Сканирование вредоносных программ в Defender для хранилища

  • 3 мин

Сканирование вредоносных программ в Defender для хранилища помогает защитить Хранилище BLOB-объектов Azure от вредоносного содержимого, выполнив полную проверку вредоносных программ при отправке содержимого в режиме реального времени с помощью антивирусная программа в Microsoft Defender возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого.

Возможность сканирования вредоносных программ — это решение без агента как услуга (SaaS), которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию реагирования в масштабе.

Схема, на которой показано, как сканирование вредоносных программ обнаруживает вредоносные файлы при отправке в режиме реального времени.

Отправка вредоносных программ является основной угрозой в облачном хранилище

Содержимое, отправленное в облачное хранилище, может быть вредоносным ПО. Учетные записи хранения могут быть точкой входа вредоносных программ в организацию и точку распространения вредоносных программ. Чтобы защитить организации от этой угрозы, перед доступом к содержимому в облачном хранилище необходимо проверить наличие вредоносных программ.

Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого

  • Встроенное решение SaaS, которое позволяет легко включить масштаб с нулевым обслуживанием.
  • Комплексные возможности защиты от вредоносных программ с помощью антивирусная программа в Microsoft Defender (MDAV), перехват полиморфных и метаморфных вредоносных программ.
  • Каждый тип файла сканируется (включая архивы, такие как ZIP-файлы), и результат возвращается для каждой проверки. Ограничение размера файла составляет 2 ГБ.
  • Поддерживает ответ в масштабе— удаление или карантин подозрительных файлов на основе тегов индекса больших двоичных объектов или событий сетки событий.
  • Когда проверка вредоносных программ идентифицирует вредоносный файл, создаются подробные Microsoft Defender для облака оповещения системы безопасности.
  • Предназначен для выполнения требований к безопасности и соответствию требованиям для сканирования ненадежного содержимого, отправленного в хранилище, включая возможность регистрировать каждый результат сканирования.

Распространенные варианты использования и сценарии

Ниже приведены некоторые распространенные варианты использования и сценарии сканирования вредоносных программ в Defender для хранилища:

  • Веб-приложения: многие облачные веб-приложения позволяют пользователям отправлять содержимое в хранилище. Это позволяет низкому обслуживанию и масштабируемому хранилищу для таких приложений, как налоговые приложения, CV отправить сайты кадров и отправлять квитанции.
  • Защита содержимого: ресурсы, такие как видео и фотографии, обычно совместно используются и распределяются как во внутреннем, так и во внешних сторонах. CDN (сеть доставки содержимого) и центры содержимого — это классическая возможность распространения вредоносных программ.
  • Требования к соответствию требованиям: ресурсы, которые соответствуют таким стандартам, как Национальный институт стандартов и технологий, общество для всемирной межбанковской финансовой телекоммуникации, Общее регулирование по защите данных и другие требуют надежных методик безопасности, которые включают сканирование вредоносных программ. Это важно для организаций, работающих в регулируемых отраслях или регионах.
  • Интеграция сторонних производителей: сторонние данные могут поступать из различных источников, и не все из них могут иметь надежные методики безопасности, такие как бизнес-партнеры, разработчики и подрядчики. Сканирование вредоносных программ помогает убедиться, что эти данные не представляют рисков безопасности для вашей системы.
  • Платформы совместной работы: как и общий доступ к файлам, команды используют облачное хранилище для непрерывного совместного использования содержимого и совместной работы между командами и организациями. Проверка вредоносных программ обеспечивает безопасную совместную работу.
  • Конвейеры данных: данные, перемещаемые по ETL (извлечение, передача, загрузка) могут поступать из нескольких источников и могут включать вредоносные программы. Сканирование вредоносных программ может помочь обеспечить целостность этих конвейеров.
  • Данные обучения машинного обучения: качество и безопасность обучающих данных критически важны для эффективных моделей машинного обучения. Важно убедиться, что эти наборы данных являются чистыми и безопасными, особенно если они включают в себя созданное пользователем содержимое или данные из внешних источников.

Снимок экрана: распространенный вариант использования и сценарий сканирования вредоносных программ в Defender для хранилища.

Сканирование вредоносных программ — это служба почти в режиме реального времени. Время сканирования может отличаться в зависимости от размера сканированного файла или типа файла, а также нагрузки на службу или учетную запись хранения. Корпорация Майкрософт постоянно работает над сокращением общего времени сканирования, однако при проектировании пользовательского интерфейса на основе службы следует учитывать эту дисперсию.

Предпосылки

Чтобы включить и настроить сканирование вредоносных программ, необходимо иметь роли владельца (например, владельца подписки или владельца учетной записи хранения) или определенные роли с необходимыми действиями с данными. Дополнительные сведения о необходимых разрешениях.

Вы можете включить и настроить сканирование вредоносных программ в масштабе для подписок, сохраняя детализированный контроль над настройкой функции для отдельных учетных записей хранения. Существует несколько способов включения и настройки проверки вредоносных программ: встроенная политика Azure (рекомендуемый метод), программное использование шаблонов инфраструктуры в качестве кода, включая Terraform, Bicep и шаблоны Azure Resource Manager (ARM), используя портал Azure или непосредственно с REST API.

Как работает сканирование вредоносных программ

Проверка вредоносных программ при загрузке

Триггеры при отправке

При отправке большого двоичного объекта в защищенную учетную запись хранения запускается проверка вредоносных программ. Все методы отправки активируют проверку. Изменение большого двоичного объекта является операцией отправки, поэтому измененное содержимое проверяется после обновления.

Сканирование регионов и хранения данных

Служба сканирования вредоносных программ, использующая технологии антивирусная программа в Microsoft Defender считывает большой двоичный объект. Сканирование вредоносных программ проверяет содержимое "в памяти" и удаляет отсканированные файлы сразу после сканирования. Содержимое не сохраняется. Сканирование происходит в том же регионе учетной записи хранения. В некоторых случаях, когда файл является подозрительным, и требуется больше данных, сканирование вредоносных программ может совместно использовать метаданные файлов за пределами региона сканирования, включая метаданные, классифицируемые как данные клиента (например, хэш-хэш алгоритма БЕЗОПАСНОСТИ SHA-256) с Microsoft Defender для конечной точки.

Доступ к данным клиента

Служба сканирования вредоносных программ требует доступа к данным для сканирования данных для вредоносных программ. Во время включения службы в StorageDataScanner подписке Azure создается новый ресурс сканера данных. Этот ресурс предоставляется с назначением роли владельца данных BLOB-объектов хранилища для доступа к данным и изменения данных для сканирования вредоносных программ и обнаружения конфиденциальных данных.

Частная конечная точка поддерживается вне поля

Сканирование вредоносных программ в Defender для хранилища поддерживается в учетных записях хранения, использующих частные конечные точки при сохранении конфиденциальности данных.

Частные конечные точки обеспечивают безопасное подключение к службам хранилища Azure, устраняя общедоступный интернет-доступ и считаются рекомендуемыми.

Настройка сканирования вредоносных программ

При включении сканирования вредоносных программ в вашей среде выполняются следующие действия:

  • Для каждой учетной записи хранения вы включите сканирование вредоносных программ, ресурс System Topic сетки событий создается в той же группе ресурсов учетной записи хранения, используемой службой сканирования вредоносных программ для прослушивания триггеров отправки BLOB-объектов. Удаление этого ресурса нарушает функциональные возможности сканирования вредоносных программ.
  • Для сканирования данных служба "Сканирование вредоносных программ" требует доступа к данным. Во время включения службы вызывается новый ресурс сканера данных, который StorageDataScanner создается в подписке Azure и назначается управляемому удостоверению, назначаемого системой. Этот ресурс предоставляется с назначением роли владельца данных BLOB-объектов хранилища, разрешая ему доступ к данным в целях сканирования вредоносных программ и обнаружения конфиденциальных данных.

Если настроена конфигурация сети учетной записи хранения для включения доступа к общедоступной сети из выбранных виртуальных сетей и IP-адресов, ресурс добавляется в раздел "Экземпляры ресурсов" в разделе "Сеть хранения", StorageDataScanner чтобы разрешить доступ к данным.

Если вы включаете сканирование вредоносных программ на уровне подписки, новый StorageAccounts/securityOperators/DefenderForStorageSecurityOperator ресурс оператора безопасности создается в подписке Azure и назначается с помощью управляемого системой удостоверения. Этот ресурс используется для включения и восстановления конфигурации Defender для хранения и сканирования вредоносных программ в существующих учетных записях хранения и проверки наличия новых учетных записей хранения, созданных в подписке. Этот ресурс имеет назначения ролей, которые включают определенные разрешения, необходимые для включения сканирования вредоносных программ.

Сканирование вредоносных программ зависит от определенных ресурсов, удостоверений и параметров сети для правильной работы. При изменении или удалении любого из этих программ сканирование вредоносных программ перестанет работать. Чтобы восстановить нормальную работу, ее можно отключить и снова включить.

Предоставление результатов сканирования

Результаты сканирования вредоносных программ доступны через четыре метода. После установки вы увидите результаты сканирования в виде тегов индекса BLOB-объектов для каждого отправленного и сканированного файла в учетной записи хранения, а также как Microsoft Defender для облака оповещения системы безопасности, когда файл определяется как вредоносный.

Вы можете настроить дополнительные методы результатов сканирования, такие как Сетка событий и Log Analytics; для этих методов требуется дополнительная настройка. В следующем разделе вы узнаете о различных методах результатов сканирования.

Схема, показывающая пример просмотра и использования результатов сканирования.

Результаты сканирования

Теги индексации BLOB-объектов

Теги индекса BLOB-объектов — это поля метаданных в большом двоичном объекте. Они классифицируют данные в учетной записи хранения с помощью атрибутов тега "ключ-значение". Эти теги автоматически индексируются и представляются в виде многомерного индекса с поддержкой поиска для упрощения нахождения данных. Результаты проверки являются краткими, отображая результат сканирования вредоносных программ и время сканирования вредоносных программ в метаданных БОЛЬШОго двоичного объекта(UTC). Другие типы результатов (оповещения, события, журналы) предоставляют дополнительные сведения о типе вредоносных программ и операции отправки файлов.

Снимок экрана: результаты сканирования вредоносных программ и сканирование вредоносных программ в метаданных большого двоичного объекта.

Теги индекса BLOB-объектов можно использовать приложениями для автоматизации рабочих процессов, но не являются неотделимыми.

оповещения системы безопасности Defender для облака

При обнаружении вредоносного файла Microsoft Defender для облака создает оповещение системы безопасности Microsoft Defender для облака. Чтобы просмотреть оповещение, перейдите к Microsoft Defender для облака оповещениям системы безопасности. Оповещение системы безопасности содержит сведения и контекст файла, тип вредоносных программ и рекомендуемые действия по расследованию и исправлению. Чтобы использовать эти оповещения для исправления, можно:

  • Просмотрите оповещения системы безопасности в портал Azure, перейдя к оповещениям Microsoft Defender для облака> Security.
  • Настройте автоматизацию на основе этих оповещений.
  • Экспорт оповещений системы безопасности в систему управления информационной безопасностью (SIEM). Вы можете непрерывно экспортировать оповещения системы безопасности Microsoft Sentinel (SIEM Майкрософт) с помощью соединителя Microsoft Sentinel или другого SIEM.

Событие Сетки событий

Сетка событий полезна для автоматизации на основе событий. Это самый быстрый метод получения результатов с минимальной задержкой в виде событий, которые можно использовать для автоматизации ответа.

События из настраиваемых разделов сетки событий могут использоваться несколькими типами конечных точек. Наиболее полезными для сценариев сканирования вредоносных программ являются:

  • Приложение-функция (ранее называемая функцией Azure) — используйте бессерверную функцию для запуска кода для автоматического ответа, например перемещения, удаления или карантина.
  • Веб-перехватчик — для подключения приложения.
  • Центры событий и очередь служебная шина — для уведомления подчиненных потребителей.

Аналитика журналов

Возможно, вы хотите записать результаты сканирования для подтверждения соответствия требованиям или исследовать результаты сканирования. Настроив назначение рабочей области Log Analytics, вы можете сохранить каждый результат сканирования в централизованном репозитории журналов, который легко запрашивать. Результаты можно просмотреть, перейдя в рабочую область назначения Log Analytics и найдите таблицу StorageMalwareScanningResults .

Управление затратами

За проверку вредоносных программ взимается плата за сканированную в ГБ. Чтобы обеспечить прогнозируемость затрат, сканирование вредоносных программ поддерживает установку ограничения на количество отсканированных ГБ в течение одного месяца на учетную запись хранения.

Сканирование вредоносных программ в Defender для хранилища не включается бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице ценообразования Defender для облака.

Механизм "ограничения" предназначен для установки ежемесячного ограничения сканирования, измеряемого в гигабайтах (ГБ), для каждой учетной записи хранения, выступающей в качестве эффективного управления затратами. Если предопределенное ограничение сканирования устанавливается для учетной записи хранения в одном календарном месяце, операция сканирования будет автоматически остановлена после достижения этого порогового значения (с отклонением в 20 ГБ), а файлы не будут проверяться для вредоносных программ. Ограничение сбрасывается в конце каждого месяца в полночь в формате UTC. Обновление крышки обычно занимает до часа, чтобы ввести в силу.

По умолчанию устанавливается ограничение в 5 ТБ (5000 ГБ), если определенный механизм ограничения не определен.

Можно задать механизм ограничения для отдельных учетных записей хранения или всей подписки (каждая учетная запись хранения в подписке будет выделена ограничение, определенное на уровне подписки).

Дополнительные затраты на сканирование вредоносных программ

Сканирование вредоносных программ использует другие службы Azure в качестве основы. Это означает, что при включении сканирования вредоносных программ вы также будете взиматься за необходимые службы Azure. К этим службам относятся операции чтения служба хранилища Azure, служба хранилища Azure индексирование BLOB-объектов и уведомления Сетка событий Azure.

Обработка возможных ложных срабатываний и ложных отрицательных

Если у вас есть файл, который вы подозреваете, могут быть вредоносными программами, но не обнаружены (ложные отрицательные) или неправильно обнаружены (ложноположительные), вы можете отправить его нам для анализа с помощью портала отправки образца. В качестве источника выберите Microsoft Defender для хранилища.

Defender для облака позволяет подавлять ложные положительные оповещения. Не забудьте ограничить правило подавления с помощью имени вредоносных программ или хэша файлов.

Сканирование вредоносных программ не блокирует доступ или не изменяет разрешения для отправленного большого двоичного объекта, даже если он является вредоносным.

Ограничения

Неподдерживаемые функции и службы

  • Неподдерживаемые учетные записи хранения: устаревшие учетные записи хранения версии 1 не поддерживаются сканированием вредоносных программ.
  • Неподдерживаемая служба: Файлы Azure не поддерживается сканированием вредоносных программ.
  • Неподдерживаемые регионы: Джио Индия Западная, Южная Корея, Южная Африка.
  • Регионы, поддерживаемые Defender для хранилища, но не с помощью сканирования вредоносных программ. Дополнительные сведения о доступности для Defender для хранилища.
  • Неподдерживаемые типы BLOB-объектов: добавление и страничные BLOB-объекты не поддерживаются для сканирования вредоносных программ.
  • Неподдерживаемое шифрование: зашифрованные BLOB-объекты на стороне клиента не поддерживаются, так как их невозможно расшифровать перед сканированием службой. Однако поддерживается шифрование неактивных данных с помощью управляемого клиентом ключа (CMK).
  • Результаты неподдерживаемого тега индекса: результат сканирования тега индекса не поддерживается в учетных записях хранения с включенным иерархическим пространством имен (Azure Data Lake Storage 2-го поколения).
  • Сетка событий. Разделы сетки событий, не имеющие доступа к общедоступной сети (т. е. подключения к частной конечной точке), не поддерживаются сканированием вредоносных программ в Defender для хранилища.

Ограничение пропускной способности и размера BLOB-объектов

  • Ограничение пропускной способности сканирования: сканирование вредоносных программ может обрабатывать до 2 ГБ в минуту для каждой учетной записи хранения. Если скорость отправки файлов на данный момент превышает это пороговое значение для учетной записи хранения, система пытается сканировать файлы, превышающие ограничение скорости. Если скорость отправки файлов последовательно превышает это пороговое значение, некоторые большие двоичные объекты не будут проверяться.
  • Ограничение на сканирование BLOB-объектов: сканирование вредоносных программ может обрабатывать до 2000 файлов в минуту для каждой учетной записи хранения. Если скорость отправки файлов на данный момент превышает это пороговое значение для учетной записи хранения, система пытается сканировать файлы, превышающие ограничение скорости. Если скорость отправки файлов последовательно превышает это пороговое значение, некоторые большие двоичные объекты не будут проверяться.
  • Ограничение размера БОЛЬШОго двоичного объекта: максимальный размер для сканирования одного большого двоичного объекта составляет 2 ГБ. Большие двоичные объекты, превышающие ограничение, не будут проверяться.

Обновления тегов BLOB-объектов и индексов

После отправки большого двоичного объекта в учетную запись хранения вредоносные программы запускают дополнительную операцию чтения и обновляют тег индекса. В большинстве случаев эти операции не создают значительную нагрузку.

Влияние на операции ввода-вывода и ввода-вывода хранилища в секунду (IOPS)

Несмотря на процесс сканирования, доступ к загруженным данным остается небезопасным, и влияние операций ввода-вывода в секунду хранилища минимально.