Поделиться через

Тестирование функций безопасности данных Defender для хранилища

После включения Microsoft Defender для хранилища можно протестировать службу и выполнить подтверждение концепции. Это поможет вам ознакомиться с функциями и убедиться, что ее расширенные возможности безопасности эффективно защищают учетные записи хранения путем создания реальных оповещений системы безопасности. В этом руководстве описано тестирование различных аспектов покрытия безопасности, предлагаемых Defender для хранилища.

Существует три основных компонента для тестирования:

  • Сканирование вредоносных программ (если включено)
  • Обнаружение угроз конфиденциальной данных (если включено)
  • Мониторинг активности

Совет

Практическая лаборатория для проверки вредоносных программ в Defender для хранилища

Мы рекомендуем попробовать инструкции по обучению Ninja, чтобы получить подробные пошаговые инструкции по тестированию вредоносных программ для проверки сквозного сканирования с настройкой ответов на сканирование результатов. Это часть проекта "лабораторий", который помогает клиентам приступить к работе с Microsoft Defender для облака и обеспечить практический опыт работы с ее возможностями.

Проверка проверки вредоносных программ

Выполните следующие действия, чтобы проверить проверку вредоносных программ после включения функции:

  1. Чтобы убедиться, что настройка выполнена успешно, отправьте файл в учетную запись хранения. Вы можете использовать портал Azure для отправки файла.

  2. Проверьте новые теги индекса BLOB-объектов:

    1. После отправки файла просмотрите большой двоичный объект и проверьте теги индекса BLOB-объектов.

    2. Вы увидите два новых тега: результат сканирования вредоносных программ и время сканирования вредоносных программ.

    3. Теги индекса BLOB-объектов служат полезным способом просмотра результатов сканирования.

  3. Если вы не видите новые теги индекса BLOB-объектов, нажмите кнопку "Обновить ".

Снимок экрана: отправка файла для тестирования проверки вредоносных программ.

Примечание.

Теги индексов не поддерживаются для ADLS 4-го поколения. Чтобы протестировать и проверить защиту blob-объектов уровня "Премиум", просмотрите созданное оповещение системы безопасности.

Отправка тестового файла EICAR для имитации отправки вредоносных программ

Чтобы имитировать отправку вредоносных программ с помощью тестового файла EICAR, выполните следующие действия.

  1. Подготовьте тестовый файл EICAR:

    1. Чтобы избежать причинения ущерба, используйте тестовый файл EICAR вместо реальных вредоносных программ. Стандартизированное программное обеспечение защиты от вредоносных программ обрабатывает тестовые файлы EICAR как вредоносные программы.

    2. Исключите пустую папку, чтобы предотвратить удаление файла антивирусной защиты конечной точки. Для пользователей Microsoft Defender для конечной точки (MDE) см. исключение для Безопасность Windows.

  2. Создайте тестовый файл EICAR:

    1. Скопируйте следующую строку: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    2. Вставьте строку в файл .TXT и сохраните его в исключенной папке.

  3. Отправьте тестовый файл EICAR в учетную запись хранения.

  4. Проверьте тег индекса результата сканирования вредоносных программ:

    1. Проверьте тег индекса результата сканирования вредоносных программ со значением "Вредоносный".

    2. Если теги не отображаются, нажмите кнопку "Обновить ".

  5. Получите оповещение системы безопасности Microsoft Defender для облака:

    1. Перейдите к Microsoft Defender для облака с помощью панели поиска в Azure.

    2. Выберите оповещения системы безопасности.

  6. Просмотрите оповещение системы безопасности:

  7. a. Найдите оповещение с названием "Вредоносный файл", отправленный в учетную запись хранения.

  8. b. Нажмите кнопку "Просмотреть полные сведения" оповещения, чтобы просмотреть все связанные сведения.

  9. Дополнительные сведения об оповещениях системы безопасности Defender для хранилища см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Проверка обнаружения угроз конфиденциальных данных

Чтобы проверить функцию обнаружения угроз конфиденциальных данных, отправив тестовые данные, представляющие конфиденциальную информацию в учетную запись хранения, выполните следующие действия.

  1. Создайте новую учетную запись хранения:

    1. Выберите подписку без поддержки Defender для хранилища.

    2. Создайте новую учетную запись хранения со случайным именем в выбранной подписке.

  2. Настройте тестовый контейнер:

    1. Перейдите в область "Контейнеры " в созданной учетной записи хранения.

    2. Нажмите кнопку +Контейнер , чтобы создать контейнер BLOB-объектов.

    3. Присвойте новому контейнеру test-container имя.

  3. Отправка тестовых данных:

    1. Откройте приложение редактирования текста на компьютере, например Блокнот или Microsoft Word.

    2. Создайте файл и сохраните его в формате, например TXT, CSV или DOCX.

    3. Добавьте в файл следующую строку: ASD 100-22-3333 SSN Text — это тестовая строка SSN (номер социального страхования) США (США).

      Снимок экрана: проверка файла в сканировании вредоносных программ для получения сведений о номере социального страхования.

    4. Сохраните и отправьте файл в тестовый контейнер в учетной записи хранения.

      Снимок экрана: отправка файла в сканировании вредоносных программ для проверки сведений о номере социального страхования.

  4. Включение Defender для хранилища:

    1. В портал Azure перейдите к Microsoft Defender для облака.

    2. Включите Defender для хранения в учетной записи хранения с включенной функцией обнаружения конфиденциальных данных.

    Обнаружение конфиденциальных данных проверяет наличие конфиденциальной информации в течение первых 24 часов. Это происходит при включении учетной записи хранения на уровне учетной записи хранения или создании новой учетной записи хранения под подпиской, защищенной этой функцией на уровне подписки. После этого первоначального сканирования служба проверяет конфиденциальную информацию каждые семь дней с момента включения.

    Примечание.

    Если включить эту функцию, а затем добавить конфиденциальные данные в течение нескольких дней после включения, следующая проверка новых добавленных данных будет выполняться в течение следующего 7-дневного цикла сканирования в зависимости от дня добавления данных.

  5. Изменение уровня доступа:

    1. Вернитесь в область "Контейнеры ".

    2. Щелкните правой кнопкой мыши тест-контейнер и выберите "Изменить уровень доступа".

      Снимок экрана: изменение уровня доступа для проверки вредоносных программ.

    3. Выберите параметр "Контейнер" (анонимный доступ для чтения для контейнеров и БОЛЬШИХ двоичных объектов) и нажмите кнопку "ОК".

    Предыдущий шаг предоставляет содержимое контейнера BLOB-объектов в Интернете, которое активирует оповещение системы безопасности в течение 30–60 минут.

  6. Просмотрите оповещение системы безопасности:

    1. Перейдите на панель оповещений системы безопасности.

    2. Найдите оповещение с названием "Уровень доступа к контейнеру конфиденциальных BLOB-объектов хранилища", чтобы разрешить общедоступный доступ без проверки подлинности.

    3. Нажмите кнопку "Просмотреть полные сведения" оповещения, чтобы просмотреть все связанные сведения.

      Снимок экрана, показывающий, как просмотреть оповещение для тестового файла в сканировании вредоносных программ.

Дополнительные сведения об оповещениях системы безопасности Defender для хранилища см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Мониторинг активности тестирования

Чтобы проверить функцию мониторинга действий, имитируя доступ из узла выхода Tor к учетной записи хранения, выполните следующие действия.

  1. Создайте новую учетную запись хранения со случайным именем.

  2. Настройте тестовый контейнер:

    1. Перейдите в область "Контейнеры " в учетной записи хранения.

    2. Нажмите кнопку +Контейнер , чтобы создать контейнер BLOB-объектов.

    3. Присвойте новому объекту test-container-tor имя нового контейнера.

  3. Отправьте любой файл в тестовый контейнер-tor.

  4. Создайте маркер SAS (подписанные URL-адресами):

    1. Щелкните правой кнопкой мыши отправленный файл и выберите "Создать SAS".

    2. Нажмите кнопку Создать маркер SAS и URL-адрес.

    3. Скопируйте URL-адрес SAS BLOB-объекта.

  5. Скачайте файл с помощью браузера Tor:

    1. Откройте браузер Tor.

    2. Вставьте URL-адрес SAS в адресную строку и нажмите клавишу ВВОД.

    3. Скачайте файл при появлении запроса.

    Предыдущий шаг активирует оповещение системы безопасности tor в течение 1–3 часов.

  6. Просмотрите оповещение системы безопасности:

    1. Перейдите на панель оповещений системы безопасности.

    2. Найдите оповещение с заголовком Access из узла выхода Tor к контейнеру BLOB-объектов хранилища.

    3. Нажмите кнопку "Просмотреть полные сведения" оповещения, чтобы просмотреть все связанные сведения.

Дополнительные сведения об оповещениях системы безопасности Defender для хранилища см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Следующие шаги

В этой статье вы узнали, как проверить защиту данных и обнаружение угроз в Defender для хранилища.

Дополнительные сведения: