Analyse des programmes malveillants dans Defender pour le stockage

Effectué

L’analyse des programmes malveillants dans Defender pour le stockage permet de protéger votre Stockage Blob Azure contre les contenus malveillants par l’entremise d’une analyse complète en quasi-temps réel des programmes malveillants sur le contenu chargé, en appliquant les fonctionnalités de Microsoft Defender Antivirus. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables.

La fonctionnalité Analyse des programmes malveillants est une solution SaaS (Software as a Service) sans agent qui permet une configuration simple à grande échelle, avec une maintenance nulle et prend en charge l’automatisation de la réponse à grande échelle.

Diagramme montrant comment l’analyse des programmes malveillants détecte les fichiers malveillants lors du chargement en quasi temps réel.

Le chargement de programmes malveillants est une menace majeure pour le stockage cloud

Le contenu chargé dans le stockage cloud peut être un programme malveillant. Les comptes de stockage peuvent être un point d’entrée et de distribution des programmes malveillants dans l’organisation. Pour protéger les organisations contre cette menace, le contenu du stockage cloud doit être analysé à la recherche de programmes malveillants avant d’y accéder.

L’analyse des programmes malveillants dans Defender for Storage permet de protéger les comptes de stockage contre les contenus malveillants

  • Une solution SaaS intégrée qui permet une activation simple à grande échelle sans maintenance.
  • Fonctionnalités anti-programmes malveillants complètes utilisant Microsoft Defender Antivirus (MDAV), interceptant les programmes malveillants polymorphes et métamorphes.
  • Chaque type de fichier est analysé (y compris les archives comme les fichiers zip) et un résultat est retourné pour chaque analyse. La taille limite des fichiers est de 2 Go.
  • Prend en charge la réponse à grande échelle : suppression ou mise en quarantaine des fichiers suspects, en fonction des balises d’index des objets blob ou des événements Event Grid.
  • Lorsque l'analyse des malwares identifie un fichier malveillant, des alertes de sécurité détaillées sont générées par Microsoft Defender for Cloud.
  • Conçue pour répondre aux exigences de sécurité et de conformité pour analyser le contenu non approuvé chargé dans le stockage, en fournissant une option permettant de journaliser chaque résultat d’analyse.

Cas d’utilisation et scénarios courants

Voici quelques cas d’utilisation et scénarios courants d’analyse des programmes malveillants dans Defender pour le stockage :

  • Applications web : de nombreuses applications web dans le cloud permettent aux utilisateurs de charger du contenu dans le stockage. Cela permet une maintenance limitée et un stockage évolutif pour les applications telles que les applications fiscales, les sites RH de chargement de CV et le chargement de reçus.
  • Protection de contenu : les ressources telles que les vidéos et les photos sont généralement partagées et distribuées à grande échelle à la fois en interne et à des parties externes. Les CDN (Content Delivery Network) et les hubs de contenu sont une opportunité classique de distribution de programmes malveillants.
  • Exigences de conformité : les ressources qui respectent les normes de conformité telles que national Institute of Standards and Technology, Society for Worldwide Interbank Financial Telecommunications, General Data Protection Regulation, et d’autres nécessitent des pratiques de sécurité robustes, qui incluent l’analyse des programmes malveillants. C’est essentiel pour les organisations opérant dans des secteurs ou des régions réglementés.
  • Intégration de tiers : Les données tierces peuvent provenir d’une grande variété de sources, et certaines d’entre elles risquent de ne pas avoir de pratiques de sécurité solides, comme les partenaires commerciaux, les développeurs et les sous-traitants. L’analyse des programmes malveillants permet de s’assurer que ces données ne présentent pas de risques de sécurité pour votre système.
  • Plateformes collaboratives : à l’instar du partage de fichiers, les équipes utilisent le stockage cloud pour partager en continu du contenu et collaborer entre elles et entre organisations. L’analyse des programmes malveillants garantit une collaboration sécurisée.
  • Pipelines de données : Les données transitant par les processus ETL (Extraction, Transfert, Chargement) peuvent provenir de plusieurs sources et risquent d’inclure des programmes malveillants. L’analyse des programmes malveillants peut aider à garantir l’intégrité de ces pipelines.
  • Données d’apprentissage de Machine Learning : la qualité et la sécurité des données d’apprentissage sont essentielles pour des modèles Machine Learning efficaces. Il est important de s’assurer que ces jeux de données sont propres et sécurisés, en particulier s’ils incluent du contenu généré par l’utilisateur ou des données provenant de sources externes.

Capture d’écran montrant un cas d’usage et un scénario courants pour l’analyse des programmes malveillants dans Defender pour le stockage.

L’analyse des programmes malveillants est un service en quasi temps réel. Les temps d’analyse peuvent varier en fonction de la taille ou du type de fichier analysé, ainsi que de la charge sur le service ou sur le compte de stockage. Microsoft travaille sans cesse à réduire le temps d’analyse global. Toutefois, vous devez prendre en compte cette variabilité dans les temps d’analyse lors de la conception d’une expérience utilisateur basée sur le service.

Prérequis

Pour activer et configurer l’analyse des programmes malveillants, vous devez disposer des rôles Propriétaire (par exemple, Propriétaire de l’abonnement ou Propriétaire du compte de stockage) ou des rôles spécifiques avec les actions de données nécessaires. En savoir plus sur les autorisations exigées.

Vous pouvez activer et configurer l’analyse des programmes malveillants à grande échelle pour vos abonnements tout en conservant un contrôle granulaire sur la configuration de la fonctionnalité pour des comptes de stockage individuels. Il existe plusieurs façons d’activer et de configurer l’analyse des programmes malveillants : Stratégie intégrée Azure (méthode recommandée), par programmation à l’aide de modèles d’infrastructure en tant que modèles de code, notamment Terraform, Bicep et Azure Resource Manager (ARM), à l’aide du portail Azure ou directement avec l’API REST.

Comment l’analyse des programmes malveillants fonctionne

Analyse des programmes malveillants lors du chargement

Déclencheurs de chargement

Lorsqu’un objet blob est chargé sur un compte de stockage protégé, une analyse des programmes malveillants est déclenchée. Toutes les méthodes de chargement déclenchent l’analyse. La modification d’un objet blob est une opération de chargement. Par conséquent, le contenu modifié est analysé après la mise à jour.

Analyser les régions et la conservation des données

Le service d’analyse des programmes malveillants qui utilise les technologies Microsoft Defender Antivirus lit l’objet blob. L’analyse des programmes malveillants analyse le contenu « en mémoire » et supprime les fichiers analysés immédiatement après analyse. Le contenu n’est pas conservé. L’analyse se produit dans la même région que celle du compte de stockage. Dans certains cas, lorsqu’un fichier est suspect et que d’autres données sont requises, l’analyse des programmes malveillants peut partager des métadonnées de fichier en dehors de la région d’analyse, y compris les métadonnées classées en tant que données client (par exemple, algorithme de hachage sécurisé SHA-256), avec Microsoft Defender pour point de terminaison.

Accéder aux données client

Le service de recherche de malwares nécessite l'accès à vos données pour rechercher des programmes malveillants. Pendant l’activation du service, une nouvelle ressource Data Scanner appelée StorageDataScanner est créée dans votre abonnement Azure. Cette ressource est attribuée avec un rôle de Propriétaire des données blob de stockage pour accéder à vos données et les modifier pour analyse des programmes malveillants et découverte de données sensibles.

Le point de terminaison privé est pris en charge prêt à l’emploi

L’analyse des programmes malveillants dans Defender pour le stockage est prise en charge dans les comptes de stockage utilisant des points de terminaison privés, tout en conservant la confidentialité des données.

Les points de terminaison privés fournissent une connectivité sécurisée à vos services de stockage Azure, éliminant l’exposition à Internet public et étant considérés comme une meilleure pratique.

Configuration de l’analyse des programmes malveillants

Lorsque l’analyse des programmes malveillants est activée, les actions suivantes se produisent automatiquement dans votre environnement :

  • Pour chaque compte de stockage sur lequel vous activez l’analyse des programmes malveillants, une ressource Rubrique système Event Grid est créée dans le même groupe de ressources du compte de stockage, que le service Analyse des programmes malveillants permet d’écouter sur les déclencheurs de chargement d’objet blob. Supprimer cette ressource interrompt la fonctionnalité d’analyse des programmes malveillants.
  • Pour analyser vos données, le service Analyse des programmes malveillants nécessite de pouvoir y accéder. Pendant l’activation du service, une nouvelle ressource Data Scanner appelée StorageDataScanner est créée dans votre abonnement Azure et attribuée à une identité managée affectée par le système. Cette ressource se voit attribuer le rôle de Propriétaire des données blob de stockage, lui permettant d’accéder à vos données à des fins d’analyse des programmes malveillants et de découverte de données sensibles.

Si la Configuration réseau de votre compte de stockage est définie sur Activer l’accès au réseau public à partir de réseaux virtuels sélectionnés et munis d’une adresse IP, la ressource StorageDataScanner est ajoutée à la section Instances de ressources sous Configuration réseau du compte de stockage pour autoriser l’accès à l’analyse de vos données.

Si vous activez l’analyse des programmes malveillants au niveau de l'abonnement, une nouvelle ressource d'opérateur de sécurité appelée StorageAccounts/securityOperators/DefenderForStorageSecurityOperator sera créée dans votre abonnement Azure et attribuée à une identité managée par le système. Cette ressource est utilisée pour activer et réparer la configuration de Defender for Storage et Malware Scanning sur les comptes de stockage existants, et vérifier si les nouveaux comptes de stockage créés dans l'abonnement doivent être activés. Cette ressource a des attributions de rôles qui incluent les autorisations spécifiques nécessaires pour activer l’analyse des programmes malveillants.

L'analyse des programmes malveillants dépend de certaines ressources, identités et paramètres réseau pour fonctionner correctement. Si vous modifiez ou supprimez l’un de ces éléments, l’analyse des programmes malveillants cessera de fonctionner. Pour rétablir son fonctionnement normal, vous pouvez le désactiver et le réactiver.

Fournir des résultats d’analyse

Les résultats de l’analyse des programmes malveillants sont disponibles via quatre méthodes. Après l’installation, vous verrez les résultats de l’analyse en tant que balises d’index d’objet blob pour chaque fichier chargé et analysé dans le compte de stockage, et en tant qu’alertes de sécurité Microsoft Defender pour le cloud lorsqu’un fichier est identifié comme malveillant.

Vous choisirez probablement de configurer des méthodes de résultats d’analyse supplémentaires, comme Event Grid et Log Analytics, qui nécessitent une configuration supplémentaire. Dans la section suivante, vous allez découvrir les différentes méthodes de résultats d’analyse.

Diagramme montrant un exemple d’affichage et d’utilisation des résultats d’analyse.

Résultats de l’analyse

Étiquettes d’index d’objet blob

Les balises d’index d’objet blob sont des champs de métadonnées sur un objet blob. Elles catégorisent les données de votre compte de stockage à l’aide d’attributs de balise clé-valeur. Ces balises sont automatiquement indexées et exposées en tant qu’index multidimensionnel pouvant faire l’objet d’une recherche pour trouver facilement des données. Les résultats de l’analyse sont concis, affichant le résultat de l’analyse des programmes malveillants et l’analyse du temps d’analyse coordonné (UTC) dans les métadonnées de l’objet blob. D’autres types de résultats (alertes, événements, journaux) fournissent plus d’informations sur le type de programme malveillant et l’opération de chargement de fichiers.

Capture d’écran montrant les résultats de l’analyse des programmes malveillants et l’analyse du temps universel coordonné dans les métadonnées de l’objet blob.

Les balises d’index d’objet blob peuvent être utilisées par les applications pour automatiser les workflows, mais ne sont pas résistantes aux falsifications.

Alertes de sécurité de Microsoft Defender pour le cloud

Lorsqu’un fichier malveillant est détecté, Microsoft Defender pour le cloud génère une alerte de sécurité Microsoft Defender pour le cloud. Pour afficher l’alerte, accédez aux alertes de sécurité Microsoft Defender pour le cloud. L’alerte de sécurité contient les détails et le contexte du fichier, le type de programme malveillant, ainsi que les étapes d’investigation et de correction recommandées. Pour utiliser ces alertes à des fins de correction, vous pouvez :

  • Affichez les alertes de sécurité dans le portail Azure en accédant aux Microsoft Defender pour Cloud>Alertes de sécurité.
  • Configurer des automatisations basées sur ces alertes.
  • Exporter des alertes de sécurité vers une gestion des informations de sécurité (SIEM). Vous pouvez exporter en continu les alertes de sécurité Microsoft Sentinel (SIEM Microsoft) à l’aide du connecteur Microsoft Sentinel ou d’un autre SIEM de votre choix.

Événement Event Grid

Event Grid est utile pour l’automatisation pilotée par les événements. Il s’agit de la méthode la plus rapide pour obtenir des résultats avec une latence minimale dans une forme d’événements que vous pouvez utiliser pour automatiser la réponse.

Les événements des rubriques personnalisées de Event Grid peuvent être utilisés par plusieurs types de terminaux. Les plus utiles pour les scénarios d’analyse des programmes malveillants sont les suivantes :

  • Function App (précédemment appelée Fonction Azure) : utilisez une fonction serverless pour exécuter du code pour une réponse automatisée comme le déplacement, la suppression ou la mise en quarantaine.
  • Webhook : pour connecter une application.
  • File d’attente Event Hubs et Service Bus : pour informer les consommateurs en aval.

Analytique des journaux

Vous voudrez peut-être enregistrer vos résultats d’analyse pour obtenir des preuves de conformité ou examiner les résultats de l’analyse. En configurant une destination d’espace de travail Log Analytics, vous pouvez stocker chaque résultat d’analyse dans un référentiel de journaux centralisé facile à interroger. Vous pouvez afficher les résultats en accédant à l’espace de travail de destination Log Analytics et en recherchant la table StorageMalwareScanningResults.

Contrôle des coûts

L’analyse des programmes malveillants est facturée par Go analysé. Pour la prévisibilité des coûts, l’analyse des programmes malveillants prend en charge la définition d’un plafond sur la quantité de Go analysés en un seul mois par compte de stockage.

L’analyse des programmes malveillants dans Defender pour le stockage n’est pas incluse gratuitement dans la première version d’évaluation de 30 jours et sera facturée à partir du premier jour conformément au schéma tarifaire disponible sur la page de tarification Defender pour le cloud.

Le mécanisme de «limitation» est conçu pour définir une limite d’analyse mensuelle, mesurée en gigaoctets (Go), pour chaque compte de stockage, servant de contrôle des coûts efficace. Si une limite d’analyse prédéfinie est établie pour un compte de stockage au cours d’un seul mois civil, l’opération d’analyse s’arrêtera automatiquement une fois ce seuil atteint (avec un écart pouvant aller jusqu’à 20 Go) et les fichiers ne seront pas analysés à la recherche de logiciels malveillants. La limite est réinitialisée à la fin de chaque mois à minuit UTC. La mise à jour du plafond prend généralement jusqu’à une heure pour prendre effet.

Par défaut, une limite de 5 To (5000 Go) est fixée si aucun mécanisme de plafonnement spécifique n’est défini.

Vous pouvez définir le mécanisme de plafonnement sur des comptes de stockage individuels ou sur l’ensemble d’un abonnement (la limite définie au niveau de l’abonnement sera allouée à chaque compte de stockage de l’abonnement).

Coûts supplémentaires de l’analyse des programmes malveillants

L’analyse des programmes malveillants utilise d’autres services Azure comme base. Cela signifie que lorsque vous activez l’analyse des programmes malveillants, vous serez également facturé pour les services Azure dont il a besoin. Ces services incluent les opérations de lecture de Stockage Azure, l’indexation d’objets blob Stockage Azure et les notifications Azure Event Grid.

Gestion des faux positifs et des faux négatifs potentiels

Si vous avez un fichier que vous soupçonnez d’être un programme malveillant mais qui n’est pas détecté (faux négatif) ou qui est détecté de manière incorrecte (faux positif), vous pouvez nous le soumettre pour analyse via le portail de soumission d’exemples. Sélectionnez « Microsoft Defender pour le stockage » comme source.

Defender pour le cloud vous permet de supprimer les fausses alertes positives. Veillez à limiter la règle de suppression à l’aide du nom ou du hachage de fichier du logiciel malveillant.

L’analyse des programmes malveillants ne bloque pas automatiquement l’accès à l’objet blob chargé et ne modifie pas non plus ses autorisations, même s’il est malveillant.

Limites

Fonctionnalités et services non pris en charge

  • Comptes de stockage non pris en charge : les comptes de stockage v1 hérités ne sont pas pris en charge par l’analyse des logiciels malveillants.
  • Service non pris en charge : Azure Files n’est pas pris en charge par l’analyse des programmes malveillants.
  • Régions non prises en charge : Jio Inde Ouest, Corée Sud, Afrique du Sud Ouest.
  • Régions prises en charge par Defender pour le stockage mais pas par l’analyse des logiciels malveillants. En savoir plus sur la disponibilité de Defender pour le stockage.
  • Objets blob non pris en charge : les objets blob Append et Page ne sont pas pris en charge par l’analyse des programmes malveillants.
  • Chiffrement non pris en charge : Les objets blob chiffrés côté client ne sont pas pris en charge car ils ne peuvent pas être déchiffrés avant l’analyse par le service. En revanche, les données chiffrées au repos par Customer Managed Key (CMK) sont prises en charge.
  • Résultats de balise d'index non pris en charge : Le résultat de l'analyse des balises d'index n'est pas pris en charge dans les comptes de stockage dont l'espace de noms hiérarchique est activé (Azure Data Lake Storage Gen2).
  • Event Grid : les rubriques Event Grid pour lesquels l’accès au réseau public n’est pas activé (c’est-à-dire les connexions de point de terminaison privé) ne sont pas prises en charge par l’analyse des programmes malveillants dans Defender pour le stockage.

Capacité de débit et limite de taille d’objet blob

  • Limite du débit d’analyse : l’analyse des programmes malveillants peut traiter jusqu’à 2 Go par minute pour chaque compte de stockage. Si le taux de téléchargement de fichiers dépasse momentanément ce seuil pour un compte de stockage, le système tente d'analyser les fichiers dépassant la limite de taux. Si le taux de chargement de fichiers dépasse systématiquement ce seuil, certains objets blob ne seront pas analysés.
  • Limite d’analyse des objets blob : l’analyse des programmes malveillants peut traiter jusqu’à 2 000 fichiers par minute pour chaque compte de stockage. Si le taux de téléchargement de fichiers dépasse momentanément ce seuil pour un compte de stockage, le système tente d'analyser les fichiers dépassant la limite de taux. Si le taux de chargement de fichiers dépasse systématiquement ce seuil, certains objets blob ne seront pas analysés.
  • Limite de taille d’objet blob : La taille maximale d’un objet blob à analyser est de 2 Go. Les objets blob plus grands que la limite ne seront pas analysés.

Chargements d’objets blob et mises à jour des balises d’index

Lors du chargement d’un objet blob sur le compte de stockage, l’analyse des programmes malveillants lance une lecture supplémentaire et met à jour la balise d’index. Dans la plupart des cas, ces opérations ne génèrent pas de charge significative.

Impact sur les opérations d’entrée/sortie d’accès et de stockage par seconde (IOPS)

Malgré le processus d’analyse, l’accès aux données chargées reste inchangé et l’impact sur les E/S par seconde de stockage est minime.