Udostępnij za pośrednictwem

Testowanie funkcji zabezpieczeń danych usługi Defender for Storage

Po włączeniu usługi Microsoft Defender for Storage możesz przetestować usługę i uruchomić weryfikację koncepcji. Ułatwia to zapoznanie się z jego funkcjami i sprawdzenie, czy jej zaawansowane funkcje zabezpieczeń skutecznie chronią konta magazynu, generując rzeczywiste alerty zabezpieczeń. Ten przewodnik przeprowadzi Cię przez proces testowania różnych aspektów pokrycia zabezpieczeń oferowanych przez usługę Defender for Storage.

Istnieją trzy główne składniki do przetestowania:

  • Skanowanie złośliwego oprogramowania (jeśli jest włączone)
  • Wykrywanie zagrożeń poufnych danych (jeśli jest włączone)
  • Monitorowanie aktywności

Napiwek

Praktyczne laboratorium do wypróbowania skanowania złośliwego oprogramowania w usłudze Defender for Storage

Zalecamy wypróbowanie instrukcji treningowych ninja, aby uzyskać szczegółowe instrukcje krok po kroku dotyczące testowania kompleksowego skanowania złośliwego oprogramowania przy użyciu konfigurowania odpowiedzi na wyniki skanowania. Jest to część projektu "laboratoriów", który pomaga klientom w zwiększaniu się Microsoft Defender dla Chmury i zapewnia praktyczne doświadczenie w zakresie jego możliwości.

Testowanie skanowania złośliwego oprogramowania

Wykonaj następujące kroki, aby przetestować skanowanie złośliwego oprogramowania po włączeniu funkcji:

  1. Aby sprawdzić, czy konfiguracja zakończyła się pomyślnie, przekaż plik na konto magazynu. Aby przekazać plik, możesz użyć witryny Azure Portal

  2. Sprawdź nowe tagi indeksu obiektów blob:

    1. Po przekazaniu pliku wyświetl obiekt blob i sprawdź jego tagi indeksu obiektów blob.

    2. Powinny zostać wyświetlone dwa nowe tagi: wynik skanowania złośliwego oprogramowania i czas skanowania złośliwego oprogramowania.

    3. Tagi indeksu obiektów blob służą jako przydatny sposób wyświetlania wyników skanowania.

  3. Jeśli nie widzisz nowych tagów indeksu obiektów blob, wybierz przycisk Odśwież .

Zrzut ekranu przedstawiający sposób przekazywania pliku w celu przetestowania skanowania w poszukiwaniu złośliwego oprogramowania.

Uwaga

Tagi indeksu nie są obsługiwane w przypadku usługi ADLS Gen. Aby przetestować i zweryfikować ochronę blokowych obiektów blob w warstwie Premium, zapoznaj się z wygenerowanym alertem zabezpieczeń.

Przekazywanie pliku testowego EICAR w celu symulowania przekazywania złośliwego oprogramowania

Aby zasymulować przekazywanie złośliwego oprogramowania przy użyciu pliku testowego EICAR, wykonaj następujące kroki:

  1. Przygotuj się do pliku testowego EICAR:

    1. Aby uniknąć uszkodzenia, użyj pliku testowego EICAR zamiast rzeczywistego złośliwego oprogramowania. Ustandaryzowane oprogramowanie chroniące przed złośliwym oprogramowaniem traktuje pliki testowe EICAR jako złośliwe oprogramowanie.

    2. Wyklucz pusty folder, aby uniemożliwić programowi ochrony antywirusowej punktu końcowego usunięcie pliku. W przypadku użytkowników Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) zapoznaj się z artykułem Dodawanie wykluczenia do Zabezpieczenia Windows.

  2. Utwórz plik testowy EICAR:

    1. Skopiuj następujący ciąg: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    2. Wklej ciąg do pliku .TXT i zapisz go w wykluczonym folderze.

  3. Przekaż plik testowy EICAR na konto magazynu.

  4. Sprawdź tag indeksu wyników skanowania złośliwego oprogramowania:

    1. Sprawdź tag indeksu wyników skanowania złośliwego oprogramowania z wartością Złośliwy.

    2. Jeśli tagi nie są widoczne, wybierz przycisk Odśwież .

  5. Otrzymuj alert zabezpieczeń Microsoft Defender dla Chmury:

    1. Przejdź do Microsoft Defender dla Chmury przy użyciu paska wyszukiwania na platformie Azure.

    2. Wybierz pozycję Alerty zabezpieczeń.

  6. Przejrzyj alert zabezpieczeń:

  7. a. Znajdź alert o nazwie Złośliwy plik przekazany do konta magazynu.

  8. b. Wybierz przycisk Wyświetl pełne szczegóły alertu, aby wyświetlić wszystkie powiązane szczegóły.

  9. Dowiedz się więcej o alertach zabezpieczeń usługi Defender for Storage w tabeli referencyjnej dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.

Testowanie wykrywania zagrożeń poufnych danych

Aby przetestować funkcję wykrywania zagrożeń poufnych danych przez przekazanie danych testowych reprezentujących poufne informacje na koncie magazynu, wykonaj następujące kroki:

  1. Utwórz nowe konto magazynu:

    1. Wybierz subskrypcję bez włączonej usługi Defender for Storage.

    2. Utwórz nowe konto magazynu z losową nazwą w ramach wybranej subskrypcji.

  2. Konfigurowanie kontenera testowego:

    1. Przejdź do okienka Kontenery na nowo utworzonym koncie magazynu.

    2. Wybierz przycisk + Kontener, aby utworzyć nowy kontener obiektów blob.

    3. Nadaj nowej nazwie kontener test-container.

  3. Przekazywanie danych testowych:

    1. Otwórz aplikację do edycji tekstu na komputerze, taką jak Notatnik lub Microsoft Word.

    2. Utwórz nowy plik i zapisz go w formacie, na przykład TXT, CSV lub DOCX.

    3. Dodaj następujący ciąg do pliku: ASD 100-22-3333 SSN Text — ten ciąg jest testowym numerem SSN (Stany Zjednoczone) SSN (numer ubezpieczenia społecznego).

      Zrzut ekranu przedstawiający sposób testowania pliku w poszukiwaniu informacji o numerze ubezpieczenia społecznego w poszukiwaniu złośliwego oprogramowania.

    4. Zapisz i przekaż plik do kontenera testowego na koncie magazynu.

      Zrzut ekranu przedstawiający sposób przekazywania pliku w skanowaniu złośliwego oprogramowania w celu przetestowania informacji o numerze ubezpieczenia społecznego.

  4. Włącz usługę Defender for Storage:

    1. W witrynie Azure Portal przejdź do Microsoft Defender dla Chmury.

    2. Włącz usługę Defender for Storage na koncie magazynu z włączoną funkcją odnajdywania danych poufności.

    Odnajdywanie poufnych danych skanuje pod kątem poufnych informacji w ciągu pierwszych 24 godzin. Dzieje się tak po włączeniu go na poziomie konta magazynu lub utworzeniu nowego konta magazynu w ramach subskrypcji chronionej przez tę funkcję na poziomie subskrypcji. Po wykonaniu tego początkowego skanowania usługa skanuje informacje poufne co siedem dni od momentu włączenia.

    Uwaga

    Jeśli włączysz tę funkcję, a następnie dodasz poufne dane w dniach po włączeniu, następne skanowanie pod kątem nowo dodanych danych nastąpi w ciągu następnego 7-dniowego cyklu skanowania, w zależności od dnia dodania danych.

  5. Zmień poziom dostępu:

    1. Wróć do okienka Kontenery .

    2. Kliknij prawym przyciskiem myszy kontener testowy i wybierz pozycję Zmień poziom dostępu.

      Zrzut ekranu przedstawiający sposób zmiany poziomu dostępu na potrzeby testowania skanowania złośliwego oprogramowania.

    3. Wybierz opcję Kontener (anonimowy dostęp do odczytu dla kontenerów i obiektów blob) i wybierz przycisk OK.

    Poprzedni krok uwidacznia zawartość kontenera obiektów blob w Internecie, co wyzwala alert zabezpieczeń w ciągu 30–60 minut.

  6. Przejrzyj alert zabezpieczeń:

    1. Przejdź do okienka Alerty zabezpieczeń.

    2. Poszukaj alertu zatytułowanego Poziom dostępu poufnego kontenera obiektów blob magazynu został zmieniony, aby umożliwić nieuwierzytelniony dostęp publiczny.

    3. Wybierz przycisk Wyświetl pełne szczegóły alertu, aby wyświetlić wszystkie powiązane szczegóły.

      Zrzut ekranu przedstawiający sposób wyświetlania alertu dla pliku testowego w skanowaniu złośliwego oprogramowania.

Dowiedz się więcej o alertach zabezpieczeń usługi Defender for Storage w tabeli referencyjnej dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.

Monitorowanie aktywności testowej

Aby przetestować funkcję monitorowania aktywności, symulując dostęp z węzła wyjścia Tor do konta magazynu, wykonaj następujące kroki:

  1. Utwórz nowe konto magazynu o losowej nazwie.

  2. Konfigurowanie kontenera testowego:

    1. Przejdź do okienka Kontenery na koncie magazynu.

    2. Wybierz przycisk + Kontener, aby utworzyć nowy kontener obiektów blob.

    3. Nadaj nowej nazwie kontener test-container-tor.

  3. Przekaż dowolny plik do pliku test-container-tor.

  4. Generowanie tokenu sygnatur dostępu współdzielonego (sygnatur dostępu współdzielonego):

    1. Kliknij prawym przyciskiem myszy przekazany plik i wybierz polecenie Generuj sygnaturę dostępu współdzielonego.

    2. Wybierz przycisk Generuj token SAS i adres URL .

    3. Skopiuj adres URL sygnatury dostępu współdzielonego obiektu blob.

  5. Pobierz plik przy użyciu przeglądarki Tor:

    1. Otwórz przeglądarkę Tor.

    2. Wklej adres URL sygnatury dostępu współdzielonego na pasku adresu i naciśnij Enter.

    3. Po wyświetleniu monitu pobierz plik.

    Poprzedni krok wyzwala alert zabezpieczeń anomalii Tor w ciągu 1–3 godzin.

  6. Przejrzyj alert zabezpieczeń:

    1. Przejdź do okienka Alerty zabezpieczeń.

    2. Poszukaj alertu o nazwie Dostęp z węzła zakończenia Tor do kontenera obiektów blob magazynu.

    3. Wybierz przycisk Wyświetl pełne szczegóły alertu, aby wyświetlić wszystkie powiązane szczegóły.

Dowiedz się więcej o alertach zabezpieczeń usługi Defender for Storage w tabeli referencyjnej dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.

Następne kroki

W tym artykule przedstawiono sposób testowania ochrony danych i wykrywania zagrożeń w usłudze Defender for Storage.

Dowiedz się więcej na następujące tematy: