Introduction à l’analyse du programme malveillant

L’analyse des logiciels malveillants dans Microsoft Defender pour le stockage améliore la sécurité de vos comptes Azure Storage en détectant et en atténuant les menaces de logiciels malveillants. Il utilise l’Antivirus Microsoft Defender (MDAV) pour analyser votre contenu de stockage, ce qui vous permet de garantir la sécurité et la conformité des données.

Defender pour le stockage propose deux types d’analyse des logiciels malveillants :

• Analyse des programmes malveillants en cours de chargement : analyse automatiquement les objets blob lorsqu’ils sont chargés ou modifiés, en fournissant une détection rapide. Ce type de numérisation est idéal pour les applications qui impliquent des téléchargements fréquents de la part des utilisateurs, comme les applications web ou les plateformes collaboratives. L’analyse du contenu tel qu’il est chargé permet de réduire le risque de fichiers malveillants entrant dans votre environnement de stockage et de propager en aval.

• Analyse des programmes malveillants à la demande : vous permet d’analyser manuellement les objets blob existants chaque fois que nécessaire. Ce type d’analyse est utilisé pour établir une base de référence de sécurité pour les données stockées, répondre aux alertes de sécurité lors de la réponse aux incidents, prendre en charge les exigences de conformité et effectuer des vérifications de sécurité proactives dans votre environnement.

Ces modes d’analyse vous aident à protéger vos comptes de stockage, à répondre aux besoins de conformité et à maintenir l’intégrité des données.

Pourquoi la recherche de logiciels malveillants est-elle importante

Le contenu chargé dans le stockage cloud peut introduire des programmes malveillants et créer des risques de sécurité. L’analyse des programmes malveillants permet d’empêcher les fichiers malveillants d’entrer ou de se propager dans votre environnement.

Les principaux avantages sont les suivants :

• Détection de contenu malveillant : identifie et atténue les programmes malveillants.
• Amélioration de la posture de sécurité : ajoute une couche pour empêcher la propagation de programmes malveillants.
• Prise en charge de la conformité : répond aux exigences réglementaires.
• Simplification de la gestion de la sécurité : fournit une solution cloud native et à faible maintenance configurable à grande échelle.

Fonctionnalités clés

• Solution SaaS intégrée : Simple à activer avec zéro maintenance de l’infrastructure.
• Fonctionnalités avancées de logiciel anti-programme malveillant : Utilise MDAV pour détecter les programmes malveillants polymorphes et métamorphes sur tous les types de fichiers.
• Détection complète : analyse tous les types de fichiers, y compris les archives telles que les fichiers ZIP et RAR, jusqu’à 50 Go par objet blob.
• Options d’analyse flexibles : Fournit à la fois l’analyse lors du téléchargement et à la demande.
• Alertes de sécurité : Génère des alertes détaillées dans Microsoft Defender pour cloud.
• Prise en charge de l’automatisation : S’intègre à Logic Apps, Function Apps et Event Grid pour créer des réponses automatisées pour analyser les résultats.
• Conformité et audit : Journalise les résultats de l’analyse pour les exigences d’audit et de conformité.
• Prise en charge des points de terminaison privés : Prend en charge les points de terminaison privés, ce qui réduit l’exposition à l’Internet public.
• Correction automatisée des programmes malveillants : efface temporairement les objets blob malveillants détectés lors de l'analyse des programmes malveillants au moment du téléchargement et à la demande.

Choisir l’option d’analyse appropriée

Utilisez l’analyse des programmes malveillants au téléchargement si vous avez besoin d’une protection contre les chargements malveillants, idéal pour les applications web, le contenu généré par l’utilisateur, les intégrations de partenaires ou les pipelines de contenu partagé. Pour plus d’informations, consultez Analyse des programmes malveillants en chargement.

Utilisez l’analyse des programmes malveillants à la demande lorsque vous avez besoin de flexibilité de l'analyse, pour établir des niveaux de référence en matière de sécurité, répondre aux alertes ou préparer des audits, ou vérifier les données stockées avant leur archivage ou échange. Pour plus d’informations, consultez Analyse à la demande des programmes malveillants.

Résultats de l’analyse des programmes malveillants

Les résultats de l’analyse des programmes malveillants sont disponibles via quatre méthodes. Après l’installation, vous verrez les résultats de l’analyse en tant que balises d’index d’objet blob pour chaque fichier chargé et analysé dans le compte de stockage, et en tant qu’alertes de sécurité Microsoft Defender pour le cloud lorsqu’un fichier est identifié comme malveillant. Vous pouvez choisir de désactiver l’utilisation des balises d’index d’objet blob dans le portail Azure ou via l’API REST. Vous pouvez également configurer des méthodes de résultat d’analyse supplémentaires, telles que Event Grid et Log Analytics, qui nécessitent une configuration supplémentaire. Les sections suivantes décrivent plus en détail chaque méthode de résultat d’analyse.

Étiquettes d’index d’objet blob

Les balises d’indexation des blobs fournissent des attributs clé-valeur recherchables sur les blobs. Par défaut, Defender pour Stockage écrit les résultats de l’analyse des programmes malveillants sur deux balises d’index sur chaque objet blob analysé :

• Résultat de l’analyse :No threats found, Malicious, ou ErrorNot scanned
• Heure d’analyse (UTC)

Vous pouvez choisir de désactiver l’utilisation des balises d’index d’objet blob dans le portail Azure ou via l’API REST.

Les balises d’index d’objets blob sont conçues pour fournir des résultats d’analyse concis pour les scénarios de filtrage et d’automatisation rapides. Toutefois, les étiquettes d’index ne sont pas résistantes aux falsifications. Les utilisateurs disposant d’autorisations pour modifier les balises peuvent les modifier. Ils ne doivent donc pas être utilisés comme un seul contrôle de sécurité. Pour les flux de travail sensibles à la sécurité, utilisez des alertes, des événements Event Grid ou Log Analytics à la place.

Alertes de sécurité de Microsoft Defender for Cloud

Lorsqu’un fichier malveillant est détecté, Microsoft Defender pour Cloud génère une alerte de sécurité. Ces alertes incluent des détails sur le fichier, le type de programmes malveillants détectés et les étapes d’investigation et de correction recommandées.

Les alertes de sécurité Defender pour cloud sont utiles pour l’examen et la réponse automatisée. Vous pouvez:

• Affichez les alertes de sécurité dans le portail Azure en accédant à Microsoft Defender pour Cloud>alertes de sécurité.
• Configurez les automatisations de flux de travail pour déclencher des actions de correction lorsque des alertes sont générées.
• Exportez des alertes de sécurité vers un système SIEM (Security Information and Event Management). Vous pouvez exporter en continu des alertes vers Microsoft Sentinel à l’aide du connecteur Microsoft Sentinel ou vers un autre SIEM de votre choix.

En savoir plus sur la réponse aux alertes de sécurité.

Événements Event Grid

Event Grid fournit une livraison quasi en temps réel des résultats d’analyse des programmes malveillants pour l’automatisation pilotée par les événements. Cette méthode est facultative et nécessite une configuration supplémentaire, mais elle offre le moyen le plus rapide de déclencher des réponses automatisées en fonction des résultats de l’analyse.

Event Grid prend en charge plusieurs types de points de terminaison pour le traitement des événements, notamment :

• Applications de fonction : exécutez du code serverless pour déplacer, supprimer, mettre en quarantaine ou traiter des fichiers analysés.

• Webhooks : notifier les applications ou services externes.

• Files d’attente Event Hubs et Service Bus : transmettez les événements résultant de l'analyse aux consommateurs en aval ou aux pipelines de traitement.

Event Grid est recommandé lorsque vous avez besoin de flux de travail automatisés à faible latence qui réagissent immédiatement aux résultats de l’analyse des programmes malveillants. En savoir plus sur la configuration d’Event Grid pour l’analyse des programmes malveillants.

Log Analytics

Log Analytics fournit un référentiel centralisé et interrogeable pour les résultats de l’analyse des programmes malveillants. Cette méthode est facultative et nécessite une configuration supplémentaire, mais elle est idéale pour la conformité, l’audit et les enquêtes historiques où des enregistrements détaillés des résultats de l’analyse sont nécessaires.

Lorsque Log Analytics est activé, chaque résultat d’analyse des programmes malveillants est écrit dans la StorageMalwareScanningResults table de l’espace de travail Log Analytics configuré. Vous pouvez interroger cette table pour examiner les résultats de l’analyse, examiner les modèles ou générer des rapports de conformité.

Log Analytics est recommandé pour créer une piste d’audit ou effectuer une analyse approfondie. Pour une automatisation à faible latence, utilisez plutôt des balises d’index d’objet blob ou Event Grid. Découvrez-en davantage sur la configuration de la journalisation pour l’analyse des programmes malveillants.

Correction automatisée des programmes malveillants

L’analyse des programmes malveillants prend en charge les réponses automatisées afin que vous puissiez réagir aux résultats d’analyse immédiatement et de manière cohérente. Vous pouvez créer des automatisations basées sur des balises d’index d’objets blob, des alertes de sécurité Defender pour cloud ou des événements Event Grid, en fonction des besoins de votre flux de travail.

Les modèles de réponse courants sont les suivants :

• Activation de la suppression réversible intégrée pour les fichiers malveillants. Par conséquent, les programmes malveillants détectés sont automatiquement déplacés ou supprimés sans nécessiter de flux de travail personnalisés.

• Blocage de l’accès aux fichiers non testés ou malveillants grâce au Contrôle d'accès basé sur les attributs (ABAC).

• Suppression ou déplacement de fichiers malveillants vers un emplacement de quarantaine à l’aide d’applications logiques déclenchées par des alertes de sécurité ou d’applications de fonction déclenchées par des événements Event Grid.

• Transfert de fichiers propres vers un autre emplacement de stockage à l’aide d’Event Grid avec Function Apps.

En savoir plus sur la configuration des actions de réponse pour l’analyse des programmes malveillants.

Ressources déployées par l’analyse des programmes malveillants

Lorsque l’analyse des programmes malveillants est activée, Defender pour stockage déploie automatiquement plusieurs ressources Azure requises pour les opérations d’analyse :

• Rubrique système Event Grid : Créé dans le même groupe de ressources que le compte de stockage. Cette rubrique système écoute les événements de chargement d’objets blob et déclenche l’analyse des programmes malveillants chargés. La suppression de cette ressource empêche l’analyse des programmes malveillants de fonctionner.

• StorageDataScanner ressource : ressource de service managée créée dans votre abonnement avec une identité managée affectée par le système. Cette identité reçoit le rôle Propriétaire des données blob de stockage afin de pouvoir lire les données blob pour l’analyse des programmes malveillants et la découverte de données sensibles. Il est également ajouté aux règles de liste de contrôle d’accès réseau (ACL) du compte de stockage pour autoriser l’analyse lorsque l’accès au réseau public est restreint.

• DefenderForStorageSecurityOperator ressource (activation au niveau de l’abonnement) : créée lorsque l’analyse des programmes malveillants est activée au niveau de l’abonnement. Cette identité configure, répare et gère les paramètres d’analyse des programmes malveillants sur les comptes de stockage existants et nouvellement créés. Il inclut les attributions de rôles requises pour effectuer ces opérations.

Ces ressources sont requises pour que l’analyse des programmes malveillants fonctionne. Si l’un d’eux est supprimé ou modifié, l’analyse des programmes malveillants peut cesser de fonctionner.

Contenu pris en charge et limitations

Contenu pris en charge

• Types de fichiers : Tous les types de fichiers sont pris en charge, y compris les archives compressées telles que les fichiers ZIP et RAR.

• Taille du fichier : On peut analyser des objets blob jusqu'à 50 Go.

Limitations

• Comptes de stockage non pris en charge : Les comptes de stockage v1 hérités ne sont pas pris en charge.

• Services non pris en charge : Azure Files n’est pas pris en charge.

• Objets blob non pris en charge :les objets blobs Append et Page ne sont pas pris en charge.

• Chiffrement côté client non pris en charge : Les objets blob chiffrés côté client ne peuvent pas être analysés, car le service ne peut pas les déchiffrer. Les blobs chiffrés au repos avec des clés gérées par le client (CMK) sont pris en charge.

• Protocoles non pris en charge : Les objets blob chargés à l’aide du protocole NFS (Network File System) 3.0 ne sont pas analysés.

• Balises d’index des objets blob : Les balises d’index ne sont pas disponibles pour les comptes de stockage avec des espaces de noms hiérarchiques activés (Azure Data Lake Storage Gen2).

• Régions non prises en charge : Toutes les régions ne prennent actuellement pas en charge l’analyse des programmes malveillants. Pour obtenir la liste la plus récente, consultez la disponibilité de Defender pour cloud.

• Event Grid : Les rubriques Event Grid qui n’ont pas d’accès réseau public activé (par exemple, celles qui utilisent des points de terminaison privés) ne sont pas prises en charge pour la remise des résultats de l’analyse.

• Minutage des mises à jour des métadonnées : si les métadonnées d’un objet blob sont mises à jour peu après le chargement, l’analyse effectuée lors du chargement peut échouer. Pour éviter cela, il est recommandé de spécifier des métadonnées dans BlobOpenWriteOptions, ou de retarder les mises à jour des métadonnées jusqu’à ce que l’analyse se termine.

• Limites de temps d’analyse : Les objets blob volumineux ou complexes peuvent dépasser la fenêtre de délai d’attente d’analyse de Defender (30 minutes à 3 heures, en fonction de la taille et de la structure de l’objet blob). Par exemple, les fichiers ZIP avec de nombreuses entrées imbriquées prennent généralement plus de temps à analyser. Si une analyse dépasse le délai imparti, le résultat est marqué comme Échec de l'analyse pour dépassement de délai.

Considérations relatives aux performances et aux coûts

Scans de Blob et impact sur l'IOPS

Chaque analyse de logiciels malveillants effectue une opération de lecture supplémentaire et met à jour les balises d’index des objets blob. Ces opérations génèrent des E/S supplémentaires, mais ont généralement un impact minimal sur les performances de stockage (IOPS). L’accès aux données analysées n’est pas affecté pendant l’analyse, et les applications peuvent continuer à lire ou écrire dans l’objet blob sans interruption.

Vous pouvez réduire l’impact des E/S par seconde en désactivant les balises d'index de blob pour le stockage des résultats de l'analyse.

Coûts supplémentaires

L’analyse des programmes malveillants peut entraîner des coûts supplémentaires à partir des services Azure dépendants, notamment :

• Opérations de lecture du Stockage Microsoft Azure
• Indexation de blob Storage Azure (si des étiquettes d’index sont utilisées)
• Événements Azure Event Grid

Utilisez le tableau de bord Microsoft Defender pour Storage - Estimation des prix pour estimer les coûts de bout en bout.

Scénarios dans lesquels la recherche de logiciels malveillants est inefficace

Bien que l’analyse des programmes malveillants offre des fonctionnalités de détection étendues, certains modèles de données ou scénarios de chargement empêchent le service d’identifier avec précision les programmes malveillants. Tenez compte de ces cas avant d’activer l’analyse des programmes malveillants sur un compte de stockage :

• Données segmentées : La détection peut échouer lorsqu’un fichier est chargé dans des fragments. Les fragments d’en-tête uniquement sont marqués comme endommagés, tandis que les fragments de queue uniquement peuvent sembler bénins. Analysez les données avant de segmenter ou après le réassemblage pour garantir la couverture.

• Données chiffrées : L’analyse des programmes malveillants ne prend pas en charge les données chiffrées côté client. Le service ne peut pas déchiffrer ces données. Par conséquent, les programmes malveillants dans ces objets blob chiffrés ne sont pas détectés. Si le chiffrement est nécessaire, analysez les données avant de les chiffrer ou utilisez des méthodes de chiffrement au repos prises en charge, telles que les clés gérées par le client (CMK), où Stockage Azure gère le déchiffrement pour l’accès.

• Données de sauvegarde : Les fichiers de sauvegarde peuvent contenir des fragments de contenu précédemment analysé ou malveillant. Étant donné que le scanneur évalue le fragment lui-même plutôt que le contexte de fichier d’origine, les sauvegardes peuvent générer des alertes même si le fichier de sauvegarde dans son ensemble n’est pas malveillant.

Évaluez ces scénarios dans le cadre de votre modèle de menace, en particulier si du contenu non approuvé ou généré par l’utilisateur peut être chargé sur le compte de stockage.

Différences de détection entre les environnements de stockage et de point de terminaison

Defender pour le stockage utilise le même moteur anti-programme malveillant et les mêmes mises à jour de signature que Defender pour point de terminaison. Toutefois, lorsque des fichiers sont analysés dans stockage Azure, certaines métadonnées contextuelles disponibles sur les points de terminaison ne sont pas présentes. Ce manque de contexte peut entraîner une probabilité plus élevée de détections manquées (faux négatifs) par rapport à l’analyse sur un point de terminaison.

Voici quelques exemples de contexte manquant ou indisponible :

• Marque du web (MOTW) : MOTW identifie les fichiers provenant d’Internet, mais ces métadonnées ne sont pas conservées lorsque les fichiers sont chargés dans stockage Azure.

• Contexte du chemin d’accès au fichier : L’analyse du point de terminaison évalue le chemin d’accès du fichier pour déterminer si un fichier interagit avec des emplacements système sensibles (par C:\Windows\System32exemple). Le stockage d’objets blob ne fournit pas de contexte basé sur un chemin équivalent.

• Données comportementales : Defender pour stockage effectue une analyse statique et une émulation limitée, mais n’observe pas le comportement du runtime. Certains programmes malveillants révèlent uniquement un comportement malveillant pendant l’exécution et peuvent ne pas être détectés par le biais d’une inspection statique seule.

Accès et confidentialité des données

Conditions relatives à l’accès aux données

Pour analyser les données à la recherche de malwares, le service nécessite l’accès aux objets blob dans votre compte de stockage. Lorsque l’analyse des programmes malveillants est activée, Azure déploie automatiquement une ressource nommée StorageDataScanner dans votre abonnement. Cette ressource utilise une identité managée affectée par le système et reçoit le rôle Propriétaire des données blob de stockage pour lire et analyser les données.

Si votre compte de stockage est configuré pour autoriser l’accès au réseau public uniquement à partir de réseaux virtuels ou d’adresses IP sélectionnés, la StorageDataScanner ressource est ajoutée à la section Instances de ressources de la configuration réseau du compte de stockage. Cela garantit que le scanneur peut accéder à vos données même lorsque l’accès au réseau public est restreint.

Protection des données et traitement régional

• Traitement régional : L’analyse des programmes malveillants est effectuée dans la même région Azure que votre compte de stockage pour prendre en charge les exigences de résidence et de conformité des données.

• Gestion des données : Les fichiers analysés ne sont pas stockés par le service. Dans des cas limités, les métadonnées de fichier telles que le hachage SHA-256 peuvent être partagées avec Microsoft Defender pour point de terminaison pour une analyse plus approfondie.

Gérer les faux positifs et les faux négatifs

Faux positifs

Un faux positif se produit lorsqu’un fichier bénin est identifié de manière incorrecte comme malveillant. Si vous pensez qu’un fichier a été marqué de manière incorrecte, vous pouvez effectuer les actions suivantes :

1. Envoyer le fichier pour la réanalyse

   Utilisez le Portail de soumission d'exemples pour signaler un faux positif.
   Lors de l’envoi, sélectionnez Microsoft Defender pour le stockage comme source.

2. Supprimer les alertes répétées

   Créez des règles de suppression d’alerte dans Defender for Cloud pour réduire le bruit des alertes fausses positives récurrentes dans votre environnement.

S’attaquer aux logiciels malveillants non détectés (faux négatifs)

Un faux négatif se produit lorsqu’un fichier malveillant n’est pas détecté. Si vous pensez qu'un programme malveillant a été manqué, envoyez le fichier à des fins d'analyse via le portail de soumission d'exemples. Fournissez autant de contexte que possible pour prendre en charge la raison pour laquelle vous pensez que le fichier est malveillant.

Contenu connexe

• Analyse des programmes malveillants dans Microsoft Defender pour le stockage lors du chargement

• Analyse à la demande des programmes malveillants dans Microsoft Defender pour le stockage