsi yang tidak didukung: Blob terenkripsi sisi klien tidak didukung karena tidak dapat didekripsi sebelum dipindai oleh layanan. Namun, data yang dienkripsi saat tidak aktif oleh Customer Managed Key (CMK) didukung.
Hasil tag indeks yang tidak didukung: Hasil pemindaian tag indeks tidak didukung di akun penyimpanan dengan namespace hierarki diaktifkan (Azure Data Lake Storage Gen2).
Event Grid: Topik Event Grid yang tidak mengaktifkan akses jaringan publik (yaitu koneksi titik akhir privat) tidak didukung oleh pemindaian malware di Defender for Storage.
Kapasitas throughput dan batas ukuran blob
- Batas laju throughput pemindaian: Pemindaian Malware dapat memproses hingga 2 GB per menit untuk setiap akun penyimpanan. Jika tingkat pengunggahan file sesaat melebihi ambang batas ini untuk akun penyimpanan, sistem mencoba memindai file melebihi batas tarif. Jika tingkat pengunggahan file secara konsisten melebihi ambang batas ini, beberapa blob tidak akan dipindai.
- Batas pemindaian blob: Pemindaian Malware dapat memproses hingga 2.000 file per menit untuk setiap akun penyimpanan. Jika tingkat pengunggahan file sesaat melebihi ambang batas ini untuk akun penyimpanan, sistem mencoba memindai file melebihi batas tarif. Jika tingkat pengunggahan file secara konsisten melebihi ambang batas ini, beberapa blob tidak akan dipindai.
- Batas ukuran blob: Batas ukuran maksimum untuk satu blob yang akan dipindai adalah 2 GB. Blob yang lebih besar dari batas tidak akan dipindai.
Unggahan blob dan pembaruan tag indeks
Setelah mengunggah blob ke akun penyimpanan, pemindaian malware memulai operasi baca tambahan dan memperbarui tag indeks. Dalam kebanyakan kasus, operasi ini tidak menghasilkan beban yang signifikan.
Dampak pada IOPS akses dan penyimpanan
Meskipun proses pemindaian, akses ke data yang diunggah tetap tidak terpengaruh, dan dampaknya pada Penyimpanan Operasi Input/Output Per Detik (IOPS) minimal.
Batasan dibandingkan dengan Microsoft Defender untuk Titik Akhir
Defender for Storage menggunakan mesin antimalware yang sama dan tanda tangan terbaru sebagai Defender for Endpoint untuk memindai malware. Namun, ketika file diunggah ke Azure Storage, file tidak memiliki metadata tertentu yang bergantung pada mesin antimalware. Kurangnya metadata ini dapat menyebabkan tingkat deteksi yang terlewat yang lebih tinggi, yang dikenal sebagai 'negatif palsu', di Azure Storage dibandingkan dengan yang terdeteksi oleh Defender for Endpoint.
Berikut ini adalah beberapa contoh metadata yang hilang:
Tanda Web (MOTW): MOTW adalah fitur keamanan Windows yang melacak file yang diunduh dari internet. Namun, ketika file diunggah ke Azure Storage, metadata ini tidak dipertahankan.
Konteks jalur file: Pada sistem operasi standar, jalur file dapat memberikan konteks tambahan untuk deteksi ancaman. Misalnya, file yang mencoba memodifikasi lokasi sistem (misalnya, C:\Windows\System32) akan ditandai sebagai mencurigakan, dan tunduk pada analisis lebih lanjut. Di Azure Storage, konteks jalur file tertentu dalam blob tidak dapat digunakan dengan cara yang sama.
Data perilaku: Defender for Storage menganalisis konten file tanpa menjalankannya. Ini memeriksa file dan dapat meniru eksekusi mereka untuk memeriksa malware. Namun, pendekatan ini mungkin tidak mendeteksi jenis malware tertentu yang mengungkapkan sifat berbahaya mereka hanya selama eksekusi.
Langkah berikutnya
Pelajari selengkapnya tentang cara menyiapkan respons untuk hasil pemindaian malware.