Share via

Genomsökning av skadlig kod i Defender för lagring

  • Artikel

Genomsökning av skadlig kod i Defender for Storage hjälper till att skydda Azure Blob Storage från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid med hjälp av Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskraven för hantering av obetrott innehåll.

Funktionen För skanning av skadlig kod är en agentlös SaaS-lösning som möjliggör enkel installation i stor skala, utan underhåll, och som stöder automatisering av svar i stor skala.

Diagram som visar hur genomsökning av skadlig kod skyddar dina data från skadlig kod.

Uppladdning av skadlig kod är ett stort hot i molnlagringen

Innehåll som laddas upp till molnlagring kan vara skadlig kod. Lagringskonton kan vara en startpunkt för skadlig kod i organisationen och en distributionsplats för skadlig kod. För att skydda organisationer från det här hotet måste innehåll i molnlagringen genomsökas efter skadlig kod innan det används.

Genomsökning av skadlig kod i Defender for Storage hjälper till att skydda lagringskonton från skadligt innehåll

  • En inbyggd SaaS-lösning som möjliggör enkel aktivering i stor skala utan underhåll.
  • Omfattande funktioner för program mot skadlig kod med hjälp av Microsoft Defender Antivirus (MDAV) som fångar polymorf och metamorf skadlig kod.
  • Varje filtyp genomsöks (inklusive arkiv som zip-filer) och ett resultat returneras för varje genomsökning. Filstorleksgränsen är 2 GB.
  • Stöder svar i stor skala – ta bort eller kvartera misstänkta filer baserat på blobarnas indextaggar eller Event Grid-händelser.
  • När genomsökningen av skadlig kod identifierar en skadlig fil genereras detaljerade Microsoft Defender för molnet säkerhetsaviseringar.
  • Utformad för att uppfylla säkerhets- och efterlevnadskrav för genomsökning av obetrott innehåll som laddats upp till lagring, inklusive ett alternativ för att logga varje genomsökningsresultat.

Vanliga användningsfall och scenarier

Några vanliga användningsfall och scenarier för genomsökning av skadlig kod i Defender for Storage är:

  • Webbprogram: Många molnwebbprogram tillåter användare att ladda upp innehåll till lagring. Detta möjliggör lågt underhåll och skalbar lagring för program som skatteappar, CV-uppladdning av HR-webbplatser och uppladdning av kvitton.

  • Innehållsskydd: tillgångar som videor och foton delas och distribueras ofta i stor skala både internt och till externa parter. CDN(Content Delivery Network) och innehållshubbar är en klassisk distributionsmöjlighet för skadlig kod.

  • Efterlevnadskrav: resurser som följer efterlevnadsstandarder som NIST, SWIFT, GDPR och andra kräver robusta säkerhetsrutiner, bland annat genomsökning av skadlig kod. Det är viktigt för organisationer som arbetar i reglerade branscher eller regioner.

  • Tredjepartsintegrering: Data från tredje part kan komma från en mängd olika källor, och alla kan inte ha robusta säkerhetsrutiner, till exempel affärspartner, utvecklare och entreprenörer. Genomsökning efter skadlig kod hjälper till att säkerställa att dessa data inte medför säkerhetsrisker för systemet.

  • Samarbetsplattformar: på samma sätt som fildelning använder team molnlagring för kontinuerlig delning av innehåll och samarbete mellan team och organisationer. Genomsökning efter skadlig kod säkerställer säkert samarbete.

  • Datapipelines: data som flyttas genom ETL-processer (extrahera, överföra, läsa in) kan komma från flera källor och kan innehålla skadlig kod. Genomsökning efter skadlig kod kan bidra till att säkerställa integriteten för dessa pipelines.

  • Maskininlärningsträningsdata: kvaliteten och säkerheten för träningsdata är avgörande för effektiva maskininlärningsmodeller. Det är viktigt att se till att dessa datauppsättningar är rena och säkra, särskilt om de innehåller användargenererat innehåll eller data från externa källor.

    animerad GIF som visar användargenererat innehåll och data från externa källor.

Kommentar

Genomsökning av skadlig kod är en nästan realtidstjänst. Genomsökningstiderna kan variera beroende på den skannade filstorleken eller filtypen samt på belastningen på tjänsten eller på lagringskontot. Microsoft arbetar ständigt med att minska den totala genomsökningstiden, men du bör ta hänsyn till den här variabiliteten i genomsökningstider när du utformar en användarupplevelse baserad på tjänsten.

Förutsättningar

Om du vill aktivera och konfigurera skanning av skadlig kod måste du ha ägarroller (till exempel prenumerationsägare eller lagringskontoägare) eller specifika roller med nödvändiga dataåtgärder. Läs mer om de behörigheter som krävs.

Du kan aktivera och konfigurera skanning av skadlig kod i stor skala för dina prenumerationer samtidigt som du har detaljerad kontroll över hur du konfigurerar funktionen för enskilda lagringskonton. Det finns flera sätt att aktivera och konfigurera skanning av skadlig kod: Inbyggd Azure-princip (den rekommenderade metoden), programmatiskt med hjälp av infrastruktur som kodmallar, inklusive Terraform-, Bicep- och ARM-mallar, med hjälp av Azure-portalen eller direkt med REST-API:et.

Hur fungerar skanning av skadlig kod

Genomsökning av skadlig kod vid uppladdning

Utlösare vid uppladdning

Genomsökningar av skadlig kod utlöses i ett skyddat lagringskonto av alla åtgärder som resulterar i en BlobCreated händelse, enligt vad som anges i Azure Blob Storage som en Event Grid-källsida . Dessa åtgärder omfattar den första uppladdningen av nya blobar, överskrivning av befintliga blobar och slutförande av ändringar i blobar via specifika åtgärder. Slutförandeåtgärder kan omfatta PutBlockList, som monterar blockblobar från flera block, eller FlushWithClose, som checkar in data som läggs till i en blob i Azure Data Lake Storage Gen2.

Kommentar

Inkrementella åtgärder som AppendFile i Azure Data Lake Storage Gen2 och PutBlock i Azure BlockBlob, som gör att data kan läggas till utan omedelbar slutförande, utlöser inte en sökning efter skadlig kod på egen hand. En skanning av skadlig kod initieras endast när dessa tillägg har bekräftats officiellt: FlushWithClose genomför och slutför AppendFile åtgärder, utlöser en genomsökning och PutBlockList genomför block i BlockBlob och initierar en genomsökning. Att förstå den här skillnaden är avgörande för att effektivt hantera genomsökningskostnader, eftersom varje incheckning kan leda till en ny genomsökning och potentiellt öka kostnaderna på grund av flera genomsökningar av inkrementellt uppdaterade data.

Sök igenom regioner och datakvarhållning

Tjänsten för genomsökning av skadlig kod som använder Microsoft Defender Antivirus-tekniker läser bloben. Genomsökning av skadlig kod söker igenom innehållet "i minnet" och tar bort skannade filer omedelbart efter genomsökning. Innehållet behålls inte. Genomsökningen sker inom samma region för lagringskontot. I vissa fall, när en fil är misstänkt och mer data krävs, kan skanning av skadlig kod dela filmetadata utanför genomsökningsregionen, inklusive metadata som klassificerats som kunddata (till exempel SHA-256-hash) med Microsoft Defender för Endpoint.

Få åtkomst till kunddata

Tjänsten För skanning av skadlig kod krävs åtkomst till dina data för att söka igenom dina data efter skadlig kod. Under tjänstaktivering skapas en ny dataskannerresurs med namnet StorageDataScanner i din Azure-prenumeration. Den här resursen beviljas med en rolltilldelning för lagringsblobdataägare för att komma åt och ändra dina data för genomsökning av skadlig kod och identifiering av känsliga data.

Privat slutpunkt stöds direkt

Genomsökning av skadlig kod i Defender for Storage stöds i lagringskonton som använder privata slutpunkter samtidigt som datasekretessen upprätthålls.

Privata slutpunkter ger säker anslutning till dina Azure-lagringstjänster, vilket eliminerar exponering för offentligt Internet och anses vara en bästa praxis.

Konfigurera skanning av skadlig kod

När genomsökning av skadlig kod är aktiverat utförs följande åtgärder automatiskt i din miljö:

  • För varje lagringskonto som du aktiverar skanning av skadlig kod på skapas en Event Grid System Topic-resurs i samma resursgrupp för lagringskontot – som används av tjänsten för genomsökning av skadlig kod för att lyssna på blobuppladdningsutlösare. Om du tar bort den här resursen bryts funktionen för genomsökning av skadlig kod.

  • För att kunna söka igenom dina data kräver tjänsten För skanning av skadlig kod åtkomst till dina data. Under tjänstaktivering skapas en ny dataskannerresurs med namnet StorageDataScanner i din Azure-prenumeration och tilldelas med en systemtilldelad hanterad identitet. Den här resursen beviljas med rolltilldelningen Lagringsblobdataägare som gör att den kan komma åt dina data i syfte att skanna skadlig kod och identifiera känsliga data.

Om ditt lagringskonto Nätverkskonfiguration är inställt på Aktivera åtkomst till offentligt nätverk från valda virtuella nätverk och IP-adresserad läggs resursen StorageDataScanner till i avsnittet Resursinstanser under lagringskontot Nätverkskonfiguration för att tillåta åtkomst till genomsökning av dina data.

Om du aktiverar skanning av skadlig kod på prenumerationsnivå skapas en ny säkerhetsoperatörsresurs som heter StorageAccounts/securityOperators/DefenderForStorageSecurityOperator i din Azure-prenumeration och tilldelas en systemhanterad identitet. Den här resursen används för att aktivera och reparera Defender for Storage- och Malware Scanning-konfigurationen på befintliga lagringskonton och söka efter nya lagringskonton som skapats i prenumerationen som ska aktiveras. Den här resursen har rolltilldelningar som innehåller de specifika behörigheter som krävs för att aktivera skanning av skadlig kod.

Kommentar

Genomsökning av skadlig kod beror på att vissa resurser, identiteter och nätverksinställningar fungerar korrekt. Om du ändrar eller tar bort något av dessa slutar sökningen av skadlig kod att fungera. Om du vill återställa den normala åtgärden kan du inaktivera den och aktivera den igen.

Tillhandahålla genomsökningsresultat

Genomsökningsresultat för skadlig kod är tillgängliga via fyra metoder. Efter installationen visas genomsökningsresultat som blobindextaggar för varje uppladdad och genomsökt fil i lagringskontot och som Microsoft Defender för molnet säkerhetsaviseringar när en fil identifieras som skadlig.

Du kan välja att konfigurera extra genomsökningsresultatmetoder, till exempel Event Grid och Log Analytics. Dessa metoder kräver extra konfiguration. I nästa avsnitt får du lära dig mer om de olika metoderna för genomsökningsresultat.

Diagram som visar flödet av visning och användning av resultat från genomsökning av skadlig kod.

Genomsökningsresultat

Blobindextaggar

Blobindextaggar är metadatafält på en blob. De kategoriserar data i ditt lagringskonto med hjälp av taggattribut för nyckel/värde. Dessa taggar indexeras automatiskt och exponeras som ett sökbart flerdimensionellt index för att enkelt hitta data. Genomsökningsresultaten är koncisa och visar resultatet av skanning av skadlig kod och genomsökningstid för skadlig kod UTC i blobmetadata. Andra resultattyper (aviseringar, händelser, loggar) innehåller mer information om typen av skadlig kod och filuppladdning.

Skärmbild som visar ett exempel på en blobindextagg.

Blobindextaggar kan användas av program för att automatisera arbetsflöden, men är inte manipulationsbeständiga. Läs mer om hur du konfigurerar svar.

Kommentar

Åtkomst till indextaggar kräver behörigheter. Mer information finns i Hämta, ange och uppdatera blobindextaggar.

Defender för molnet säkerhetsaviseringar

När en skadlig fil identifieras genererar Microsoft Defender för molnet en Microsoft Defender för molnet säkerhetsavisering. Om du vill se aviseringen går du till Microsoft Defender för molnet säkerhetsaviseringar. Säkerhetsaviseringen innehåller information och kontext för filen, typen av skadlig kod och rekommenderade undersöknings- och reparationssteg. Om du vill använda dessa aviseringar för reparation kan du:

  1. Visa säkerhetsaviseringar i Azure-portalen genom att gå till Microsoft Defender för molnet> Säkerhetsaviseringar.
  2. Konfigurera automatiseringar baserat på dessa aviseringar.
  3. Exportera säkerhetsaviseringar till en SIEM. Du kan kontinuerligt exportera säkerhetsaviseringar Microsoft Sentinel (Microsofts SIEM) med hjälp av Microsoft Sentinel-anslutningsappen eller någon annan SIEM som du väljer.

Läs mer om hur du svarar på säkerhetsaviseringar.

Event Grid-händelse

Event Grid är användbart för händelsedriven automatisering. Det är den snabbaste metoden för att få resultat med minsta svarstid i en form av händelser som du kan använda för att automatisera svar.

Händelser från anpassade Event Grid-ämnen kan användas av flera slutpunktstyper. Det mest användbara för scenarier för skanning av skadlig kod är:

  • Funktionsapp (tidigare kallad Azure Function) – använd en serverlös funktion för att köra kod för automatiserade svar som att flytta, ta bort eller placera dem i karantän.
  • Webhook – för att ansluta ett program.
  • Event Hubs och Service Bus Queue – för att meddela nedströmsanvändare.

Lär dig hur du konfigurerar skanning av skadlig kod så att varje genomsökningsresultat skickas automatiskt till ett Event Grid-ämne i automatiseringssyfte.

Logganalys

Du kanske vill logga genomsökningsresultaten efter efterlevnadsbevis eller undersöka genomsökningsresultat. Genom att konfigurera ett Log Analytics-arbetsytemål kan du lagra varje genomsökningsresultat i en centraliserad logglagringsplats som är lätt att fråga efter. Du kan visa resultatet genom att navigera till Log Analytics-målarbetsytan och leta StorageMalwareScanningResults efter tabellen.

Läs mer om hur du konfigurerar loggning för genomsökning av skadlig kod.

Dricks

Vi inbjuder dig att utforska funktionen för skanning av skadlig kod i Defender for Storage via vårt praktiska labb. Följ ninjaträningsinstruktionerna för en detaljerad stegvis guide om hur du konfigurerar och testar skanning av skadlig kod från slutpunkt till slutpunkt, inklusive att konfigurera svar på genomsökningsresultat. Det här är en del av labbprojektet som hjälper kunderna att bli upptrappade med Microsoft Defender för molnet och ge praktisk erfarenhet av dess funktioner.

Kostnadskontroll

Genomsökning av skadlig kod debiteras per GB genomsökt. För att ge kostnadsförståbarhet har Malware Scanning stöd för att ange ett tak för hur mycket GB som genomsöks under en månad per lagringskonto.

Viktigt!

Genomsökning av skadlig kod i Defender for Storage ingår inte kostnadsfritt under den första 30-dagars utvärderingsversionen och debiteras från och med den första dagen i enlighet med det prisschema som är tillgängligt på sidan Defender för molnet prissättning.

Mekanismen "capping" är utformad för att ange en månatlig genomsökningsgräns, mätt i gigabyte (GB), för varje lagringskonto, som fungerar som en effektiv kostnadseffektiv kontroll. Om en fördefinierad genomsökningsgräns upprättas för ett lagringskonto under en enda kalendermånad stoppas genomsökningsåtgärden automatiskt när det här tröskelvärdet har nåtts (med upp till 20 GB avvikelse) och filer söks inte efter skadlig kod. Taket återställs i slutet av varje månad vid midnatt UTC. Det tar vanligtvis upp till en timme att uppdatera taket.

Som standard upprättas en gräns på 5 TB (5 000 GB) om ingen specifik begränsningsmekanism har definierats.

Dricks

Du kan ange begränsningsmekanismen för enskilda lagringskonton eller för en hel prenumeration (varje lagringskonto i prenumerationen allokeras den gräns som definierats på prenumerationsnivå).

Följ dessa steg för att konfigurera begränsningsmekanismen.

Ytterligare kostnader för skanning av skadlig kod

Genomsökning av skadlig kod använder andra Azure-tjänster som grund. Det innebär att när du aktiverar skanning av skadlig kod debiteras du även för de Azure-tjänster som krävs. Dessa tjänster omfattar Azure Storage-läsåtgärder, Azure Storage-blobindexering och Azure Event Grid-meddelanden.

Hantera möjliga falska positiva identifieringar och falska negativa

Om du har en fil som du misstänker kan vara skadlig kod men inte identifieras (falskt negativt) eller är felaktigt identifierad (falsk positiv) kan du skicka den till oss för analys via exempelöverföringsportalen. Välj "Microsoft Defender för lagring" som källa.

Defender för molnet gör att du kan förhindra falska positiva aviseringar. Se till att begränsa undertryckningsregeln med hjälp av namnet på skadlig kod eller filhash.

Genomsökning av skadlig kod blockerar inte automatiskt åtkomst eller ändrar behörigheter till den uppladdade bloben, även om den är skadlig.

Begränsningar

Funktioner och tjänster som inte stöds

  • Lagringskonton som inte stöds: Äldre v1-lagringskonton stöds inte av genomsökning av skadlig kod.

  • Tjänsten stöds inte: Azure Files stöds inte av genomsökning av skadlig kod.

  • Regioner som inte stöds: Jio Indien, västra, Sydkorea, södra, Sydafrika, västra.

  • Regioner som stöds av Defender för Lagring men inte av genomsökning av skadlig kod. Läs mer om tillgänglighet för Defender för lagring.

  • Blobtyper som inte stöds: Tilläggs- och sidblobar stöds inte för skanning av skadlig kod.

  • Kryptering som inte stöds: Krypterade blobar på klientsidan stöds inte eftersom de inte kan dekrypteras innan de genomsöks av tjänsten. Data som krypteras i vila av kundhanterad nyckel (CMK) stöds dock.

  • Resultat av indextagg som inte stöds: Resultat av genomsökning av indextagg stöds inte i lagringskonton med hierarkiskt namnområde aktiverat (Azure Data Lake Storage Gen2).

  • Event Grid: Event Grid-ämnen som inte har åtkomst till offentligt nätverk aktiverat (dvs. privata slutpunktsanslutningar) stöds inte av skanning av skadlig kod i Defender for Storage.

Kapacitet för dataflöde och blobstorleksgräns

  • Hastighetsgräns för genomsökning av dataflöde: Genomsökning av skadlig kod kan bearbeta upp till 2 GB per minut för varje lagringskonto. Om filuppladdningshastigheten tillfälligt överskrider det här tröskelvärdet för ett lagringskonto försöker systemet genomsöka filerna utöver hastighetsgränsen. Om filuppladdningshastigheten konsekvent överskrider det här tröskelvärdet genomsöks inte vissa blobar.
  • Gräns för blobgenomsökning: Genomsökning av skadlig kod kan bearbeta upp till 2 000 filer per minut för varje lagringskonto. Om filuppladdningshastigheten tillfälligt överskrider det här tröskelvärdet för ett lagringskonto försöker systemet genomsöka filerna utöver hastighetsgränsen. Om filuppladdningshastigheten konsekvent överskrider det här tröskelvärdet genomsöks inte vissa blobar.
  • Gräns för blobstorlek: Den maximala storleksgränsen för en enskild blob som ska genomsökas är 2 GB. Blobbar som är större än gränsen genomsöks inte.

Uppdateringar av blobuppladdningar och indextagg

När du laddar upp en blob till lagringskontot initierar genomsökningen av skadlig kod en extra läsåtgärd och uppdaterar indextaggen. I de flesta fall genererar dessa åtgärder inte någon större belastning.

Påverkan på åtkomst och lagrings-IOPS

Trots genomsökningsprocessen påverkas inte åtkomsten till uppladdade data, och påverkan på lagringsindata/utdataåtgärder per sekund (IOPS) är minimal.

Nästa steg

Läs mer om hur du konfigurerar svar för genomsökningsresultat för skadlig kod.