Analisi di malware in Defender per Archiviazione

  • Articolo

L'analisi malware in Defender per Archiviazione consente di proteggere i Archiviazione BLOB di Azure da contenuti dannosi eseguendo un'analisi completa del malware sui contenuti caricati quasi in tempo reale, usando Antivirus Microsoft Defender funzionalità. È progettato per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili.

La funzionalità di analisi malware è una soluzione SaaS senza agente che consente una configurazione semplice su larga scala, senza manutenzione e supporta l'automazione della risposta su larga scala.

Diagram showing how malware scanning protects your data from malicious code.

Il caricamento di malware è una minaccia principale nell'archiviazione cloud

Il contenuto caricato nell'archiviazione cloud potrebbe essere malware. Archiviazione account possono essere un punto di ingresso malware nell'organizzazione e un punto di distribuzione malware. Per proteggere le organizzazioni da questa minaccia, è necessario analizzare il contenuto nell'archiviazione cloud per individuare il malware prima di accedervi.

L'analisi di malware in Defender per Archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi

  • Soluzione SaaS predefinita che consente di abilitare in modo semplice su larga scala senza manutenzione.
  • Funzionalità antimalware complete che usano Antivirus Microsoft Defender (MDAV), rilevando malware polimorfico e metamorfico.
  • Ogni tipo di file viene analizzato (inclusi gli archivi come i file ZIP) e viene restituito un risultato per ogni analisi. Il limite di dimensioni del file è 2 GB.
  • Supporta la risposta su larga scala, eliminando o mettendo in quarantena i file sospetti, in base ai tag di indice dei BLOB o agli eventi di Griglia di eventi.
  • Quando l'analisi malware identifica un file dannoso, vengono generati Microsoft Defender per il cloud avvisi di sicurezza dettagliati.
  • Progettato per soddisfare i requisiti di sicurezza e conformità per analizzare i contenuti non attendibili caricati nell'archiviazione, inclusa un'opzione per registrare ogni risultato dell'analisi.

Casi d'uso e scenari comuni

Alcuni casi d'uso e scenari comuni per l'analisi di malware in Defender per Archiviazione includono:

  • Applicazioni Web: molte applicazioni Web cloud consentono agli utenti di caricare il contenuto nell'archiviazione. In questo modo è possibile eseguire operazioni di manutenzione e archiviazione scalabili per applicazioni come le app fiscali, i siti HR di caricamento cv e il caricamento delle ricevute.

  • Protezione del contenuto: gli asset come video e foto vengono comunemente condivisi e distribuiti su larga scala sia internamente che a parti esterne. rete CDN (rete per la distribuzione di contenuti) e gli hub del contenuto rappresentano un'opportunità di distribuzione di malware classica.

  • Requisiti di conformità: le risorse conformi agli standard di conformità come NIST, SWIFT, GDPR e altri richiedono procedure di sicurezza affidabili, tra cui l'analisi malware. È fondamentale per le organizzazioni che operano in settori o aree regolamentate.

  • Integrazione di terze parti: i dati di terze parti possono provenire da un'ampia gamma di origini e non tutti possono avere procedure di sicurezza affidabili, ad esempio partner commerciali, sviluppatori e terzisti. L'analisi del malware consente di garantire che questi dati non introducono rischi per la sicurezza per il sistema.

  • Piattaforme collaborative: analogamente alla condivisione di file, i team usano l'archiviazione cloud per condividere continuamente i contenuti e collaborare tra team e organizzazioni. L'analisi del malware garantisce una collaborazione sicura.

  • Pipeline di dati: i dati che si spostano attraverso processi ETL (Extract, Transfer, Load) possono provenire da più origini e possono includere malware. L'analisi del malware può contribuire a garantire l'integrità di queste pipeline.

  • Dati di training di Machine Learning: la qualità e la sicurezza dei dati di training sono fondamentali per i modelli di Machine Learning efficaci. È importante assicurarsi che questi set di dati siano puliti e sicuri, soprattutto se includono contenuto generato dall'utente o dati da origini esterne.

    animated GIF showing user-generated-content and data from external sources.

Nota

L'analisi malware è un servizio quasi in tempo reale. I tempi di analisi possono variare a seconda delle dimensioni o del tipo di file analizzato, nonché del carico sul servizio o sull'account di archiviazione. Microsoft sta costantemente lavorando per ridurre il tempo di analisi complessivo, tuttavia è consigliabile prendere in considerazione questa variabilità nei tempi di analisi durante la progettazione di un'esperienza utente basata sul servizio.

Prerequisiti

Per abilitare e configurare l'analisi malware, è necessario avere ruoli di proprietario (ad esempio proprietario della sottoscrizione o proprietario dell'account Archiviazione) o ruoli specifici con le azioni di dati necessarie. Altre informazioni sulle autorizzazioni necessarie.

È possibile abilitare e configurare l'analisi malware su larga scala per le sottoscrizioni mantenendo un controllo granulare sulla configurazione della funzionalità per i singoli account di archiviazione. Esistono diversi modi per abilitare e configurare l'analisi malware: criteri predefiniti di Azure (metodo consigliato), a livello di codice usando Infrastruttura come modelli di codice, inclusi i modelli Terraform, Bicep e ARM, usando il portale di Azure o direttamente con l'API REST.

Funzionamento dell'analisi malware

Analisi malware on-upload

Trigger on-upload

Quando un BLOB viene caricato in un account di archiviazione protetto, viene attivata un'analisi malware. Tutti i metodi di caricamento attivano l'analisi. La modifica di un BLOB è un'operazione di caricamento e quindi il contenuto modificato viene analizzato dopo l'aggiornamento.

Analizzare aree e conservazione dei dati

Il servizio di analisi malware che usa tecnologie di Antivirus Microsoft Defender legge il BLOB. Analisi malware analizza il contenuto "in memoria" ed elimina i file analizzati immediatamente dopo l'analisi. Il contenuto non viene conservato. L'analisi viene eseguita all'interno della stessa area dell'account di archiviazione. In alcuni casi, quando un file è sospetto e sono necessari più dati, l'analisi malware potrebbe condividere i metadati di file all'esterno dell'area di analisi, inclusi i metadati classificati come dati dei clienti (ad esempio, hash SHA-256), con Microsoft Defender per endpoint.

Accedere ai dati dei clienti

Il servizio analisi malware richiede l'accesso ai dati per analizzare i dati per individuare malware. Durante l'abilitazione del servizio, viene creata una nuova risorsa dello scanner di dati denominata Archiviazione DataScanner nella sottoscrizione di Azure. Questa risorsa viene concessa con un'assegnazione di ruolo proprietario dei dati BLOB Archiviazione per accedere e modificare i dati per l'analisi malware e l'individuazione dei dati sensibili.

L'endpoint privato è supportato per impostazione predefinita

L'analisi di malware in Defender per Archiviazione è supportata negli account di archiviazione che usano endpoint privati mantenendo al contempo la privacy dei dati.

Gli endpoint privati offrono connettività sicura ai servizi di archiviazione di Azure, eliminando l'esposizione a Internet pubblico e sono considerati una procedura consigliata.

Configurare l'analisi malware

Quando l'analisi malware è abilitata, le azioni seguenti vengono eseguite automaticamente nell'ambiente:

  • Per ogni account di archiviazione in cui si abilita l'analisi malware, viene creata una risorsa argomento di sistema di Griglia di eventi nello stesso gruppo di risorse dell'account di archiviazione, usata dal servizio di analisi malware per ascoltare i trigger di caricamento dei BLOB. La rimozione di questa risorsa interrompe la funzionalità di analisi malware.

  • Per analizzare i dati, il servizio Analisi malware richiede l'accesso ai dati. Durante l'abilitazione del servizio, viene creata una nuova risorsa dello scanner di dati denominata StorageDataScanner nella sottoscrizione di Azure e assegnata con un'identità gestita assegnata dal sistema. Questa risorsa viene concessa con l'assegnazione di ruolo proprietario dei dati BLOB Archiviazione per consentire l'accesso ai dati ai fini dell'analisi malware e dell'individuazione dei dati sensibili.

Se la configurazione di rete dell'account di archiviazione è impostata su Abilita l'accesso alla rete pubblica da reti virtuali selezionate e indirizzi IP, la StorageDataScanner risorsa viene aggiunta alla sezione Istanze di risorse in Configurazione rete dell'account di archiviazione per consentire l'accesso per analizzare i dati.

Se si abilita l'analisi malware a livello di sottoscrizione, viene creata una nuova risorsa Operatore di sicurezza denominata StorageAccounts/securityOperators/DefenderForStorageSecurityOperator nella sottoscrizione di Azure e assegnata con un'identità gestita dal sistema. Questa risorsa viene usata per abilitare e ripristinare la configurazione di Defender per Archiviazione e analisi malware negli account di archiviazione esistenti e verificare la presenza di nuovi account di archiviazione creati nella sottoscrizione da abilitare. Questa risorsa ha assegnazioni di ruolo che includono le autorizzazioni specifiche necessarie per abilitare l'analisi malware.

Nota

L'analisi malware dipende da determinate risorse, identità e impostazioni di rete per funzionare correttamente. Se modifichi o elimini uno di questi, l'analisi malware smetterà di funzionare. Per ripristinare il normale funzionamento, è possibile disattivarlo e riattivarlo.

Fornire i risultati dell'analisi

I risultati dell'analisi malware sono disponibili tramite quattro metodi. Dopo l'installazione, i risultati dell'analisi vengono visualizzati come tag di indice BLOB per ogni file caricato e analizzato nell'account di archiviazione e come Microsoft Defender per il cloud avvisi di sicurezza quando un file viene identificato come dannoso.

È possibile scegliere di configurare metodi aggiuntivi per i risultati dell'analisi, ad esempio Griglia di eventi e Log Analytics. Questi metodi richiedono una configurazione aggiuntiva. Nella sezione successiva verranno illustrati i diversi metodi dei risultati dell'analisi.

Diagram showing flow of viewing and consuming malware scanning results.

Risultati dell'analisi

Tag indice del BLOB

I tag di indice BLOB sono campi di metadati in un BLOB. Classificano i dati nell'account di archiviazione usando gli attributi del tag key-value. Questi tag vengono indicizzati e esposti automaticamente come indice multidimensionale ricercabile per trovare facilmente i dati. I risultati dell'analisi sono concisi, visualizzando i risultati dell'analisi malware e l'ora UTC dell'analisi malware nei metadati del BLOB. Altri tipi di risultati (avvisi, eventi, log) forniscono altre informazioni sul tipo di malware e sull'operazione di caricamento di file.

Screenshot that shows an example of a blob index tag.

I tag di indice BLOB possono essere usati dalle applicazioni per automatizzare i flussi di lavoro, ma non sono resistenti alle manomissioni. Altre informazioni sulla configurazione della risposta.

Nota

L'accesso ai tag di indice richiede autorizzazioni. Per altre informazioni, vedere Ottenere, impostare e aggiornare i tag di indice BLOB.

Defender per il cloud avvisi di sicurezza

Quando viene rilevato un file dannoso, Microsoft Defender per il cloud genera un avviso di sicurezza Microsoft Defender per il cloud. Per visualizzare l'avviso, passare a Microsoft Defender per il cloud avvisi di sicurezza. L'avviso di sicurezza contiene dettagli e contesto sul file, il tipo di malware e i passaggi consigliati per l'analisi e la correzione. Per usare questi avvisi per la correzione, è possibile:

  1. Visualizzare gli avvisi di sicurezza nel portale di Azure passando a Microsoft Defender per il cloud> Avvati di sicurezza.
  2. Configurare le automazione in base a questi avvisi.
  3. Esportare gli avvisi di sicurezza in un sistema SIEM. È possibile esportare continuamente gli avvisi di sicurezza di Microsoft Sentinel (SIEM di Microsoft) usando il connettore microsoft Sentinel o un altro siem di propria scelta.

Altre informazioni sulla risposta agli avvisi di sicurezza.

Evento griglia di eventi

Griglia di eventi è utile per l'automazione basata su eventi. È il metodo più veloce per ottenere risultati con latenza minima sotto forma di eventi che è possibile usare per automatizzare la risposta.

Gli eventi di Griglia di eventi personalizzati possono essere utilizzati da più tipi di endpoint. Gli scenari di analisi malware più utili sono:

  • App per le funzioni (chiamata in precedenza Funzione di Azure): usare una funzione serverless per eseguire codice per una risposta automatizzata, ad esempio spostamento, eliminazione o quarantena.
  • Webhook : per connettere un'applicazione.
  • Hub eventi e coda bus di servizio: per notificare ai consumer downstream.

Informazioni su come configurare l'analisi malware in modo che ogni risultato dell'analisi venga inviato automaticamente a un argomento di Griglia di eventi a scopo di automazione.

Analisi dei log

È possibile registrare i risultati dell'analisi per verificare la conformità o analizzare i risultati dell'analisi. Configurando una destinazione dell'area di lavoro Log Analytics, è possibile archiviare ogni risultato dell'analisi in un repository di log centralizzato facile da eseguire. È possibile visualizzare i risultati passando all'area di lavoro di destinazione Log Analytics e cercando la StorageMalwareScanningResults tabella.

Altre informazioni sulla configurazione della registrazione per l'analisi di malware.

Suggerimento

Ti invitiamo a esplorare la funzionalità analisi malware in Defender per Archiviazione tramite il lab pratico. Seguire le istruzioni di training Ninja per una guida dettagliata dettagliata su come configurare e testare l'analisi di malware end-to-end, inclusa la configurazione delle risposte ai risultati di analisi. Questo è parte del progetto "labs" che aiuta i clienti a crescere con Microsoft Defender per il cloud e fornire esperienza pratica con le sue funzionalità.

Controllo costi

L'analisi malware viene fatturata per GB analizzata. Per garantire la prevedibilità dei costi, l'analisi malware supporta l'impostazione di un limite per la quantità di GB analizzati in un singolo mese per ogni account di archiviazione.

Importante

L'analisi malware in Defender per Archiviazione non è inclusa gratuitamente nella prima versione di valutazione di 30 giorni e verrà addebitata dal primo giorno in base allo schema tariffario disponibile nella pagina dei prezzi Defender per il cloud.

Il meccanismo di "limite" è progettato per impostare un limite di analisi mensile, misurato in gigabyte (GB), per ogni account di archiviazione, che funge da controllo dei costi efficace. Se viene stabilito un limite di analisi predefinito per un account di archiviazione in un singolo mese di calendario, l'operazione di analisi interrompe automaticamente una volta raggiunta questa soglia (con una deviazione massima di 20 GB) e i file non vengono analizzati per individuare malware. Il limite viene reimpostato alla fine di ogni mese a mezzanotte UTC. L'aggiornamento del limite richiede in genere fino a un'ora per rendere effettivo.

Per impostazione predefinita, viene stabilito un limite di 5 TB (5.000 GB) se non è definito alcun meccanismo di limitazione specifico.

Suggerimento

È possibile impostare il meccanismo di limitazione per i singoli account di archiviazione o per un'intera sottoscrizione ( ogni account di archiviazione nella sottoscrizione verrà allocato il limite definito a livello di sottoscrizione).

Seguire questa procedura per configurare il meccanismo di limitazione.

Costi aggiuntivi per l'analisi di malware

L'analisi malware usa altri servizi di Azure come base. Ciò significa che quando si abilita l'analisi malware, verranno addebitati anche i servizi di Azure necessari. Questi servizi includono Archiviazione di Azure operazioni di lettura, Archiviazione di Azure indicizzazione BLOB e notifiche di Griglia di eventi di Azure.

Gestione di possibili falsi positivi e falsi negativi

Se si dispone di un file sospetto potrebbe essere malware, ma non viene rilevato (falso negativo) o viene rilevato erroneamente (falso positivo), è possibile inviarlo a Microsoft per l'analisi tramite il portale di invio di esempio. Selezionare "Microsoft Defender per Archiviazione" come origine.

Defender per il cloud consente di eliminare avvisi falsi positivi. Assicurarsi di limitare la regola di eliminazione usando il nome malware o l'hash del file.

L'analisi malware non blocca automaticamente l'accesso o modifica le autorizzazioni per il BLOB caricato, anche se è dannoso.

Limiti

Funzionalità e servizi non supportati

  • Account di archiviazione non supportati: gli account di archiviazione legacy v1 non sono supportati dall'analisi malware.

  • Servizio non supportato: File di Azure non è supportato dall'analisi malware.

  • Aree non supportate: Jio India occidentale, Corea meridionale, Sudafrica occidentale.

  • Aree supportate da Defender per Archiviazione ma non dall'analisi di malware. Altre informazioni sulla disponibilità per Defender per Archiviazione.

  • Tipi di BLOB non supportati: i BLOB di accodamento e di pagine non sono supportati per l'analisi malware.

  • Crittografia non supportata: i BLOB crittografati sul lato client non sono supportati perché non possono essere decrittografati prima dell'analisi da parte del servizio. I dati crittografati inattivi tramite chiave gestita dal cliente (CMK) sono tuttavia supportati.

  • Risultati dei tag di indice non supportati: il risultato dell'analisi dei tag di indice non è supportato negli account di archiviazione con spazio dei nomi gerarchico abilitato (Azure Data Lake Archiviazione Gen2).

  • Griglia di eventi: gli argomenti di Griglia di eventi che non dispongono dell'accesso alla rete pubblica abilitata (ad esempio le connessioni endpoint private) non sono supportati dall'analisi malware in Defender per Archiviazione.

Capacità effettiva e limite di dimensioni BLOB

  • Limite di velocità effettiva di analisi: l'analisi malware può elaborare fino a 2 GB al minuto per ogni account di archiviazione. Se la frequenza di caricamento dei file supera momentaneamente questa soglia per un account di archiviazione, il sistema tenta di analizzare i file oltre il limite di velocità. Se la frequenza di caricamento dei file supera costantemente questa soglia, alcuni BLOB non verranno analizzati.
  • Limite di analisi BLOB: l'analisi malware può elaborare fino a 2.000 file al minuto per ogni account di archiviazione. Se la frequenza di caricamento dei file supera momentaneamente questa soglia per un account di archiviazione, il sistema tenta di analizzare i file oltre il limite di velocità. Se la frequenza di caricamento dei file supera costantemente questa soglia, alcuni BLOB non verranno analizzati.
  • Limite di dimensioni BLOB: il limite massimo di dimensioni per un singolo BLOB da analizzare è di 2 GB. I BLOB più grandi del limite non verranno analizzati.

Caricamenti blob e aggiornamenti dei tag di indice

Quando si carica un BLOB nell'account di archiviazione, l'analisi malware avvia un'operazione di lettura aggiuntiva e aggiorna il tag di indice. Nella maggior parte dei casi, queste operazioni non generano un carico significativo.

Impatto sull'accesso e sulle operazioni di I/O al secondo di archiviazione

Nonostante il processo di analisi, l'accesso ai dati caricati rimane invariato e l'impatto sulle operazioni di input/output di archiviazione al secondo (IOPS) è minimo.

Passaggi successivi

Altre informazioni su come configurare la risposta per i risultati dell'analisi malware.