惡意代碼掃描簡介
適用於記憶體的 Microsoft Defender 中的惡意代碼掃描可藉由偵測及降低惡意代碼威脅來改善 Azure 儲存體 帳戶的安全性。 它會使用 Microsoft Defender 防毒軟體 來掃描您的記憶體內容,以確保安全性和合規性。
適用於記憶體的 Defender 提供兩種類型的惡意代碼掃描:
上傳惡意代碼掃描:在上傳或修改 Blob 時自動掃描,提供近乎即時的偵測。 這種類型的掃描適用於涉及頻繁用戶上傳的應用程式,例如 Web 應用程式或共同作業平臺。 在上傳內容時掃描內容有助於防止惡意檔案進入您的記憶體環境並傳播到下游。
隨選惡意代碼掃描:可讓您視需要掃描現有的 Blob,使其非常適合事件回應、合規性和主動式安全性。 此掃描類型非常適合藉由掃描所有現有數據、回應安全性警示或準備稽核來建立安全性基準。
這些選項可協助您保護記憶體帳戶、符合合規性需求,以及維護數據完整性。
為何惡意代碼掃描很重要
上傳至雲端記憶體的內容可能會造成惡意代碼,對貴組織構成風險。 掃描惡意代碼的內容有助於防止惡意檔案在您的環境中輸入或傳播。
適用於記憶體的 Defender 中的惡意代碼掃描可協助:
偵測惡意內容:識別並降低惡意代碼威脅。
增強安全性狀態:新增安全性層級以防止惡意代碼傳播。
支持合規性:協助符合法規需求。
簡化安全性管理:提供可大規模設定的雲端原生低維護解決方案。
主要功能
內建 SaaS 解決方案: 允許以零維護大規模啟用簡單功能。
完整的反惡意代碼功能:使用 Microsoft Defender 防毒軟體 進行掃描,並攔截多型和惡意代碼。
全面偵測:掃描所有文件類型,包括 ZIP 和 RAR 檔案等封存,每個 Blob 最多 2 GB(預覽版最多 50 GB)。
彈性掃描選項:根據您的需求提供上傳和隨選掃描。
與安全性警示整合:在 適用於雲端的 Microsoft Defender 中產生詳細的警示。
支援自動化:使用Logic Apps和 Function Apps 等 Azure 服務啟用自動化回應。
合規性和稽核:記錄掃描結果以進行合規性和稽核。
私人端點支援:惡意代碼掃描支援 私人端點,藉由消除公用因特網暴露來確保數據隱私權。
哪種惡意代碼掃描適用於您的需求?
如果您想要立即保護頻繁上傳,則上傳惡意代碼掃描是正確的選擇。 它最適合在 Web 應用程式中掃描使用者上傳的內容、保護共用多媒體資產,以及確保受管制部門的合規性。 如果您需要整合第三方數據、保護共同作業平臺或保護數據管線和機器學習數據集,內部上傳掃描也有效。 如需詳細資訊,請參閱 上傳惡意代碼掃描。
如果您想要建立安全性基準,隨選惡意代碼掃描是不錯的選擇。 它也提供彈性,根據特定需求執行掃描。 隨選掃描非常適合事件回應、合規性和主動式安全性做法。 您可以使用它來自動掃描以響應安全性觸發程式、準備使用排程掃描的稽核,或主動檢查惡意代碼的預存數據。 此外,隨選掃描有助於在封存或交換之前提供客戶保證和驗證數據。 如需詳細資訊,請參閱 隨選惡意代碼掃描。
提供掃描結果
惡意程式碼掃描的掃描結果可透過四種方法取得。 設定之後,您會看到掃描結果作為記憶體帳戶中每個已掃描檔案的 Blob 索引卷標,並在檔案識別為惡意時 適用於雲端的 Microsoft Defender 安全性警示。 您可以選擇設定額外的掃描結果方法,例如事件方格和 Log Analytics;這些方法需要額外的設定。 在下一節中,您將學習不同的掃描結果方法。
掃描結果
Blob 索引標籤
Blob 索引標籤是 Blob 上的中繼資料欄位。 其使用索引鍵/值標記屬性,將儲存體帳戶中的資料分類。 這些標記會自動編製索引,並公開為可搜尋的多維度索引,以便輕鬆地尋找資料。 掃描結果簡潔,顯示 Blob 元數據中的惡意代碼掃描掃描結果和惡意代碼掃描掃描時間 UTC。 其他結果類型(警示、事件、記錄檔)提供詳細資訊。
應用程式可以使用 Blob 索引標籤來自動化工作流程,但不會防竄改。 深入了解設定回應。
注意
索引標籤的存取需要權限。 如需詳細資訊,請參閱 取得、設定及更新 Blob 索引標籤。
適用於雲端的 Defender 安全性警示
偵測到惡意檔案時,適用於雲端的 Microsoft Defender 會產生適用於雲端的 Microsoft Defender 安全性警示。 若要查看警示,前往適用於雲端的 Microsoft Defender 安全性警示。 安全性警示包含檔案的詳細資料和內容、惡意程式碼類型,以及建議的調查和補救步驟。 若要使用這些警示進行補救,您可以:
- 瀏覽至適用於雲端的 Microsoft Defender>安全性警示,在 Azure 入口網站中檢視安全性警示。
- 根據這些警示設定自動化。
- 將安全性警示匯出至 SIEM。 您可以使用 Microsoft Sentinel 連接器,或您選擇的另一個 SIEM,持續匯出安全性警示 Microsoft Sentinel (Microsoft 的 SIEM)。
深入了解回應安全性警示。
事件方格事件
事件方格有助於事件驅動的自動化。 這是以事件形式取得結果且最小延遲的最快方法,您可以將其用於自動化回應。
來自事件方格自訂主題的事件可由多個端點類型取用。 惡意程式碼掃描案例最有用的是:
- 函式應用程式 (先前稱為 Azure 函式) - 使用無伺服器函式執行程式碼,以進行自動回應,例如行動、刪除或隔離。
- Webhook-與應用程式連線。
- 事件中樞和服務匯流排佇列 - 通知下游消費者。 瞭解如何設定惡意代碼掃描, 讓每個掃描結果自動傳送至事件方格主題 以進行自動化。
記錄分析
您可能會想要記錄掃描結果,以取得合規性證明或調查掃描結果。 藉由設定 Log Analytics 工作區目的地,您可以將每個掃描結果儲存在易於查詢的集中式記錄存放庫中。 您可以瀏覽至 Log Analytics 目的地工作區並尋找StorageMalwareScanningResults
資料表,以檢視結果。
深入了解為惡意程式碼掃描設定記錄。
提示
我們邀請您透過實際操作實驗室探索適用於記憶體的Defender中的惡意代碼掃描功能。 請遵循 Ninja 訓練指示,以取得有關如何設定及測試端對端惡意代碼掃描的詳細逐步指南,包括設定掃描結果的回應。 這是「實驗室」專案的一部分,可協助客戶熟悉適用於雲端的 Microsoft Defender,並提供其功能的實際操作體驗。
回應自動化
惡意代碼掃描支援自動化回應,例如刪除或隔離可疑檔案。 這可以使用 Blob 的索引標籤來管理,或藉由設定事件方格事件來進行自動化。 您可以透過下列方式將回應自動化:
- 使用 ABAC 封鎖對未掃描或惡意檔案的存取(以屬性為基礎的 存取控制)。
- 使用 Logic Apps 自動刪除或行動惡意檔案 至隔離區(根據安全性警示),或使用函式應用程式的事件方格(根據掃描結果)。
- 使用事件方格搭配函式應用程式,將清除檔案 轉送至不同的位置。
深入瞭解如何 設定惡意代碼掃描結果的 回應。
惡意代碼掃描設定
啟用惡意程式碼掃描時,您的環境會自動執行下列動作:
- 針對您啟用惡意程式碼掃描的每個儲存體帳戶,會在儲存體帳戶的相同資源群組中建立事件方格系統主題資源,由惡意程式碼掃描服務用來接聽 Blob 上傳觸發程式。 去除此資源會中斷惡意程式碼掃描功能。
- 若要掃描您的數據,惡意代碼掃描服務需要存取您的數據。 在服務啟用期間,會在您的 Azure 訂用帳戶中建立名為
StorageDataScanner
的新資料掃描器資源,並使用系統指派的受控識別來指派。 此資源會獲授與記憶體 Blob 資料擁有者角色指派,以允許其存取您的數據,以供惡意代碼掃描和敏感數據探索之用。 如果您的儲存體帳戶 [網路設定] 設為 [啟用所選虛擬網路的公用網路存取] 和 [IP 尋址],StorageDataScanner
資源會新增至儲存體帳戶 [網路設定] 底下的 [資源實例] 區段,以允許存取並掃描您的資料。 如果您要在訂用帳戶層級啟用惡意代碼掃描,則會在 Azure 訂用帳戶中建立名為StorageAccounts/securityOperators/DefenderForStorageSecurityOperator
的新資源。 此資源會指派系統管理的身分識別。 它用來在現有的記憶體帳戶上啟用及修復適用於記憶體的Defender和惡意代碼掃描組態。 此外,它會檢查訂用帳戶中建立的新記憶體帳戶,以啟用惡意代碼掃描。 此資源具有啟用惡意代碼掃描所需許可權的特定角色指派。
注意
惡意程式碼掃描取決於特定資源、身分識別和網路設定,才能正常運作。 如果您修改或刪除其中任何一項,惡意程式碼掃描將會停止運作。 若要還原其正常作業,您可以再次將其關閉並開啟。
支援的內容和限制
支援的內容
檔類型: 所有文件類型,包括 ZIP 檔案等封存。
檔案大小: Blob 大小上限為 2 GB(預覽版最多 50 GB)。
限制
不支援的記憶體帳戶: 不支援舊版 v1 儲存體帳戶。
不支援的服務:惡意代碼掃描不支援 Azure 檔案儲存體。
不支援的 Blob 類型:不支援附加 Blob 和分頁 Blob。
不支援的加密: 無法掃描用戶端加密的 Blob,因為服務無法解密它們。 支援使用客戶管理的金鑰 (CMK) 加密待用 Blob。
不支援的通訊協定: 不會掃描透過網路文件系統 (NFS) 3.0 通訊協定上傳的 Blob。
Blob 索引標籤: 已啟用階層命名空間的記憶體帳戶不支援索引標籤(Azure Data Lake Storage Gen2)。
不支援的區域: 某些區域尚未支援惡意代碼掃描。 服務會持續擴充至新的區域。 如需支援區域的最新清單,請參閱 適用於雲端的 Defender 可用性。
其他成本
Azure 服務:惡意代碼掃描會使用其他 Azure 服務,這可能會產生進一步的成本:
- Azure 儲存體 讀取作業
- Azure 儲存體 Blob 索引編製
- Azure 事件方格事件
Blob 掃描和對 IOPS 的影響
每次惡意代碼掃描服務掃描檔案時,都會觸發另一個讀取作業,並更新索引標記。 這適用於上傳時掃描,這會在上傳或修改 Blob 之後發生,以及隨選掃描。 儘管有這些作業,但掃描數據的存取仍不受影響。 對記憶體每秒輸入/輸出作業的影響很小,可確保這些作業通常不會造成大量負載。
惡意代碼掃描無效的案例
雖然惡意代碼掃描提供完整的偵測功能,但有一些特定案例會因為固有的限制而變得無效。 請務必先仔細評估這些案例,再決定在記憶體帳戶上啟用惡意代碼掃描:
- 區塊化數據: 惡意代碼掃描不會有效地偵測包含區塊數據的 Blob 中的惡意代碼,例如,檔案分割成較小的部分。 此問題常見於備份服務,以區塊將備份數據上傳至記憶體帳戶。 掃描程式可能會遺漏惡意內容或錯誤標幟清除內容,導致誤判和誤判。 若要降低此風險,請考慮實作進一步的安全性措施,例如掃描數據、進行區塊化或完全重新組合之後。
- 加密的數據: 惡意代碼掃描不支援用戶端加密的數據。 此數據無法由服務解密,這表示這些加密 Blob 內的任何惡意代碼都無法偵測到。 如果需要加密,請確定掃描會在加密程式之前進行,或使用支援加密方法,例如客戶自控密鑰 (CMK) 進行待用加密。 決定啟用惡意代碼掃描時,請考慮是否將其他支援的檔案上傳至記憶體帳戶。 此外,評估攻擊者是否可以利用此上傳串流來引進惡意代碼。
Azure 儲存體 與端點環境之間的惡意代碼偵測差異
適用於儲存體的 Defender 會使用與適用於端點之 Defender 相同的反惡意程式碼引擎和最新簽章來掃描惡意程式碼。 不過,當檔案上傳至 Azure 儲存體時,它們缺少反惡意程式碼引擎相依的特定中繼資料。 相較於適用於端點的 Defender 所識別的偵測 Azure 儲存體,這種缺乏元數據可能會導致較高的偵測率,稱為「誤判」。
以下是遺漏中繼資料的一些範例:
Web 標記 (MOTW):MOTW 是一項 Windows 安全性功能,可追蹤從網際網路下載的檔案。 不過,當檔案上傳至 Azure 儲存體 時,不會保留此元數據。
檔案路徑內容: 在標準操作系統上,檔案路徑可以提供更多內容以進行威脅偵測。 例如,嘗試修改系統位置的檔案會
C:\Windows\System32
標示為可疑,並受到進一步分析。 在 Azure 儲存體 中,Blob 內特定檔案路徑的內容無法以相同方式使用。行為資料:適用於儲存體的 Defender 會分析檔案內容,而不執行檔案。 它會檢查檔案,並可能模擬其執行來檢查惡意代碼。 不過,此方法可能不會偵測某些類型的惡意代碼,這些惡意代碼只會在執行期間顯示其惡意性質。
存取和數據隱私權
數據存取需求
惡意代碼掃描服務需要存取您的數據以掃描惡意代碼。 服務啟用期間會在您的 Azure 訂用帳戶建立名為 StorageDataScanner
的新資料掃描程式資源。 此資源會指派系統指派的受控識別,並提供記憶體 Blob 數據擁有者角色指派,以存取和掃描您的數據。
如果您的記憶體帳戶網路設定設為 [從選取的虛擬網路和IP位址啟用公用網路存取],則會 StorageDataScanner
將資源新增至記憶體帳戶網路設定下的 [資源實例] 區段,以允許掃描存取。
數據隱私權和區域處理
區域處理: 掃描發生在與儲存體帳戶相同的 Azure 區域內,以符合數據落地需求。
數據處理: 掃描的檔案不會儲存。 在某些情況下,檔案元數據(例如 SHA-256 哈希)可能會與 適用於端點的 Microsoft Defender 共用,以進行進一步分析。
處理可能的誤判和誤判
誤判
當系統錯誤地將良性檔案識別為惡意時,就會發生誤判。 若要解決這些問題:
提交以供分析
使用範例提交入口網站報告誤判。
在提交時,選取 [Microsoft適用於記憶體的Defender] 作為來源。
隱藏警示
- 在 適用於雲端的 Defender 中建立歸併規則,以防止特定的週期性誤判警示。
解決未偵測到的惡意代碼 (誤判)
當系統無法偵測到惡意檔案時,會發生誤判。 如果您懷疑發生這種情況,您可以提交檔案以透過範例提交入口網站進行分析,以報告未偵測到的惡意代碼。 請務必盡可能包含內容,以說明為何您認為檔案是惡意的。
注意
定期報告誤判和負數有助於改善一段時間惡意代碼偵測系統的精確度。