다음을 통해 공유

맬웨어 검사 소개

  • 아티클

Microsoft Defender for Storage의 맬웨어 검색은 맬웨어 위협을 감지하고 완화하여 Azure Storage 계정의 보안을 향상시킵니다. Microsoft Defender 바이러스 백신 사용하여 스토리지 콘텐츠를 검사하여 보안 및 규정 준수를 보장합니다.

Defender for Storage는 다음 두 가지 유형의 맬웨어 검사를 제공합니다.

  • 온-업로드 맬웨어 검색: Blob이 업로드 또는 수정될 때 자동으로 검색하여 거의 실시간 검색을 제공합니다. 이러한 유형의 검사는 웹 애플리케이션 또는 공동 작업 플랫폼과 같이 자주 사용자 업로드를 포함하는 애플리케이션에 적합합니다. 콘텐츠를 업로드할 때 검색하면 악성 파일이 스토리지 환경에 들어가고 다운스트림으로 전파되는 것을 방지할 수 있습니다.

  • 주문형 맬웨어 검사: 필요할 때마다 기존 Blob을 검사하여 인시던트 대응, 규정 준수 및 사전 예방적 보안에 적합합니다. 이 검색 유형은 모든 기존 데이터를 검색하거나, 보안 경고에 대응하거나, 감사를 준비하여 보안 기준을 설정하는 데 적합합니다.

이러한 옵션은 스토리지 계정을 보호하고, 규정 준수 요구 사항을 충족하며, 데이터 무결성을 유지하는 데 도움이 됩니다.

맬웨어 검색이 중요한 이유

클라우드 스토리지에 업로드된 콘텐츠는 맬웨어를 도입하여 조직에 위험을 초래할 수 있습니다. 맬웨어에 대한 콘텐츠를 검색하면 악성 파일이 사용자 환경 내에서 들어오거나 확산되는 것을 방지할 수 있습니다.

Defender for Storage의 맬웨어 검색은 다음을 통해 도움이 됩니다.

  • 악성 콘텐츠 검색: 맬웨어 위협을 식별하고 완화합니다.

  • 보안 상태 향상: 맬웨어 확산을 방지하기 위해 보안 계층을 추가합니다.

  • 규정 준수 지원: 규정 요구 사항을 충족하는 데 도움이 됩니다.

  • 보안 관리 간소화: 대규모로 구성할 수 있는 클라우드 네이티브 낮은 유지 관리 솔루션을 제공합니다.

주요 특징

  • 기본 제공 SaaS 솔루션: 유지 관리가 0인 대규모로 간단하게 사용하도록 설정할 수 있습니다.
  • 포괄적인 맬웨어 방지 기능: MDAV(Microsoft Defender 바이러스 백신 사용하여 검사), 다형 및 변형 맬웨어 catch.
  • 포괄적인 검색: ZIP 및 RAR 파일과 같은 보관 파일을 비롯한 모든 파일 형식을 Blob당 최대 2GB까지 검색합니다.
  • 유연한 검사 옵션: 필요에 따라 업로드 및 주문형 검사를 제공합니다.
  • 보안 경고와의 통합: 클라우드용 Microsoft Defender 자세한 경고를 생성합니다.
  • 자동화 지원: Logic Apps 및 Function Apps와 같은 Azure 서비스를 사용하여 자동화된 응답을 사용하도록 설정합니다.
  • 규정 준수 및 감사: 로그는 준수 및 감사를 위해 결과를 검사합니다.
  • 프라이빗 엔드포인트 지원: 맬웨어 검색은 프라이빗 엔드포인트를 지원하여 공용 인터넷 노출을 제거하여 데이터 개인 정보를 보장합니다.

요구 사항에 맞는 맬웨어 검색의 종류는 무엇인가요?

잦은 업로드를 즉시 보호하려는 경우 업로드 중인 맬웨어 검색이 올바른 선택입니다. 웹앱에서 사용자가 업로드한 콘텐츠를 검사하고, 공유 멀티미디어 자산을 보호하고, 규제 부문에서 규정 준수를 보장하는 데 가장 적합합니다. 타사 데이터를 통합하거나, 공동 작업 플랫폼을 보호하거나, 데이터 파이프라인 및 기계 학습 데이터 세트를 보호해야 하는 경우에도 업로드 시 검사가 효과적입니다. 자세한 내용은 온-업로드 맬웨어 검사를 참조 하세요.

보안 기준을 설정하려는 경우 주문형 맬웨어 검색을 선택하는 것이 좋습니다. 또한 특정 요구 사항에 따라 검사를 실행할 수 있는 유연성을 제공합니다. 주문형 검사는 인시던트 대응, 규정 준수 및 사전 보안 사례에 적합합니다. 이를 사용하여 보안 트리거에 대한 응답으로 검사를 자동화하거나, 예약된 검사를 사용하여 감사를 준비하거나, 저장된 데이터에서 맬웨어를 사전에 확인할 수 있습니다. 또한 주문형 검사는 보관 또는 교환 전에 고객 보증을 제공하고 데이터를 확인하는 데 도움이 됩니다. 자세한 내용은 주문형 맬웨어 검사를 참조 하세요.

검사 결과 제공

맬웨어 검사 결과는 네 가지 방법을 통해 제공됩니다. 설치 후에는 검색 결과를 스토리지 계정의 모든 검색된 파일에 대한 Blob 인덱스 태그로 표시하고 파일이 악성으로 식별될 때 클라우드용 Microsoft Defender 보안 경고표시됩니다. Event GridLog Analytics와 같은 추가 검사 결과 방법을 구성하도록 선택할 수 있는데, 이러한 메서드에는 추가 구성이 필요합니다. 다음 섹션에서는 다양한 검사 결과 방법에 대해 알아봅니다. 맬웨어 검사 결과 보기 및 소비 흐름을 보여 주는 다이어그램.

검사 결과

Blob 인덱스 태그

Blob 인덱스 태그는 Blob의 메타데이터 필드입니다. Blob 인덱스 태그는 키-값 태그 특성을 사용하여 스토리지 계정의 데이터를 분류합니다. 이러한 태그는 데이터를 쉽게 찾을 수 있도록 검색 가능한 다차원 인덱스로 자동으로 인덱싱되고 표시됩니다. 검색 결과는 간결하며, Blob 메타데이터에서 맬웨어 검사 결과 및 맬웨어 검색 시간 UTC를 표시합니다. 다른 결과 형식(경고, 이벤트, 로그)은 자세한 정보를 제공합니다. Blob 인덱스 태그의 예를 보여 주는 스크린샷.

애플리케이션은 Blob 인덱스 태그를 사용하여 워크플로를 자동화할 수 있지만 변조 방지는 아닙니다. 응답 설정에 대해 자세히 읽어보세요.

참고 항목

인덱스 태그에 액세스하려면 권한이 필요합니다. 자세한 내용은 Blob 인덱스 태그 가져오기, 설정 및 업데이트를 참조 하세요.

클라우드용 Defender 보안 경고

악성 파일이 검색되면 클라우드용 Microsoft Defender가 클라우드용 Microsoft Defender 보안 경고를 생성합니다. 경고를 보려면 클라우드용 Microsoft Defender 보안 경고로 이동합니다. 보안 경고에는 파일에 대한 세부 정보 및 컨텍스트, 맬웨어 유형 및 권장 조사 및 수정 단계가 포함됩니다. 이러한 경고를 수정에 사용하려면 다음을 수행할 수 있습니다.

보안 경고에 대응하는 방법에 대해 자세히 알아봅니다.

Event Grid 이벤트

Event Grid는 이벤트 기반 자동화에 유용합니다. 대기 시간을 최소화하여 대응을 자동화하는 데 사용할 수 있는 이벤트 형태로 결과를 가져오는 가장 빠른 방법입니다.

Event Grid 사용자 지정 토픽의 이벤트는 여러 엔드포인트 유형에서 사용할 수 있습니다. 맬웨어 검사 시나리오에 가장 유용한 것은 다음과 같습니다.

  • 함수 앱 (이전에 Azure Function이라고 함) – 서버리스 함수를 사용하여 이동, 삭제 또는 격리와 같은 자동화된 응답에 대한 코드를 실행합니다.
  • 웹후크 - 애플리케이션을 연결합니다.
  • Event Hubs 및 Service Bus 큐 - 다운스트림 소비자에게 알립니다. 자동화를 위해 모든 검사 결과가 Event Grid 토픽으로 자동으로 전송되도록 맬웨어 검사를 구성하는 방법을 알아봅니다.

로그 분석

규정 준수 증거 확보 또는 검사 결과 조사를 위해 검사 결과를 기록하는 경우가 있을 수 있습니다. Log Analytics 작업 영역 대상을 설정하면 쿼리하기 쉬운 중앙 집중식 로그 리포지토리에 모든 검사 결과를 저장할 수 있습니다. Log Analytics 대상 작업 영역으로 이동하여 StorageMalwareScanningResults 테이블을 찾아 결과를 볼 수 있습니다. 맬웨어 검사에 대한 로깅 설정에 대해 자세히 알아봅니다.

실습 랩을 통해 Storage용 Defender의 맬웨어 검색 기능을 살펴보세요. Ninja 교육 지침에 따라 검색 결과에 대한 응답 구성을 포함하여 맬웨어 검사를 엔드 투 엔드로 설정하고 테스트하는 방법에 대한 자세한 단계별 가이드를 참조하세요. 이는 고객이 클라우드용 Microsoft Defender를 익히고 해당 기능에 대한 실무 환경을 제공하는 데 도움이 되는 '랩' 프로젝트의 일부입니다.

응답 자동화

맬웨어 검색은 의심스러운 파일 삭제 또는 격리와 같은 자동화된 응답을 지원합니다. Blob의 인덱스 태그를 사용하거나 자동화를 위해 Event Grid 이벤트를 설정하여 관리할 수 있습니다. 다음과 같은 방법으로 응답을 자동화할 수 있습니다.

  • ABAC(특성 기반 액세스 제어)를 사용하여 검색되지 않은 파일 또는 악성 파일에 대한 액세스를 차단합니다.
  • Logic Apps(보안 경고 기반) 또는 Event Grid를 사용하여 함수 앱(검사 결과 기반)을 사용하여 악성 파일을 자동으로 삭제하거나 이동하여 격리합니다.
  • Function Apps에서 Event Grid를 사용하여 정리 파일을 다른 위치로 전달합니다.

맬웨어 검사 결과에 대한 응답을 설정하는 방법에 대해 자세히 알아봅니다 .

맬웨어 검사 설정

맬웨어 검사를 사용하도록 설정하면 사용자 환경에서 다음 작업이 자동으로 수행됩니다.

  • 맬웨어 검사를 사용하도록 설정하는 각 스토리지 계정에 대해 Event Grid 시스템 토픽 리소스는 맬웨어 검사 서비스에서 Blob 업로드 트리거를 수신 대기하는 데 사용하는 스토리지 계정의 동일한 리소스 그룹에 만들어집니다. 이 리소스를 제거하면 맬웨어 검사 기능이 중단됩니다.
  • 데이터를 검사하려면 맬웨어 검사 서비스가 해당 데이터에 액세스해야 합니다. 서비스 사용 중에 StorageDataScanner라는 새 데이터 스캐너 리소스가 Azure 구독에 만들어지고 시스템이 할당한 관리 ID로 할당됩니다. 이 리소스에는 맬웨어 검사 및 중요한 데이터 검색을 위해 데이터에 액세스할 수 있도록 하는 스토리지 Blob 데이터 소유자 역할이 할당됩니다. 스토리지 계정 네트워킹 구성이 선택한 가상 네트워크 및 주소가 지정된 IP에서 공용 네트워크 액세스 사용으로 설정된 경우 StorageDataScanner 리소스는 스토리지 계정 네트워킹 구성 아래의 리소스 인스턴스 섹션에 추가되어 데이터 검색에 대한 액세스를 허용합니다. 구독 수준에서 맬웨어 검사를 사용하도록 설정하는 경우 Azure 구독에 호출 StorageAccounts/securityOperators/DefenderForStorageSecurityOperator 된 새 리소스가 만들어집니다. 이 리소스에는 시스템 관리 ID가 할당됩니다. 기존 스토리지 계정에서 Defender for Storage 및 맬웨어 검색 구성을 사용하도록 설정하고 복구하는 데 사용됩니다. 또한 맬웨어 검사를 사용하도록 설정하기 위해 구독에서 만든 새 스토리지 계정을 확인합니다. 이 리소스에는 맬웨어 검사를 사용하도록 설정하는 데 필요한 권한이 있는 특정 역할 할당이 있습니다.

참고 항목

맬웨어 검사의 올바른 작동은 특정 리소스, ID 및 네트워킹 설정에 따라 달라집니다. 이러한 항목을 수정하거나 삭제하면 맬웨어 검사의 작동이 중지됩니다. 정상적인 작업을 복원하려면 껐다가 다시 켤 수 있습니다.

지원되는 콘텐츠 및 제한 사항

지원되는 콘텐츠

  • 파일 형식: ZIP 파일과 같은 보관 파일을 포함한 모든 파일 형식입니다.

  • 파일 크기: Blob의 크기는 최대 2GB입니다.

제한 사항

  • 지원되지 않는 스토리지 계정: 레거시 v1 스토리지 계정은 지원되지 않습니다.

  • 지원되지 않는 서비스: 맬웨어 검색은 Azure Files를 지원하지 않습니다.

  • 지원되지 않는 Blob 형식: 추가 Blob 및 페이지 Blob은 지원되지 않습니다.

  • 지원되지 않는 암호화: 서비스에서 암호를 해독할 수 없으므로 클라이언트 쪽 암호화 Blob을 검색할 수 없습니다. CMK(고객 관리형 키)를 사용하여 미사용 시 암호화된 Blob이 지원됩니다.

  • 지원되지 않는 프로토콜: NFS(네트워크 파일 시스템) 3.0 프로토콜을 통해 업로드된 Blob은 검색되지 않습니다.

  • Blob 인덱스 태그: 계층 구조 네임스페이스를 사용하도록 설정된 스토리지 계정에는 인덱스 태그가 지원되지 않습니다(Azure Data Lake Storage Gen2).

  • 지원되지 않는 지역: 일부 지역은 맬웨어 검사에 대해 아직 지원되지 않습니다. 서비스는 지속적으로 새 지역으로 확장되고 있습니다. 지원되는 지역의 최신 목록은 클라우드용 Defender 가용성을 참조하세요.

기타 비용

Azure 서비스: 맬웨어 검색은 추가 비용이 발생할 수 있는 다른 Azure 서비스를 사용합니다.

  • Azure Storage 읽기 작업
  • Azure Storage Blob 인덱싱
  • Azure Event Grid 이벤트

Blob 검색 및 IOPS에 미치는 영향

맬웨어 검색 서비스가 파일을 검색할 때마다 다른 읽기 작업을 트리거하고 인덱스 태그를 업데이트합니다. 이는 Blob이 업로드 또는 수정된 후 발생하는 업로드 시 검사와 주문형 검사 모두에 적용됩니다. 이러한 작업에도 불구하고 스캔한 데이터에 대한 액세스는 영향을 받지 않습니다. 스토리지 IOPS(초당 입력/출력 작업 수)에 미치는 영향은 최소화되므로 이러한 작업에서 일반적으로 상당한 부하가 발생하지 않습니다.

맬웨어 검색이 효과가 없는 시나리오

맬웨어 검색은 포괄적인 검색 기능을 제공하지만 내재된 제한 사항으로 인해 효과가 없는 특정 시나리오가 있습니다. 스토리지 계정에서 맬웨어 검사를 사용하도록 결정하기 전에 이러한 시나리오를 신중하게 평가하는 것이 중요합니다.

  • 청크 데이터: 맬웨어 검색은 청크 분할된 데이터를 포함하는 Blob에서 맬웨어를 효과적으로 검색하지 않습니다(예: 작은 부분으로 분할된 파일). 이 문제는 스토리지 계정에 청크로 백업 데이터를 업로드하는 백업 서비스에서 일반적입니다. 검색 프로세스는 악의적인 콘텐츠를 누락하거나 클린 콘텐츠에 잘못된 플래그를 지정하여 거짓 부정 및 가양성으로 이어질 수 있습니다. 이러한 위험을 완화하려면 데이터 검색, 청크 분할 전 또는 완전히 재조립된 후와 같은 추가 보안 조치를 구현하는 것이 좋습니다.
  • 암호화된 데이터: 맬웨어 검색은 클라이언트 쪽 암호화된 데이터를 지원하지 않습니다. 이 데이터는 서비스에서 해독할 수 없습니다. 즉, 이러한 암호화된 Blob 내의 맬웨어는 검색되지 않습니다. 암호화가 필요한 경우 암호화 프로세스 전에 검사가 수행되는지 확인하거나 미사용 암호화에 CMK(고객 관리형 키)와 같은 지원되는 암호화 방법을 사용합니다. 맬웨어 검사를 사용하도록 결정할 때 지원되는 다른 파일이 스토리지 계정에 업로드되는지 고려합니다. 또한 공격자가 이 업로드 스트림을 악용하여 맬웨어를 도입할 수 있는지 평가합니다.

Azure Storage와 엔드포인트 환경 간의 맬웨어 검색 차이점

스토리지용 Defender는 엔드포인트용 Defender와 동일한 맬웨어 방지 엔진 및 최신 서명을 사용하여 맬웨어를 검사합니다. 그러나 파일이 Azure Storage에 업로드되면 맬웨어 방지 엔진이 의존하는 특정 메타데이터가 부족합니다. 이러한 메타데이터 부족으로 인해 엔드포인트용 Defender에서 식별된 검색에 비해 Azure Storage에서 '거짓 부정'이라고 하는 누락된 검색 속도가 높아질 수 있습니다.

다음은 누락된 메타데이터의 몇 가지 예입니다.

  • MOTW(웹 표시): MOTW는 인터넷에서 다운로드한 파일을 추적하는 Windows 보안 기능입니다. 그러나 파일이 Azure Storage에 업로드되는 경우 이 메타데이터는 유지되지 않습니다.

  • 파일 경로 컨텍스트: 표준 운영 체제에서 파일 경로는 위협 탐지를 위한 더 많은 컨텍스트를 제공할 수 있습니다. 예를 들어 시스템 위치를 수정하려는 파일(예 C:\Windows\System32: )은 의심스러운 것으로 플래그가 지정되고 추가 분석이 적용됩니다. Azure Storage에서 Blob 내의 특정 파일 경로 컨텍스트는 동일한 방식으로 활용할 수 없습니다.

  • 동작 데이터: 스토리지용 Defender는 실행하지 않고 파일의 콘텐츠를 분석합니다. 파일을 검사하고 실행을 에뮬레이트하여 맬웨어를 확인할 수 있습니다. 그러나 이 방법은 실행 중에만 악의적인 특성을 표시하는 특정 유형의 맬웨어를 검색하지 못할 수 있습니다.

액세스 및 데이터 개인 정보

데이터 액세스 요구 사항

맬웨어 검색 서비스는 맬웨어를 검색하기 위해 데이터에 액세스해야 합니다. 서비스를 사용하도록 설정하는 동안 StorageDataScanner라는 새 데이터 스캐너 리소스가 Azure 구독에 만들어집니다. 이 리소스에는 시스템 할당 관리 ID가 할당되며 데이터에 액세스하고 검사하기 위한 Storage Blob 데이터 소유자 역할 할당이 제공됩니다.

스토리지 계정 네트워킹 구성이 선택한 가상 네트워크 및 IP 주소 StorageDataScanner 에서 공용 네트워크 액세스를 사용하도록 설정된 경우 검색 액세스를 허용하도록 스토리지 계정 네트워킹 구성 아래의 리소스 인스턴스 섹션에 리소스가 추가됩니다.

데이터 개인 정보 및 지역 처리

  • 지역 처리: 데이터 상주 요구 사항을 준수하기 위해 스토리지 계정과 동일한 Azure 지역 내에서 검사가 수행됩니다.

  • 데이터 처리: 스캔한 파일은 저장되지 않습니다. 경우에 따라 추가 분석을 위해 파일 메타데이터(예: SHA-256 해시)를 엔드포인트용 Microsoft Defender 공유할 수 있습니다.

가능한 가양성 및 가음성 처리

가양성(false positive)

거짓 긍정은 시스템이 양성 파일을 악성 파일로 잘못 식별할 때 발생합니다. 이러한 문제를 해결하려면 다음을 수행합니다.

  1. 분석을 위해 제출

    • 샘플 제출 포털사용하여 가양성 보고

    • 제출할 때 원본으로 "스토리지용 Microsoft Defender"를 선택합니다.

  2. 알림 표시 안 함

검색되지 않은 맬웨어 주소(거짓 부정)

시스템에서 악성 파일을 검색하지 못하면 거짓 부정이 발생합니다. 이 문제가 발생한 것으로 의심되는 경우 샘플 제출 포털을 통해 분석을 위해 파일을 제출하여 검색되지 않은 맬웨어를 보고할 수 있습니다. 파일이 악의적이라고 생각하는 이유를 설명하기 위해 가능한 한 많은 컨텍스트를 포함해야 합니다.

참고 항목

가양성 및 부정을 정기적으로 보고하면 시간이 지남에 따라 맬웨어 검색 시스템의 정확도를 향상시킬 수 있습니다.

관련 콘텐츠