Сканирование вредоносных программ в Defender для хранилища
Сканирование вредоносных программ в Defender для хранилища помогает защитить Хранилище BLOB-объектов Azure от вредоносного содержимого, выполнив полную проверку вредоносных программ при отправке содержимого практически в режиме реального времени с помощью антивирусная программа в Microsoft Defender возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого.
Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе.
Отправка вредоносных программ является основной угрозой в облачном хранилище
Содержимое, отправленное в облачное хранилище, может быть вредоносным ПО. Учетные записи хранения могут быть точкой входа вредоносных программ в организацию и точку распространения вредоносных программ. Чтобы защитить организации от этой угрозы, перед доступом к содержимому в облачном хранилище необходимо проверить наличие вредоносных программ.
Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого
- Встроенное решение SaaS, которое позволяет легко включить масштаб с нулевым обслуживанием.
- Комплексные возможности защиты от вредоносных программ с помощью антивирусная программа в Microsoft Defender (MDAV), перехват полиморфных и метаморфных вредоносных программ.
- Каждый тип файла сканируется (включая архивы, такие как ZIP-файлы), и результат возвращается для каждой проверки. Ограничение размера файла составляет 2 ГБ.
- Поддерживает ответ в масштабе— удаление или карантин подозрительных файлов на основе тегов индекса больших двоичных объектов или событий сетки событий.
- Когда проверка вредоносных программ идентифицирует вредоносный файл, создаются подробные Microsoft Defender для облака оповещения системы безопасности.
- Предназначен для выполнения требований к безопасности и соответствию требованиям для сканирования ненадежного содержимого, отправленного в хранилище, включая возможность регистрировать каждый результат сканирования.
Распространенные варианты использования и сценарии
Ниже приведены некоторые распространенные варианты использования и сценарии сканирования вредоносных программ в Defender для хранилища:
Веб-приложения: многие облачные веб-приложения позволяют пользователям отправлять содержимое в хранилище. Это позволяет низкому обслуживанию и масштабируемому хранилищу для таких приложений, как налоговые приложения, CV отправить сайты кадров и отправлять квитанции.
Защита содержимого: ресурсы, такие как видео и фотографии, обычно совместно используются и распределяются как во внутреннем, так и во внешних сторонах. CDN (сеть доставки содержимого) и центры содержимого — это классическая возможность распространения вредоносных программ.
Требования к соответствию требованиям: ресурсы, которые соответствуют стандартам соответствия, таким как NIST, SWIFT, GDPR и другие, требуют надежных методик безопасности, включая сканирование вредоносных программ. Это важно для организаций, работающих в регулируемых отраслях или регионах.
Интеграция сторонних производителей: сторонние данные могут поступать из различных источников, и не все из них могут иметь надежные методики безопасности, такие как бизнес-партнеры, разработчики и подрядчики. Сканирование вредоносных программ помогает убедиться, что эти данные не представляют рисков безопасности для вашей системы.
Платформы совместной работы: как и общий доступ к файлам, команды используют облачное хранилище для непрерывного совместного использования содержимого и совместной работы между командами и организациями. Проверка вредоносных программ обеспечивает безопасную совместную работу.
Конвейеры данных: данные, перемещаемые по ETL (извлечение, передача, загрузка) могут поступать из нескольких источников и могут включать вредоносные программы. Сканирование вредоносных программ может помочь обеспечить целостность этих конвейеров.
Данные обучения машинного обучения: качество и безопасность обучающих данных критически важны для эффективных моделей машинного обучения. Важно убедиться, что эти наборы данных являются чистыми и безопасными, особенно если они включают в себя созданное пользователем содержимое или данные из внешних источников.
Примечание.
Сканирование вредоносных программ — это служба почти в режиме реального времени. Время сканирования может отличаться в зависимости от размера сканированного файла или типа файла, а также нагрузки на службу или учетную запись хранения. Корпорация Майкрософт постоянно работает над сокращением общего времени сканирования, однако при проектировании пользовательского интерфейса на основе службы следует учитывать эту дисперсию.
Необходимые компоненты
Чтобы включить и настроить сканирование вредоносных программ, необходимо иметь роли владельца (например, владельца подписки или владельца учетной записи хранения) или определенные роли с необходимыми действиями с данными. Дополнительные сведения о необходимых разрешениях.
Вы можете включить и настроить сканирование вредоносных программ в масштабе для подписок, сохраняя детализированный контроль над настройкой функции для отдельных учетных записей хранения. Существует несколько способов включения и настройки сканирования вредоносных программ: встроенная политика Azure (рекомендуемый метод), программное использование шаблонов инфраструктуры в качестве кода, включая Terraform, Bicep и шаблоны ARM, используя портал Azure или непосредственно с REST API.
Как работает сканирование вредоносных программ
Проверка вредоносных программ при отправке
Триггеры при отправке
Проверки вредоносных программ активируются в защищенной учетной записи хранения любой операцией, которая приводит к BlobCreated
событию, как указано в Хранилище BLOB-объектов Azure в качестве исходной страницы сетки событий. Эти операции включают начальную отправку новых BLOB-объектов, перезапись существующих БОЛЬШИХ двоичных объектов и завершение изменений больших двоичных объектов с помощью определенных операций. Операции завершения могут включать в себя PutBlockList
сборку блочных BLOB-объектов из нескольких блоков или FlushWithClose
фиксацию данных, добавленных в большой двоичный объект в Azure Data Lake Storage 2-го поколения.
Примечание.
Добавочные операции, такие как AppendFile
Azure Data Lake Storage 2-го поколения и PutBlock
в Azure BlockBlob, которые позволяют добавлять данные без немедленной завершения, не запускают проверку вредоносных программ самостоятельно. Проверка вредоносных программ инициируется только в том случае, если эти дополнения официально зафиксированы: FlushWithClose
фиксирует и завершает AppendFile
операции, активирует сканирование и PutBlockList
фиксирует блоки в BlockBlob, инициируя сканирование. Понимание этого различия крайне важно для эффективного управления затратами на сканирование, так как каждая фиксация может привести к новому сканированию и потенциально увеличить расходы из-за нескольких проверок добавочных обновленных данных.
Сканирование регионов и хранения данных
Служба сканирования вредоносных программ, использующая технологии антивирусная программа в Microsoft Defender считывает большой двоичный объект. Сканирование вредоносных программ проверяет содержимое "в памяти" и удаляет отсканированные файлы сразу после сканирования. Содержимое не сохраняется. Сканирование происходит в том же регионе учетной записи хранения. В некоторых случаях, когда файл является подозрительным, и требуется больше данных, сканирование вредоносных программ может совместно использовать метаданные файлов за пределами региона сканирования, включая метаданные, классифицируемые как клиентские данные (например, хэш SHA-256), с Microsoft Defender для конечной точки.
Доступ к данным клиента
Служба сканирования вредоносных программ требует доступа к данным для сканирования данных для вредоносных программ. Во время включения службы в подписке Azure создается новый ресурс сканера данных с именем StorageDataScanner. Этот ресурс предоставляется с назначением роли владельца данных BLOB-объектов хранилища для доступа к данным и изменения данных для сканирования вредоносных программ и обнаружения конфиденциальных данных.
Частная конечная точка поддерживается вне поля
Сканирование вредоносных программ в Defender для хранилища поддерживается в учетных записях хранения, использующих частные конечные точки при сохранении конфиденциальности данных.
Частные конечные точки обеспечивают безопасное подключение к службам хранилища Azure, устраняя общедоступный интернет-доступ и считаются рекомендуемыми.
Настройка сканирования вредоносных программ
При включении сканирования вредоносных программ в вашей среде выполняются следующие действия:
Для каждой учетной записи хранения вы включите сканирование вредоносных программ, ресурс System Topic сетки событий создается в той же группе ресурсов учетной записи хранения, используемой службой сканирования вредоносных программ для прослушивания триггеров отправки BLOB-объектов. Удаление этого ресурса нарушает функциональные возможности сканирования вредоносных программ.
Для сканирования данных служба "Сканирование вредоносных программ" требует доступа к данным. Во время включения службы вызывается новый ресурс сканера данных, который
StorageDataScanner
создается в подписке Azure и назначается управляемому удостоверению, назначаемого системой. Этот ресурс предоставляется с назначением роли владельца данных BLOB-объектов хранилища, разрешая ему доступ к данным в целях сканирования вредоносных программ и обнаружения конфиденциальных данных.
Если настроена конфигурация сети учетной записи хранения для включения доступа к общедоступной сети из выбранных виртуальных сетей и IP-адресов, ресурс добавляется в раздел "Экземпляры ресурсов" в разделе "Сеть хранения", StorageDataScanner
чтобы разрешить доступ к данным.
Если вы включаете сканирование вредоносных программ на уровне подписки, новый StorageAccounts/securityOperators/DefenderForStorageSecurityOperator
ресурс оператора безопасности создается в подписке Azure и назначается с помощью управляемого системой удостоверения. Этот ресурс используется для включения и восстановления конфигурации Defender для хранения и сканирования вредоносных программ в существующих учетных записях хранения и проверки наличия новых учетных записей хранения, созданных в подписке. Этот ресурс имеет назначения ролей, которые включают определенные разрешения, необходимые для включения сканирования вредоносных программ.
Примечание.
Сканирование вредоносных программ зависит от определенных ресурсов, удостоверений и параметров сети для правильной работы. При изменении или удалении любого из этих программ сканирование вредоносных программ перестанет работать. Чтобы восстановить нормальную работу, ее можно отключить и снова включить.
Предоставление результатов сканирования
Результаты сканирования вредоносных программ доступны через четыре метода. После установки вы увидите результаты сканирования в виде тегов индекса BLOB-объектов для каждого отправленного и сканированного файла в учетной записи хранения, а также как Microsoft Defender для облака оповещения системы безопасности, когда файл определяется как вредоносный.
Вы можете настроить дополнительные методы результатов сканирования, такие как Сетка событий и Log Analytics. Эти методы требуют дополнительной настройки. В следующем разделе вы узнаете о различных методах результатов сканирования.
Результаты сканирования
Теги индекса BLOB-объектов
Теги индекса BLOB-объектов — это поля метаданных в большом двоичном объекте. Они классифицируют данные в учетной записи хранения с помощью атрибутов тега "ключ-значение". Эти теги автоматически индексируются и представляются в виде многомерного индекса с поддержкой поиска для упрощения нахождения данных. Результаты сканирования являются краткими, отображая результат сканирования вредоносных программ и время сканирования вредоносных программ в формате UTC в метаданных БОЛЬШОго двоичного объекта. Другие типы результатов (оповещения, события, журналы) предоставляют дополнительные сведения о типе вредоносных программ и операции отправки файлов.
Теги индекса BLOB-объектов можно использовать приложениями для автоматизации рабочих процессов, но не являются неотделимыми. Узнайте больше о настройке ответа.
Примечание.
Для доступа к тегам индекса требуются разрешения. Дополнительные сведения см. в разделе Get, set и update BLOB-теги индекса.
оповещения системы безопасности Defender для облака
При обнаружении вредоносного файла Microsoft Defender для облака создает оповещение системы безопасности Microsoft Defender для облака. Чтобы просмотреть оповещение, перейдите к Microsoft Defender для облака оповещения системы безопасности. Оповещение системы безопасности содержит сведения и контекст файла, тип вредоносных программ и рекомендуемые действия по расследованию и исправлению. Чтобы использовать эти оповещения для исправления, можно:
- Просмотрите оповещения системы безопасности в портал Azure, перейдя к оповещениям Microsoft Defender для облака> Security.
- Настройте автоматизацию на основе этих оповещений.
- Экспорт оповещений системы безопасности в SIEM. Вы можете непрерывно экспортировать оповещения системы безопасности Microsoft Sentinel (SIEM Майкрософт) с помощью соединителя Microsoft Sentinel или другого SIEM.
Дополнительные сведения о реагировании на оповещения системы безопасности.
Событие Сетки событий
Сетка событий полезна для автоматизации на основе событий. Это самый быстрый метод получения результатов с минимальной задержкой в виде событий, которые можно использовать для автоматизации ответа.
События из настраиваемых разделов сетки событий могут использоваться несколькими типами конечных точек. Наиболее полезными для сценариев сканирования вредоносных программ являются:
- Приложение-функция (ранее называемая функцией Azure) — используйте бессерверную функцию для запуска кода для автоматического ответа, например перемещения, удаления или карантина.
- Веб-перехватчик — для подключения приложения.
- Центры событий и очередь служебная шина — для уведомления подчиненных потребителей.
Узнайте, как настроить сканирование вредоносных программ, чтобы каждый результат сканирования был автоматически отправлен в раздел сетки событий для целей автоматизации.
Аналитика журналов
Возможно, вы хотите записать результаты сканирования для подтверждения соответствия требованиям или исследовать результаты сканирования. Настроив назначение рабочей области Log Analytics, вы можете сохранить каждый результат сканирования в централизованном репозитории журналов, который легко запрашивать. Результаты можно просмотреть, перейдя в рабочую область назначения Log Analytics и найдите таблицу StorageMalwareScanningResults
.
Дополнительные сведения о настройке ведения журнала для сканирования вредоносных программ.
Совет
Мы приглашаем вас изучить функцию сканирования вредоносных программ в Defender для хранилища с помощью нашей практической лаборатории. Следуйте инструкциям по обучению Ninja, чтобы получить подробные пошаговые инструкции по настройке и тестированию сквозного сканирования вредоносных программ, включая настройку ответов на сканирование результатов. Это часть проекта "лабораторий", который помогает клиентам приступить к работе с Microsoft Defender для облака и обеспечить практический опыт работы с ее возможностями.
Управление затратами
За проверку вредоносных программ взимается плата за сканированную в ГБ. Чтобы обеспечить прогнозируемость затрат, сканирование вредоносных программ поддерживает установку ограничения на количество отсканированных ГБ в течение одного месяца на учетную запись хранения.
Внимание
Сканирование вредоносных программ в Defender для хранилища не включается бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице ценообразования Defender для облака.
Механизм "ограничения" предназначен для установки ежемесячного ограничения сканирования, измеряемого в гигабайтах (ГБ), для каждой учетной записи хранения, выступающей в качестве эффективного управления затратами. Если предопределенное ограничение сканирования устанавливается для учетной записи хранения в одном календарном месяце, операция сканирования будет автоматически остановлена после достижения этого порогового значения (с отклонением в 20 ГБ), а файлы не будут проверяться для вредоносных программ. Ограничение сбрасывается в конце каждого месяца в полночь в формате UTC. Обновление крышки обычно занимает до часа, чтобы ввести в силу.
По умолчанию устанавливается ограничение в 5 ТБ (5000 ГБ), если определенный механизм ограничения не определен.
Совет
Можно задать механизм ограничения для отдельных учетных записей хранения или всей подписки (каждая учетная запись хранения в подписке будет выделена ограничение, определенное на уровне подписки).
Выполните следующие действия , чтобы настроить механизм ограничения.
Дополнительные затраты на сканирование вредоносных программ
Сканирование вредоносных программ использует другие службы Azure в качестве основы. Это означает, что при включении сканирования вредоносных программ вы также будете взиматься за необходимые службы Azure. К этим службам относятся операции чтения служба хранилища Azure, служба хранилища Azure индексирование BLOB-объектов и уведомления Сетка событий Azure.
Обработка возможных ложных срабатываний и ложных отрицательных
Если у вас есть файл, который вы подозреваете, могут быть вредоносными программами, но не обнаружены (ложные отрицательные) или неправильно обнаружены (ложноположительные), вы можете отправить его нам для анализа с помощью портала отправки образца. В качестве источника выберите Microsoft Defender для хранилища.
Defender для облака позволяет подавлять ложные положительные оповещения. Не забудьте ограничить правило подавления с помощью имени вредоносных программ или хэша файлов.
Сканирование вредоносных программ не блокирует доступ или не изменяет разрешения для отправленного большого двоичного объекта, даже если он является вредоносным.
Ограничения
Неподдерживаемые функции и службы
Неподдерживаемые учетные записи хранения: устаревшие учетные записи хранения версии 1 не поддерживаются сканированием вредоносных программ.
Неподдерживаемая служба: Файлы Azure не поддерживается сканированием вредоносных программ.
Неподдерживаемый клиент: blob-объекты, отправленные с помощью протокола NFS 3.0, не будут проверяться на наличие вредоносных программ при отправке.
Неподдерживаемые регионы: Джио Индия Западная, Южная Корея, Южная Африка.
Регионы, поддерживаемые Defender для хранилища, но не с помощью сканирования вредоносных программ. Дополнительные сведения о доступности для Defender для хранилища.
Неподдерживаемые типы BLOB-объектов: добавление и страничные BLOB-объекты не поддерживаются для сканирования вредоносных программ.
Неподдерживаемое шифрование: зашифрованные BLOB-объекты на стороне клиента не поддерживаются, так как их невозможно расшифровать перед сканированием службой. Однако поддерживается шифрование неактивных данных с помощью управляемого клиентом ключа (CMK).
Результаты неподдерживаемого тега индекса: результат сканирования тега индекса не поддерживается в учетных записях хранения с включенным иерархическим пространством имен (Azure Data Lake Storage 2-го поколения).
Сетка событий. Разделы сетки событий, не имеющие доступа к общедоступной сети (т. е. подключения к частной конечной точке), не поддерживаются сканированием вредоносных программ в Defender для хранилища.
Ограничение пропускной способности и размера BLOB-объектов
- Ограничение пропускной способности сканирования: сканирование вредоносных программ может обрабатывать до 2 ГБ в минуту для каждой учетной записи хранения. Если скорость отправки файлов на данный момент превышает это пороговое значение для учетной записи хранения, система пытается сканировать файлы, превышающие ограничение скорости. Если скорость отправки файлов последовательно превышает это пороговое значение, некоторые большие двоичные объекты не будут проверяться.
- Ограничение на сканирование BLOB-объектов: сканирование вредоносных программ может обрабатывать до 2000 файлов в минуту для каждой учетной записи хранения. Если скорость отправки файлов на данный момент превышает это пороговое значение для учетной записи хранения, система пытается сканировать файлы, превышающие ограничение скорости. Если скорость отправки файлов последовательно превышает это пороговое значение, некоторые большие двоичные объекты не будут проверяться.
- Ограничение размера БОЛЬШОго двоичного объекта: максимальный размер для сканирования одного большого двоичного объекта составляет 2 ГБ. Большие двоичные объекты, превышающие ограничение, не будут проверяться.
Обновления тегов BLOB-объектов и индексов
После отправки большого двоичного объекта в учетную запись хранения вредоносные программы запускают дополнительную операцию чтения и обновляют тег индекса. В большинстве случаев эти операции не создают значительную нагрузку.
Влияние на доступ и операции ввода-вывода в секунду хранилища
Несмотря на процесс сканирования, доступ к загруженным данным остается небезопасным, и влияние операций ввода-вывода в секунду хранилища (операций ввода-вывода в секунду) минимально.
Ограничения по сравнению с Microsoft Defender для конечной точки
Defender для хранилища использует тот же механизм защиты от вредоносных программ и актуальные подписи, что и Defender для конечной точки для проверки вредоносных программ. Однако при отправке файлов в служба хранилища Azure отсутствуют определенные метаданные, от которых зависит подсистема защиты от вредоносных программ. Это отсутствие метаданных может привести к более высокой частоте пропущенных обнаружений, известных как "ложные отрицательные", в служба хранилища Azure по сравнению с обнаруженными Defender для конечной точки.
Ниже приведены некоторые примеры отсутствующих метаданных:
Марк веб-приложения (MOTW): MOTW — это функция безопасности Windows, которая отслеживает скачанные файлы из Интернета. Однако при отправке файлов в служба хранилища Azure эти метаданные не сохраняются.
Контекст пути к файлу: в стандартных операционных системах путь к файлу может предоставить дополнительный контекст для обнаружения угроз. Например, файл, пытающийся изменить системные расположения (например, C:\Windows\System32), будет помечен как подозрительный и подлежит дальнейшему анализу. В служба хранилища Azure контекст определенных путей к файлам в большом двоичном объекте нельзя использовать таким же образом.
Поведенческие данные: Defender для хранилища анализирует содержимое файлов, не выполняя их. Он проверяет файлы и может эмулировать их выполнение, чтобы проверить наличие вредоносных программ. Однако этот подход может не обнаруживать определенные типы вредоносных программ, которые показывают их вредоносный характер только во время выполнения.
Следующие шаги
Узнайте больше о настройке ответа на результаты сканирования вредоносных программ.