Introduzione all'analisi di malware

L'analisi di malware in Microsoft Defender per Archiviazione migliora la sicurezza degli account Archiviazione di Azure rilevando e attenuando le minacce malware. Usa Antivirus Microsoft Defender per analizzare il contenuto di archiviazione, garantendo sicurezza e conformità.

Defender per Archiviazione offre due tipi di analisi malware:

• Analisi malware in fase di caricamento: analizza automaticamente i BLOB quando vengono caricati o modificati, fornendo il rilevamento quasi in tempo reale. Questo tipo di analisi è ideale per le applicazioni che comportano caricamenti frequenti degli utenti, ad esempio applicazioni Web o piattaforme collaborative. L'analisi del contenuto durante il caricamento consente di evitare che i file dannosi entrino nell'ambiente di archiviazione e propagati a valle.

• Analisi di malware su richiesta: consente di analizzare i BLOB esistenti ogni volta che necessario, rendendolo ideale per la risposta agli eventi imprevisti, la conformità e la sicurezza proattiva. Questo tipo di analisi è ideale per stabilire una baseline di sicurezza analizzando tutti i dati esistenti, reagendo agli avvisi di sicurezza o preparando i controlli.

Queste opzioni consentono di proteggere gli account di archiviazione, soddisfare le esigenze di conformità e mantenere l'integrità dei dati.

Perché l'analisi malware è importante

Il contenuto caricato nell'archiviazione cloud può introdurre malware, comportando rischi per l'organizzazione. L'analisi del contenuto per malware consente di impedire l'immissione o la diffusione di file dannosi all'interno dell'ambiente.

L'analisi di malware in Defender per Archiviazione consente di:

• Rilevamento di contenuti dannosi: identifica e attenua le minacce malware.

• Miglioramento del comportamento di sicurezza: aggiunge un livello di sicurezza per impedire la diffusione di malware.

• Supporto della conformità: consente di soddisfare i requisiti normativi.

• Semplificazione della gestione della sicurezza: offre una soluzione nativa del cloud e a bassa manutenzione configurabile su larga scala.

Funzionalità principali

• Una soluzione SaaS predefinita: consente di abilitare in modo semplice su larga scala senza manutenzione.
• Funzionalità antimalware complete: analisi con Antivirus Microsoft Defender (MDAV), rilevamento di malware polimorfico e metamorfico.
• Rilevamento completo: analizza tutti i tipi di file, inclusi archivi come file ZIP e RAR, fino a 2 GB per BLOB.
• Opzioni di analisi flessibili: offre analisi on-upload e on demand in base alle esigenze.
• Integrazione con gli avvisi di sicurezza: genera avvisi dettagliati in Microsoft Defender per il cloud.
• Supporto per l'automazione: consente risposte automatizzate usando servizi di Azure come App per la logica e App per le funzioni.
• Conformità e controllo: i log analizzano i risultati per verificare la conformità e il controllo.
• Supporto degli endpoint privati: l'analisi malware supporta endpoint privati, garantendo la privacy dei dati eliminando l'esposizione a Internet pubblico.

Che tipo di scansione malware funziona per le vostre esigenze?

Se vuoi una protezione immediata per i caricamenti frequenti, l'analisi malware on-upload è la scelta giusta. Funziona meglio per analizzare il contenuto caricato dall'utente nelle app Web, proteggere gli asset multimediali condivisi e garantire la conformità nei settori regolamentati. L'analisi on-upload è efficace anche se è necessario integrare dati di terze parti, proteggere piattaforme collaborative o pipeline di dati sicure e set di dati di Machine Learning. Per altre informazioni, vedere Analisi malware on-upload.

Se si desidera stabilire baseline di sicurezza, l'analisi di malware su richiesta è un'ottima scelta. Offre inoltre flessibilità per l'esecuzione di analisi in base a esigenze specifiche. L'analisi su richiesta si adatta perfettamente alle procedure di risposta, conformità e sicurezza proattive agli eventi imprevisti. È possibile usarlo per automatizzare le analisi in risposta ai trigger di sicurezza, preparare i controlli con analisi pianificate o controllare in modo proattivo i dati archiviati per il malware. Inoltre, l'analisi su richiesta consente di garantire la garanzia del cliente e verificare i dati prima dell'archiviazione o dello scambio. Per altre informazioni, vedere Analisi di malware su richiesta.

Fornire i risultati dell'analisi

I risultati dell'analisi malware vengono resi disponibili attraverso quattro metodologie. Dopo l'installazione, i risultati dell'analisi vengono visualizzati come tag di indice BLOB per ogni file analizzato nell'account di archiviazione e come Microsoft Defender per il cloud avvisi di sicurezza quando un file viene identificato come dannoso. È possibile scegliere di configurare metodi aggiuntivi per i risultati dell'analisi, ad esempio Griglia di eventi e Log Analytics. Questi metodi richiedono una configurazione aggiuntiva. Nella sezione successiva verranno illustrati i diversi metodi dei risultati dell'analisi.

Risultati dell'analisi

Tag indice del BLOB

I tag indice BLOB sono campi di metadati in un BLOB. Tali elementi classificano i dati nell'account di archiviazione utilizzando gli attributi del tag key-value. Questi tag vengono indicizzati e esposti automaticamente come indice multidimensionale ricercabile per facilitare la ricerca di dati. I risultati dell'analisi sono concisi, visualizzando i risultati dell'analisi malware e l'ora UTC dell'analisi malware nei metadati del BLOB. Altri tipi di risultati (avvisi, eventi, log) forniscono altre informazioni.

Le applicazioni possono usare tag di indice BLOB per automatizzare i flussi di lavoro, ma non sono resistenti alle manomissioni. Altre informazioni sulla configurazione della risposta.

Nota

L'accesso ai tag indice richiede autorizzazioni. Per altre informazioni, vedere Ottenere, impostare e aggiornare i tag di indice BLOB.

Avvisi di sicurezza di Microsoft Defender per il cloud

Quando viene rilevato un file dannoso, Microsoft Defender per il cloud genera un avviso di sicurezza di Microsoft Defender per il cloud. Per visualizzare l'avviso, passare agli avvisi di sicurezza di Microsoft Defender per il cloud. L'avviso di sicurezza contiene dettagli e contesto sul file, il tipo di malware e i passaggi consigliati per l'analisi e la correzione. Per usare tali avvisi ai fini di una correzione, è possibile:

• Visualizzare gli avvisi di sicurezza nel portale di Azure passando a Microsoft Defender per il cloud>Avvisi di sicurezza.
• Configurare le automazione in base a questi avvisi.
• Esportare gli avvisi di sicurezza in un sistema SIEM. È possibile esportare in modo continuo gli avvisi di sicurezza di Microsoft Sentinel (sistema SIEM di Microsoft) usando il connettore di Microsoft Sentinel o un altro sistema SIEM a scelta.

Altre informazioni sulle risposte agli avvisi di sicurezza.

Evento Griglia di eventi

Griglia di eventi è utile per l'automazione basata su eventi. È il metodo più veloce per ottenere risultati con latenza minima sotto forma di eventi che è possibile utilizzare per automatizzare la risposta.

Gli eventi di Griglia di eventi personalizzati possono essere utilizzati da più tipi di endpoint. Gli scenari di analisi malware più utili sono:

• App per le funzioni (chiamata in precedenza Funzione di Azure): usare una funzione serverless per eseguire codice per una risposta automatizzata, ad esempio spostamento, eliminazione o quarantena.
• Webhook: per connettere un'applicazione.
• Hub eventi e coda del bus di servizio: per notificare ai consumer downstream. Informazioni su come configurare l'analisi malware in modo che ogni risultato dell'analisi venga inviato automaticamente a un argomento di Griglia di eventi a scopo di automazione.

Log di analisi

È possibile registrare i risultati dell'analisi per verificarne la conformità o analizzare i risultati dell'analisi. Configurando una destinazione dell'area di lavoro Log di analisi, è possibile archiviare ogni risultato dell'analisi in un repository di log centralizzato di facile esecuzione. È possibile visualizzare i risultati passando all'area di lavoro di destinazione Log di analisi e cercando la tabella StorageMalwareScanningResults. Altre informazioni sulla configurazione della registrazione per l'analisi del malware.

Suggerimento

Ti invitiamo a esplorare la funzionalità di analisi malware in Defender for Storage tramite il lab pratico. Seguire le istruzioni di training Ninja per una guida dettagliata dettagliata su come configurare e testare l'analisi di malware end-to-end, inclusa la configurazione delle risposte ai risultati dell'analisi. Questa esercitazione rientra nel progetto "labs" che aiuta i clienti a crescere con Microsoft Defender per il cloud e offre un'esperienza pratica delle sue funzionalità.

Automazione delle risposte

L'analisi malware supporta risposte automatizzate, ad esempio l'eliminazione o la quarantena di file sospetti. Questa operazione può essere gestita usando i tag di indice dei BLOB o configurando eventi di Griglia di eventi a scopo di automazione. È possibile automatizzare le risposte nei modi seguenti:

• Bloccare l'accesso a file non a cui è stato eseguito l'analisi o a file dannosi usando il controllo degli accessi in base all'attributo (Controllo di accesso basato su attributi).
• Eliminare o spostare automaticamente file dannosi in quarantena usando App per la logica (in base agli avvisi di sicurezza) o Griglia di eventi con le app per le funzioni (in base ai risultati dell'analisi).
• Inoltrare i file puliti a un percorso diverso usando Griglia di eventi con le app per le funzioni.

Altre informazioni sulla configurazione della risposta per i risultati dell'analisi malware.

Configurazione dell'analisi malware

Quando l'analisi malware è abilitata, le azioni seguenti vengono eseguite automaticamente nell'ambiente:

• Per ogni account di archiviazione di cui si abilita l'analisi malware, viene creata una risorsa argomento di sistema di Griglia di eventi nello stesso gruppo di risorse dell'account di archiviazione, utilizzata dal servizio di analisi malware per “ascoltare” i trigger di caricamento dei BLOB. La rimozione di tale risorsa interrompe la funzionalità di analisi malware.
• Per analizzare i dati, il servizio Analisi malware richiede l'accesso ai dati. Durante l'abilitazione del servizio, viene creata una nuova risorsa dello scanner di dati, denominata StorageDataScanner, nella sottoscrizione di Azure e assegnata con un'identità gestita assegnata dal sistema. Tale risorsa viene concessa con l'assegnazione di un ruolo Proprietario dati BLOB di archiviazione per consentire l'accesso ai dati ai fini dell'analisi malware e dell'individuazione di dati sensibili. Se la configurazione di rete dell'account di archiviazione è impostata su Abilita l'accesso alla rete pubblica da reti virtuali e indirizzi IP selezionati, la risorsa StorageDataScanner viene aggiunta alla sezione Istanze di risorse in Configurazione rete dell'account di archiviazione per consentire l'accesso ai fini dell’analisi dei dati. Se si abilita l'analisi malware a livello di sottoscrizione, viene creata una nuova risorsa denominata StorageAccounts/securityOperators/DefenderForStorageSecurityOperator nella sottoscrizione di Azure. A questa risorsa viene assegnata un'identità gestita dal sistema. Viene usato per abilitare e ripristinare le configurazioni di Defender per archiviazione e analisi malware sugli account di archiviazione esistenti. Verifica inoltre la presenza di nuovi account di archiviazione creati nella sottoscrizione per abilitare l'analisi malware. Questa risorsa ha assegnazioni di ruolo specifiche con le autorizzazioni necessarie per abilitare l'analisi malware.

Nota

Per il suo corretto funzionamento, l'analisi malware dipende da determinate risorse, identità e impostazioni di rete. Se si modifica o elimina uno di questi elementi, l'analisi malware smetterà di funzionare. Per ripristinarne il normale funzionamento, è possibile prima disattivarla e successivamente procedere alla sua riattivazione.

Contenuto e limitazioni supportati

Contenuto supportato

• Tipi di file: tutti i tipi di file, inclusi archivi come i file ZIP.

• Dimensioni del file: BLOB con dimensioni fino a 2 GB.

Limiti

• Account di archiviazione non supportati: gli account di archiviazione legacy v1 non sono supportati.

• Servizio non supportato: l'analisi malware non supporta File di Azure.

• Tipi di BLOB non supportati: i BLOB di accodamento e i BLOB di pagine non sono supportati.

• Crittografia non supportata: i BLOB crittografati sul lato client non possono essere analizzati, perché il servizio non può decrittografarli. I BLOB crittografati inattivi con chiavi gestite dal cliente (CMK) sono supportati.

• Protocolli non supportati: i BLOB caricati tramite il protocollo NFS (Network File System) 3.0 non vengono analizzati.

• Tag di indice BLOB: i tag di indice non sono supportati per gli account di archiviazione con spazio dei nomi gerarchico abilitato (Azure Data Lake Storage Gen2).

• Aree non supportate: alcune aree non sono ancora supportate per l'analisi di malware. Il servizio si espande continuamente in nuove aree. Per l'elenco più recente delle aree supportate, vedere disponibilità Defender per il cloud.

Altri costi

Servizi di Azure: l'analisi malware usa altri servizi di Azure, che potrebbero comportare ulteriori costi:

• Archiviazione di Azure operazioni di lettura
• indicizzazione BLOB Archiviazione di Azure
• eventi Griglia di eventi di Azure

Analisi e impatto sui BLOB sulle operazioni di I/O al secondo

Ogni volta che il servizio di analisi malware analizza un file, attiva un'altra operazione di lettura e aggiorna il tag di indice. Questo vale sia per l'analisi on-upload, che si verifica dopo il caricamento o la modifica del BLOB e l'analisi su richiesta. Nonostante queste operazioni, l'accesso ai dati analizzati rimane invariato. L'impatto sulle operazioni di input/output di archiviazione al secondo (IOPS) è minimo, assicurando che queste operazioni in genere non introducono un carico significativo.

Scenari in cui l'analisi malware è inefficace

Mentre l'analisi malware offre funzionalità di rilevamento complete, esistono scenari specifici in cui diventa inefficace a causa di limitazioni intrinseche. È importante valutare attentamente questi scenari prima di decidere di abilitare l'analisi malware in un account di archiviazione:

• Dati in blocchi: l'analisi malware non rileva in modo efficace malware nei BLOB che contengono dati in blocchi, ad esempio i file suddivisi in parti più piccole. Questo problema è comune nei servizi di backup che caricano i dati di backup in blocchi negli account di archiviazione. Il processo di analisi potrebbe perdere contenuto dannoso o contrassegnare erroneamente il contenuto pulito, causando falsi negativi e falsi positivi. Per attenuare questo rischio, valutare la possibilità di implementare ulteriori misure di sicurezza, ad esempio l'analisi dei dati, prima del blocco o dopo la riassemblazione completa.
• Dati crittografati: l'analisi malware non supporta i dati crittografati sul lato client. Questi dati non possono essere decrittografati dal servizio, ovvero qualsiasi malware all'interno di questi BLOB crittografati non viene rilevato. Se è necessaria la crittografia, assicurarsi che l'analisi venga eseguita prima del processo di crittografia o usare metodi di crittografia supportati, ad esempio chiavi gestite dal cliente (CMK) per la crittografia dei dati inattivi. Quando si decide di abilitare l'analisi malware, valutare se altri file supportati vengono caricati nell'account di archiviazione. Valutare anche se gli utenti malintenzionati potrebbero sfruttare questo flusso di caricamento per introdurre malware.

Differenze nel rilevamento di malware tra ambienti Archiviazione di Azure ed endpoint

Defender per Archiviazione usa lo stesso software Antimalware Engine e le stesse firme aggiornate di Defender per endpoint per l'analisi del malware. Tuttavia, quando i file vengono caricati in Archiviazione di Azure, mancano alcuni metadati usati da Antimalware Engine. Questa mancanza di metadati può portare a un tasso più elevato di rilevamenti persi, noti come "falsi negativi", in Archiviazione di Azure rispetto a quelli identificati da Defender per endpoint.

Di seguito sono riportati alcuni esempi di metadati mancanti:

• Mark of the Web (MOTW): MOTW è una funzionalità di sicurezza di Windows che tiene traccia dei file scaricati da Internet. Tuttavia, quando i file vengono caricati in Archiviazione di Azure, questi metadati non vengono mantenuti.

• Contesto del percorso del file: nei sistemi operativi standard, il percorso del file può fornire più contesto per il rilevamento delle minacce. Ad esempio, un file che tenta di modificare i percorsi di sistema (ad esempio, C:\Windows\System32) viene contrassegnato come sospetto ed è soggetto a un'ulteriore analisi. In Archiviazione di Azure, il contesto di percorsi di file specifici all'interno del BLOB non può essere usato nello stesso modo.

• Dati comportamentali: Defender per Archiviazione analizza il contenuto dei file senza eseguirli. Esamina i file e potrebbe emulare l'esecuzione per verificare la presenza di malware. Tuttavia, questo approccio potrebbe non rilevare determinati tipi di malware che rivelano la loro natura dannosa solo durante l'esecuzione.

Accesso e privacy dei dati

Requisiti di accesso ai dati

Il servizio analisi malware richiede l'accesso ai dati per la ricerca di malware. Durante l'abilitazione del servizio, nella sottoscrizione di Azure viene creata una nuova risorsa dello scanner di dati, denominata StorageDataScanner. A questa risorsa viene assegnata un'identità gestita assegnata dal sistema e viene assegnata l'assegnazione del ruolo Proprietario dati BLOB di archiviazione per accedere ai dati ed eseguire l'analisi dei dati.

Se la configurazione di rete dell'account di archiviazione è impostata su Abilita l'accesso alla rete pubblica da reti virtuali e indirizzi IP selezionati, la StorageDataScanner risorsa viene aggiunta alla sezione Istanze di risorse nella configurazione di rete dell'account di archiviazione per consentire l'accesso all'analisi.

Privacy dei dati e trattamento a livello di area

• Elaborazione a livello di area: l'analisi si verifica nella stessa area di Azure dell'account di archiviazione per rispettare i requisiti di residenza dei dati.

• Gestione dei dati: i file analizzati non vengono archiviati. In alcuni casi, i metadati dei file (ad esempio, hash SHA-256) potrebbero essere condivisi con Microsoft Defender per endpoint per ulteriori analisi.

Gestire possibili falsi positivi e falsi negativi

Falsi positivi

I falsi positivi si verificano quando il sistema identifica erroneamente un file non dannoso come dannoso. Per risolvere questi problemi:

1. Inviare per l'analisi

   • Usare il portale di invio di esempio per segnalare falsi positivi.

   • Selezionare "Microsoft Defender for Storage" come origine durante l'invio.

2. Elimina avvisi

   • Creare regole di eliminazione in Defender per il cloud per evitare avvisi ricorrenti falsi positivi specifici.

Indirizzo malware non rilevato (falsi negativi)

I falsi negativi si verificano quando il sistema non riesce a rilevare un file dannoso. Se si sospetta che ciò si sia verificato, è possibile segnalare il malware non rilevato inviando il file per l'analisi tramite il portale di invio di esempio. Assicurarsi di includere il maggior numero possibile di contesto per spiegare il motivo per cui si ritiene che il file sia dannoso.

Nota

Segnalare regolarmente falsi positivi e negativi contribuisce a migliorare l'accuratezza del sistema di rilevamento malware nel tempo.

Contenuto correlato

• Analisi malware in fase di caricamento in Microsoft Defender per Archiviazione
• Analisi di malware su richiesta in Microsoft Defender per Archiviazione