Share via

Reactie instellen op malwarescans

  • Artikel

Stel geautomatiseerde antwoorden in om schadelijke bestanden te verplaatsen of te verwijderen of om schone bestanden naar een andere bestemming te verplaatsen of op te nemen. Selecteer de gewenste antwoordoptie die past bij uw scenarioarchitectuur.

Met Malware Scanning kunt u uw automatiseringsreactie bouwen met behulp van de volgende scanresultatenopties:

  • beveiligingswaarschuwingen Defender voor Cloud
  • Event Grid-gebeurtenissen
  • Blob-indextags

Tip

We nodigen u uit om de functie malwarescans in Defender for Storage te verkennen via ons praktijklab. Volg de Ninja-trainingsinstructies voor een gedetailleerde, stapsgewijze handleiding over het instellen en testen van malwarescans, inclusief het configureren van antwoorden op scanresultaten. Dit maakt deel uit van het 'labs'-project dat klanten helpt om aan de slag te gaan met Microsoft Defender voor Cloud en praktische ervaring te bieden met de mogelijkheden ervan.

Hier volgen enkele antwoordopties die u kunt gebruiken om uw antwoord te automatiseren:

Toegang tot niet-gescande of schadelijke bestanden blokkeren met ABAC (op kenmerken gebaseerd toegangsbeheer)

U kunt de toegang tot schadelijke en niet-gescande bestanden blokkeren met abac-autorisatie (Op kenmerken gebaseerd toegangsbeheer) van Microsoft Entra. Hiermee kunt u voorwaardelijke toegang instellen op blobs op basis van de scanresultaten en kunnen toepassingen en gebruikers alleen gescande bestanden openen die schoon zijn.

Volg de instructies in de volgende video om deze in te stellen.

Een schadelijke blob verwijderen of verplaatsen

U kunt code- of werkstroomautomatisering gebruiken om schadelijke bestanden te verwijderen of te verplaatsen naar quarantaine.

Uw omgeving voorbereiden voor verwijderen of verplaatsen

  • Verwijder het schadelijke bestand- Voordat u automatische verwijdering instelt, wordt het aanbevolen om voorlopig verwijderen in te schakelen voor het opslagaccount. Hiermee kunt u bestanden 'ongedaan maken' als er fout-positieven zijn of in gevallen waarin beveiligingsprofessionals de schadelijke bestanden willen onderzoeken.

  • Verplaats het schadelijke bestand in quarantaine : u kunt bestanden verplaatsen naar een toegewezen opslagcontainer of opslagaccount dat als 'quarantaine' wordt beschouwd. Mogelijk wilt u alleen bepaalde gebruikers, zoals een beveiligingsbeheerder of een SOC-analist, toegang hebben tot deze toegewezen container of dit toegewezen opslagaccount.

    • Het gebruik van Microsoft Entra ID voor het beheren van de toegang tot blob-opslag wordt als best practice beschouwd. Als u de toegang tot de toegewezen quarantaineopslagcontainer wilt beheren, kunt u roltoewijzingen op containerniveau gebruiken met behulp van op rollen gebaseerd toegangsbeheer (RBAC) van Microsoft Entra. Gebruikers met machtigingen op opslagaccountniveau hebben mogelijk nog steeds toegang tot de container 'quarantaine'. U kunt hun machtigingen bewerken om containerniveau te zijn of een andere benadering kiezen en het schadelijke bestand verplaatsen naar een toegewezen opslagaccount.
    • Als u andere methoden moet gebruiken, zoals SAS-tokens (Shared Access Signatures) in het beveiligde opslagaccount, kunt u het beste schadelijke bestanden verplaatsen naar een ander opslagaccount (quarantaine). Vervolgens kunt u microsoft Entra het beste toestemming geven voor toegang tot het in quarantaine geplaatste opslagaccount.

Automatisering instellen

Optie 1: Logische app op basis van Microsoft Defender voor Cloud beveiligingswaarschuwingen

Reacties op basis van logische apps zijn een eenvoudige, no-code-benadering voor het instellen van een antwoord. De reactietijd is echter trager dan de op gebeurtenissen gebaseerde benadering op basis van code.

  1. Implementeer de sjabloon DeleteBlobLogicApp Azure Resource Manager (ARM) met behulp van Azure Portal.

  2. Selecteer de logische app die u hebt geïmplementeerd.

  3. Voeg een roltoewijzing toe aan de logische app zodat deze blobs uit uw opslagaccount kan verwijderen:

    1. Ga naar Identiteit in het zijmenu en selecteer Azure-roltoewijzingen.

      Schermopname van het instellen van een roltoewijzing voor werkstroomautomatisering om te reageren op scanresultaten.

    2. Voeg een roltoewijzing toe aan het abonnementsniveau met de rol Inzender voor opslagblobgegevens.

    3. Werkstroomautomatisering maken voor Microsoft Defender voor Cloud waarschuwingen:

      1. Ga naar Microsoft Defender voor Cloud in Azure Portal.
      2. Ga naar Werkstroomautomatisering in het zijmenu.
      3. Voeg een nieuwe werkstroom toe: vul in het veld Waarschuwingsnaam het schadelijke bestand in dat is geüpload naar het opslagaccount en kies uw logische app in de sectie Acties.
      4. Selecteer Maken.

      Schermopname van het instellen van werkstroomautomatisering om te reageren op scanresultaten.

Optie 2: Functie-app op basis van Event Grid-gebeurtenissen

Een functie-app biedt hoge prestaties met een reactietijd met lage latentie.

  1. Maak een functie-app in dezelfde resourcegroep als uw beveiligde opslagaccount.

  2. Voeg een roltoewijzing toe voor de identiteit van de functie-app.

    1. Ga naar Identiteit in het zijmenu, zorg ervoor dat de door het systeem toegewezen identiteitsstatus is ingeschakeld en selecteer Azure-roltoewijzingen.

    2. Voeg een roltoewijzing toe aan het abonnements- of opslagaccountniveau met de rol Inzender voor opslagblobgegevens.

  3. Event Grid-gebeurtenissen gebruiken en een Azure-functie verbinden als het eindpunttype.

  4. Wanneer u de Azure-functiecode schrijft, kunt u ons vooraf gemaakte functievoorbeeld MoveMaliciousBlobEventTrigger gebruiken of uw eigen code schrijven om de blob ergens anders te kopiëren en deze vervolgens uit de bron te verwijderen.

Voor elk scanresultaat wordt een gebeurtenis verzonden volgens het volgende schema.

Gebeurtenisberichtstructuur

Het gebeurtenisbericht is een JSON-object dat sleutel-waardeparen bevat die gedetailleerde informatie bieden over een malwarescanresultaat. Hier volgt een uitsplitsing van elke sleutel in het gebeurtenisbericht:

  • id: Een unieke id voor de gebeurtenis.

  • onderwerp: Een tekenreeks die het resourcepad van de gescande blob (bestand) in het opslagaccount beschrijft.

  • gegevens: een JSON-object met aanvullende informatie over de gebeurtenis:

    • correlationId: een unieke id die kan worden gebruikt om meerdere gebeurtenissen met betrekking tot dezelfde scan te correleren.

    • blobUri: de URI van de gescande blob (bestand) in het opslagaccount.

    • eTag: De ETag van de gescande blob (bestand).

      • scanFinishedTimeUtc: de UTC-tijdstempel toen de scan is voltooid.

      • scanResultType: het resultaat van de scan, bijvoorbeeld 'Schadelijk' of 'Geen bedreigingen gevonden'.

      • scanResultDetails: een JSON-object met details over het scanresultaat:

        1. malwareNamesFound: Een matrix met malwarenamen die in het gescande bestand zijn gevonden.

        2. sha256: de SHA-256-hash van het gescande bestand.

  • eventType: een tekenreeks die het type gebeurtenis aangeeft, in dit geval 'Microsoft.Security.MalwareScanningResult'.

  • dataVersion: het versienummer van het gegevensschema.

  • metadataVersion: het versienummer van het metagegevensschema.

  • eventTime: de UTC-tijdstempel toen de gebeurtenis werd gegenereerd.

  • onderwerp: Het resourcepad van het Event Grid-onderwerp waartoe de gebeurtenis behoort.

Hier volgt een voorbeeld van een gebeurtenisbericht:

{
  "id": "52d00da0-8f1a-4c3c-aa2c-24831967356b",
  "subject": "storageAccounts/<storage_account_name>/containers/app-logs-storage/blobs/EICAR - simulating malware.txt",
  "data": {
    "correlationId": "52d00da0-8f1a-4c3c-aa2c-24831967356b",
    "blobUri": "https://<storage_account_name>.blob.core.windows.net/app-logs-storage/EICAR - simulating malware.txt",
    "eTag": "0x8DB4C9327B08CBF",
    "scanFinishedTimeUtc": "2023-05-04T11:31:54.0481279Z",
    "scanResultType": "Malicious",
    "scanResultDetails": {
      "malwareNamesFound": [
        "DOS/EICAR_Test_File"
      ],
      "sha256": "275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F"
    }
  },
  "eventType": "Microsoft.Security.MalwareScanningResult",
  "dataVersion": "1.0",
  "metadataVersion": "1",
  "eventTime": "2023-05-04T11:31:54.048375Z",
  "topic": "/subscriptions/<subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.EventGrid/topics/<event_grid_topic_name>"
}

Door inzicht te krijgen in de structuur van het gebeurtenisbericht, kunt u relevante informatie extraheren over het malwarescanresultaat en deze dienovereenkomstig verwerken.

Zorg ervoor dat uw toepassingen en gegevensstromen op de hoogte zijn van scanresultaten van malwarescans

Malwarescans zijn bijna in realtime en meestal is er een klein tijdvenster tussen de tijd van de upload en de tijd van de scan. Omdat de opslag niet-compatibel is, bestaat er geen risico dat schadelijke bestanden worden uitgevoerd in uw opslag. Het risico is dat gebruikers of toepassingen toegang hebben tot schadelijke bestanden en ze verspreiden in de hele organisatie.

Er zijn enkele methoden om uw toepassingen en gegevensstromen bewust te maken van scanresultaten voor malwarescans en ervoor te zorgen dat er geen manier is om een bestand te openen/verwerken voordat het is gescand en het resultaat ervan is verbruikt en waarop is gereageerd.

Toepassingen nemen gegevens op op basis van het scanresultaat

Optie 1: Apps die 'Indextag' controleren voordat ze worden verwerkt

Een manier om opgenomen gegevens op te halen, is door alle toepassingen bij te werken die toegang hebben tot het opslagaccount. Elke toepassing controleert het scanresultaat voor elk bestand en als het scanresultaat van de blob-indextag geen bedreigingen bevat, leest de toepassing de blob.

Optie 2: Uw toepassing verbinden met een webhook in Event Grid-gebeurtenissen

U kunt uw toepassing verbinden met een webhook in Event Grid-gebeurtenissen en deze gebeurtenissen gebruiken om de relevante processen te activeren voor bestanden die geen scanresultaten hebben gevonden met bedreigingen. Meer informatie over het gebruik van de levering van webhook-gebeurtenissen en het valideren van uw eindpunt.

Een tussenliggend opslagaccount gebruiken als DMZ

U kunt een tussenliggend opslagaccount instellen voor niet-vertrouwde inhoud (DMZ) en verkeer rechtstreeks uploaden naar de DMZ. Schakel in het niet-vertrouwde opslagaccount malwarescans in en verbind Event Grid en functie-app om alleen blobs te verplaatsen die zijn gescand met het resultaat 'geen bedreiging gevonden' naar het doelopslagaccount.

Diagram waarin wordt getoond hoe u een tussenliggend opslagaccount instelt als DMZ.

Volgende stappen

Meer informatie over het begrijpen van resultaten van malwarescans in Microsoft Defender for Storage.