設定自動回應以移動或移除惡意檔案,或將乾淨的檔案移動/內嵌至另一個目的地。 選取適合您案例結構的偏好回應選項。
透過惡意代碼掃描,您可以使用下列掃描結果選項來建置自動化回應:
提示
我們邀請您透過實際作實驗室探索適用於記憶體的Defender中的惡意代碼掃描功能。 請遵循 Ninja 訓練指示,以取得有關如何設定及測試端對端惡意代碼掃描的詳細逐步指南,包括設定掃描結果的回應。 這是「實驗室」專案的一部分,可協助客戶熟悉適用於雲端的 Microsoft Defender,並提供其功能的實際操作體驗。
以下是一些可用來自動化回應的回應選項:
您可以使用 Microsoft Entra 屬性型存取控制 (ABAC) 授權,封鎖對惡意和未掃描檔案的存取。 它可讓您根據掃描結果設定 Blob 的條件式存取,並讓應用程式和使用者只存取經過掃描的乾淨檔案。
若要進行設定,請遵循下列 影片中的指示。
您可以使用程式碼或工作流程自動化來刪除惡意檔案或將其移至隔離。
刪除惡意檔案 - 在設定自動刪除之前,建議在儲存體帳戶上啟用虛刪除。 如果出現誤判或安全性專業人員想要調查惡意檔案,則允許「取消刪除」檔案。
將惡意檔案移至隔離 - 您可以將檔案移至被視為「隔離 」的專用記憶體容器或記憶體帳戶。 您可能只希望特定使用者 (例如安全性系統管理員或 SOC 分析師) 具有存取此專用容器或儲存體帳戶的權限。
邏輯應用程式型回應是一種簡易、無程式碼的回應設定方法。 不過,回應時間會比事件驅動的程式碼型方法慢。
使用 Azure 入口網站部署 DeleteBlobLogicApp Azure Resource Manager (ARM) 範本。
選取您部署的邏輯應用程式。
若要允許邏輯應用程式從記憶體帳戶刪除 Blob,請新增角色指派:
移至側邊功能表中的 [身分識別],然後選取 [Azure 角色指派]。
使用 [儲存體 Blob 資料參與者] 角色,在訂用帳戶層級中新增角色指派。
針對適用於雲端的 Microsoft Defender 警示來建立工作流程自動化:
函式應用程式提供低延遲回應時間的高效能。
在與受保護儲存體帳戶相同的資源群組中建立函式應用程式。
新增函式應用程式身分識別的角色指派。
移至側邊功能表中的 [身分識別]、確定 [系統指派] 的身分識別狀態為 [開啟],然後選取 [Azure 角色指派]。
使用 [儲存體 Blob 資料參與者] 角色,在訂用帳戶層級中新增角色指派。
取用 [事件方格] 事件,並將 Azure 函式連線為端點類型。
撰寫 Azure 函式程式碼時,您可以使用預先建立的函式範例 - MoveMaliciousBlobEventTrigger,或撰寫您自己的程式碼,以將 Blob 複製到其他地方,然後從來源中刪除它。
針對每個掃描結果,系統會根據下列結構描述傳送事件。
事件訊息是一種 JSON 物件,其中包含機碼值組,可提供惡意程式碼掃描結果的詳細資訊。 以下是事件訊息中每個機碼的細節:
id:事件的唯一識別碼。
subject:字串,描述儲存體帳戶中掃描的 Blob (檔案) 的資源路徑。
data:包含事件其他資訊的 JSON 物件:
correlationId:可用來將多個與相同掃描相關的事件相互關聯的唯一標識碼。
blobUri:儲存體帳戶中掃描的 Blob (檔案) 的 URI。
eTag:掃描 Blob (檔案) 的 ETag。
scanFinishedTimeUtc:掃描完成時的 UTC 時間戳記。
scanResultType:掃描的結果,例如, 惡意 或 找不到威脅。
scanResultDetails:JSON 物件,其中包含掃描結果的詳細資料:
malwareNamesFound:掃描的檔案中找到的惡意程式碼名稱陣列。
sha256:掃描檔案的 SHA-256 雜湊。
eventType:指出事件類型的字串,在此案例中為 Microsoft.Security.MalwareScanningResult。
dataVersion:資料結構描述的版本號碼。
metadataVersion:中繼資料結構描述的版本號碼。
eventTime:產生事件時的 UTC 時間戳記。
topic:事件所屬 [事件方格] 主題的資源路徑。
以下是事件訊息的範例:
{
"id": "aaaa0000-bb11-2222-33cc-444444dddddd",
"subject": "storageAccounts/<storage_account_name>/containers/app-logs-storage/blobs/EICAR - simulating malware.txt",
"data": {
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"blobUri": "https://<storage_account_name>.blob.core.windows.net/app-logs-storage/EICAR - simulating malware.txt",
"eTag": "0x000000000000000",
"scanFinishedTimeUtc": "2023-05-04T11:31:54.0481279Z",
"scanResultType": "Malicious",
"scanResultDetails": {
"malwareNamesFound": [
"DOS/EICAR_Test_File"
],
"sha256": "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00"
}
},
"eventType": "Microsoft.Security.MalwareScanningResult",
"dataVersion": "1.0",
"metadataVersion": "1",
"eventTime": "2023-05-04T11:31:54.048375Z",
"topic": "/subscriptions/<subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.EventGrid/topics/<event_grid_topic_name>"
}
藉由瞭解事件訊息的結構,您可以擷取惡意代碼掃描結果的相關信息,並據以進行處理。
惡意軟體掃描接近即時,通常上傳時間和掃描時間之間有一小段時間。 因為儲存體是不可計算的,所以不存在惡意檔案在儲存體中執行的風險。 風險是使用者或應用程式存取惡意檔案並將其傳播到整個組織。
有幾個方法可讓您的應用程式和數據流感知惡意代碼掃描掃描結果。 這些方法可確保無法在掃描完成之前存取或處理檔案、取用掃描結果,並根據這些結果採取適當的動作。
取得擷取資料的其中一種方法是更新存取儲存體帳戶的所有應用程式。 每個應用程式都會檢查每個檔案的掃描結果,如果 blob [索引標記] 掃描結果是 [找不到威脅],則應用程式會讀取該 blob。
您可以將應用程式連線至 [事件方格] 事件中的 Webhook,並使用這些事件來觸發掃描結果為 [找不到威脅] 的檔案的相關處理序。 深入了解如何使用 Webhook 事件傳送和驗證端點。
您可以為不受信任的內容 (DMZ) 設定中繼儲存體帳戶,並將上傳流量導至 DMZ。 在未受信任的記憶體帳戶上,啟用惡意代碼掃描,並連接事件方格和函式應用程式,只將掃描的 Blob 移至目的地記憶體帳戶的「找不到威脅」結果。
了解如何在適用於儲存體的 Microsoft Defender 中了解惡意軟體掃描結果 (部分機器翻譯)。
訓練
模組
使用適用於雲端的 Microsoft Defender 來設定及管理威脅防護 - Training
本課程模組著重於使用適用於雲端的 Microsoft Defender,搭配專有的基本技巧來設定和管理威脅防護,讓網路安全專家能夠強化雲端環境的安全性態勢。
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
文件
適用於記憶體的 Defender 惡意代碼掃描簡介 - Microsoft Defender for Cloud
探索 Microsoft Defender for Storage 中的惡意代碼掃描如何藉由偵測及降低威脅來增強安全性、合規性和數據完整性。
惡意程式碼掃描的進階設定 - Microsoft Defender for Cloud
瞭解適用於記憶體惡意代碼掃描Microsoft Defender 的進階設定,包括自動響應的記錄和事件方格設定。
Microsoft適用於記憶體的 Defender 隨選惡意代碼掃描 - Microsoft Defender for Cloud
瞭解適用於記憶體的 Microsoft Defender 中隨選惡意代碼掃描的優點和功能。