Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Skanowanie złośliwego oprogramowania podczas przesyłania w usłudze Microsoft Defender for Storage automatycznie skanuje bloby po ich przesłaniu lub zmodyfikowaniu, zapewniając szybkie wykrywanie złośliwej zawartości. To natywne dla chmury rozwiązanie SaaS używa Program antywirusowy Microsoft Defender do przeprowadzania kompleksowych skanów złośliwego oprogramowania, zapewniając bezpieczeństwo kont magazynu bez konieczności dodatkowej infrastruktury lub konserwacji.
Integrując skanowanie przy przekazaniu do kont magazynu, możesz wykonywać następujące czynności:
- Zapobiegaj złośliwym przekazywaniem: uniemożliwiaj złośliwemu oprogramowaniu wprowadzanie środowiska magazynu w momencie przekazywania.
- Upraszczanie zarządzania zabezpieczeniami: korzystaj z automatycznego skanowania bez wdrażania agentów ani zarządzania nimi.
- Zwiększanie zgodności: Spełnij wymagania prawne, upewniając się, że wszystkie przekazane dane są skanowane pod kątem złośliwego oprogramowania.
Przekazywanie złośliwego oprogramowania jest głównym zagrożeniem dla magazynu w chmurze, ponieważ złośliwe pliki mogą wprowadzać i rozpowszechniać w organizacji za pośrednictwem usług magazynu w chmurze. Usługa Microsoft Defender for Storage udostępnia wbudowane rozwiązanie, które pozwala ograniczyć to ryzyko dzięki kompleksowym funkcjom ochrony przed złośliwym oprogramowaniem.
Typowe przypadki użycia skanowania złośliwego oprogramowania podczas przekazywania
Aplikacje internetowe: Zabezpieczanie przekazywania zawartości generowanej przez użytkownika w aplikacjach internetowych, takich jak aplikacje podatkowe, witryny przekazywania CV i przekazywanie paragonów.
Dystrybucja zawartości: Chroń zasoby, takie jak obrazy i filmy wideo udostępniane na dużą skalę za pośrednictwem centrów zawartości lub sieci CDN (Content Delivery Networks), które mogą być typowymi punktami dystrybucji złośliwego oprogramowania.
Wymagania dotyczące zgodności: Spełniają standardy regulacyjne, takie jak NIST, SWIFT, HIPAA i DORA, skanując niezaufaną zawartość, zwłaszcza w przypadku branż regulowanych.
Integracja innej firmy: Upewnij się, że dane innych firm, takie jak zawartość od partnerów biznesowych lub wykonawców, są skanowane, aby zapobiec zagrożeniom bezpieczeństwa.
Platformy współpracy: Zapewnij bezpieczną współpracę między zespołami i organizacjami, skanując udostępnioną zawartość.
Potoki danych: Zachowaj integralność danych w procesach ETL (wyodrębnianie, przekształcanie, ładowanie), zapewniając, że żadne złośliwe oprogramowanie nie przechodzi przez wiele źródeł danych.
Dane szkoleniowe uczenia maszynowego: ochrona jakości danych treningowych przez zapewnienie, że zestawy danych są czyste i bezpieczne, szczególnie jeśli zawierają zawartość wygenerowaną przez użytkownika.
Note
Czasy skanowania złośliwego oprogramowania mogą się różnić w zależności od różnych metryk, takich jak rozmiar pliku, typ pliku, obciążenie usługi i opóźnienie odczytu konta magazynu. Aplikacje, które zależą od wyników skanowania złośliwego oprogramowania, powinny uwzględniać te potencjalne różnice w czasie skanowania.
Włączanie skanowania złośliwego oprogramowania podczas przekazywania
Prerequisites
- Uprawnienia: Rola właściciela lub współautora na koncie subskrypcji lub magazynu albo określone role z niezbędnymi uprawnieniami.
- Defender for Storage: należy włączyć dla subskrypcji lub poszczególnych kont magazynu.
Aby włączyć i skonfigurować skanowanie złośliwego oprogramowania w ramach subskrypcji przy zachowaniu szczegółowej kontroli nad poszczególnymi kontami magazynu, możesz użyć jednej z następujących metod:
- Korzystanie z wbudowanych zasad platformy Azure = Programowe używanie infrastruktury jako szablonów kodu, w tym programu Terraform, Bicep i szablonów usługi ARM
- Korzystanie z witryny Azure Portal
- Korzystanie z programu PowerShell
- Bezpośrednio z interfejsem API REST
Po włączeniu skanowania złośliwego oprogramowania zasób tematu systemu usługi Event Grid jest automatycznie tworzony w tej samej grupie zasobów co konto magazynu. Jest to używane przez usługę skanowania złośliwego oprogramowania do nasłuchiwania wyzwalaczy przekazywania obiektów blob.
Aby uzyskać szczegółowe instrukcje, zobacz Wdrażanie usługi Microsoft Defender for Storage.
Kontrola kosztów na potrzeby skanowania złośliwego oprogramowania podczas przekazywania
Skanowanie w poszukiwaniu złośliwego oprogramowania jest rozliczane za gb skanowania. Aby zapewnić przewidywalność kosztów, skanowanie złośliwego oprogramowania obsługuje ustawianie limitu ilości GB skanowanej w ciągu jednego miesiąca na konto magazynu.
Mechanizm ograniczania ustawia miesięczny limit skanowania mierzony w gigabajtach (GB) dla każdego konta magazynu. Służy to jako efektywna miara kontroli kosztów. Jeśli zostanie osiągnięty wstępnie zdefiniowany limit skanowania dla konta magazynu w ciągu jednego miesiąca kalendarzowego, operacja skanowania zostanie automatycznie zatrzymana. To zatrzymanie występuje po osiągnięciu progu z odchyleniem do 20 GB. Pliki nie są skanowane pod kątem złośliwego oprogramowania poza tym punktem. Limit resetuje się pod koniec każdego miesiąca o północy czasu UTC. Aktualizowanie limitu zwykle trwa do godziny.
Domyślnie limit 10 TB (10 000 GB) jest ustanawiany, jeśli nie zdefiniowano określonego mechanizmu ograniczania.
Tip
Można ustawić mechanizm ograniczania dla poszczególnych kont magazynu lub całej subskrypcji (każde konto magazynu w ramach subskrypcji zostanie przydzielony limit zdefiniowany na poziomie subskrypcji).
Dostosowywalne filtry skanowania złośliwego oprogramowania w czasie przesyłania
Skanowanie złośliwego oprogramowania podczas przesyłania obsługuje dostosowywalne filtry, co pozwala użytkownikom na ustalanie reguł wykluczania na podstawie prefiksów i sufiksów ścieżek obiektów oraz ich rozmiaru. Wykluczając określone ścieżki i typy obiektów blob, takie jak dzienniki lub pliki tymczasowe, można uniknąć niepotrzebnych skanowań i zmniejszyć koszty.
Filtry można skonfigurować na karcie Ustawienia usługi Microsoft Defender for Cloud konta magazynowego w portalu Azure lub za pośrednictwem interfejsu API REST.
Kluczowe kwestie:
Filtry oparte na wykluczeniach: do 24 wartości filtrów można użyć do wykluczenia obiektów blob ze skanowania złośliwego oprogramowania.
LUB Logika: obiekt blob jest wykluczony, jeśli spełnia którykolwiek z określonych kryteriów.
Typy filtrów:
Wyklucz obiekty blob (lub kontenery) z prefiksem: Zdefiniuj listę prefiksów oddzieloną przecinkami.
Format:
container-name/blob-name(zacznij od nazwy kontenera; nie dołączaj nazwy konta magazynu).Aby wykluczyć całe kontenery, użyj prefiksu nazw kontenerów bez końcowego ukośnika "/".
Aby wykluczyć pojedynczy kontener, dodaj ukośnik
/końcowy po nazwie kontenera, aby uniknąć wykluczania innych kontenerów z podobnymi prefiksami.
Wyklucz obiekty blob z sufiksem: zdefiniuj rozdzielaną przecinkami listę sufiksów.
Sufiksy pasują tylko do końca nazw plików blob.
Należy używać tylko w przypadku rozszerzeń plików lub zakończeń nazw obiektów blob.
Wyklucz bloby większe niż: określa maksymalny rozmiar blobów do skanowania w bajtach. Obiekty blob większe niż ta wartość zostaną wykluczone ze skanowania.
Jak działa skanowanie złośliwego oprogramowania
Przepływ skanowania złośliwego oprogramowania podczas przekazywania
Skany przy przesyłaniu są uruchamiane przez dowolną operację, która powoduje wystąpienie zdarzenia BlobCreated lub BlobRenamed, jak określono w dokumentacji Azure Blob Storage jako źródła usługi Event Grid. Te operacje obejmują:
- Przekazywanie nowych obiektów blob: po dodaniu nowego obiektu blob do kontenera
- Zastępowanie istniejących obiektów blob: po zastąpieniu istniejącego obiektu blob nową zawartością
-
Finalizowanie zmian w obiektach blob: operacje takie jak
PutBlockListlubFlushWithClosezatwierdzające zmiany w obiekcie blob
Note
Operacje przyrostowe, takie jak AppendFile w usłudze Azure Data Lake Storage Gen2 i PutBlock w usłudze Azure BlockBlob, nie wyzwalają niezależnie skanowania w poszukiwaniu złośliwego oprogramowania. Skanowanie złośliwego oprogramowania odbywa się tylko wtedy, gdy te dodatki są finalizowane za pośrednictwem operacji zatwierdzania, takich jak PutBlockList lub FlushWithClose. Każde zatwierdzenie może zainicjować nowe skanowanie, co może zwiększyć koszty, jeśli te same dane są skanowane wiele razy z powodu aktualizacji przyrostowych.
Proces skanowania
-
Wykrywanie zdarzeń: W przypadku wystąpienia zdarzenia
BlobCreatedlubBlobRenamedusługa skanowania złośliwego oprogramowania wykryje zmianę. - Pobieranie obiektów blob: Usługa bezpiecznie odczytuje zawartość obiektu blob w tym samym regionie co konto magazynu.
- Skanowanie w pamięci: Zawartość jest skanowana w pamięci przy użyciu programu antywirusowego Microsoft Defender z definicjami złośliwego oprogramowania up-to-date.
- Generowanie wyników: Wynik skanowania jest generowany, a odpowiednie akcje są podejmowane na podstawie wyników.
- Usuwanie zawartości: Zeskanowana zawartość nie jest zachowywana i usuwana natychmiast po skanowaniu.
Przepływność i pojemność skanowania złośliwego oprogramowania podczas przekazywania
Skanowanie w ramach przekazywania złośliwego oprogramowania ma określone limity przepływności i pojemności w celu zapewnienia wydajności i wydajności operacji na dużą skalę. Te limity pomagają kontrolować ilość danych, które mogą być przetwarzane na minutę, zapewniając równowagę między ochroną a obciążeniem systemu.
- Limit szybkości skanowania przepływności: skanowanie złośliwego oprogramowania podczas przekazywania może przetwarzać maksymalnie 50 GB na minutę na konto magazynu. Jeśli szybkość przekazywania obiektów blob przekroczy ten próg chwilowo, system umieszcza pliki w kolejce i próbuje je przeskanować. Jeśli jednak szybkość przekazywania stale przekracza limit, niektóre obiekty blob mogą nie być skanowane.
Udostępnione aspekty skanowania na żądanie
Poniższe sekcje dotyczą zarówno skanowania złośliwego oprogramowania na żądanie , jak i skanowania w ramach przekazywania złośliwego oprogramowania.
- Dodatkowe koszty W tym operacje odczytu usługi Azure Storage, indeksowanie obiektów blob i powiadomienia usługi Event Grid.
- Wyświetlanie i korzystanie z wyników skanowania: metody, takie jak tagi indeksu obiektów blob, Defender dla Chmury alerty zabezpieczeń, zdarzenia usługi Event Grid i usługa Log Analytics.
- Automatyzacja korygowania złośliwego oprogramowania: automatyzowanie akcji, takich jak blokowanie, usuwanie lub przenoszenie plików na podstawie wyników skanowania.
- Obsługiwana zawartość i ograniczenia: obejmuje obsługiwane typy plików, rozmiary, szyfrowanie i ograniczenia regionów.
- Dostęp i prywatność danych: szczegółowe informacje na temat sposobu uzyskiwania dostępu do danych i przetwarzania ich przez usługę, w tym kwestii dotyczących prywatności.
- Obsługa wyników fałszywie dodatnich i fałszywie ujemnych: kroki przesyłania plików do przeglądu i tworzenia reguł pomijania.
- Skanowanie obiektów blob i wpływ na liczbę operacji we/wy na sekundę: dowiedz się, jak skanowania wyzwalają dalsze operacje odczytu i aktualizują tagi indeksu obiektów blob.
Aby uzyskać szczegółowe informacje na temat tych tematów, zobacz stronę Wprowadzenie do skanowania złośliwego oprogramowania.
Najlepsze rozwiązania i wskazówki
- Ustaw limity kontroli kosztów dla kont magazynu, szczególnie tych z dużym ruchem przekazywania, aby efektywnie zarządzać i optymalizować wydatki.
- Usługa Log Analytics służy do śledzenia historii skanowania pod kątem zgodności i inspekcji.
- Jeśli Twój przypadek użycia wymaga mechanizmu usuwania złośliwego oprogramowania, rozważ użycie wbudowanej funkcji łagodnego usuwania złośliwych obiektów blob lub skonfigurowanie zautomatyzowanego usuwania (na przykład działań kwarantanny lub usunięcia) przy użyciu usług Event Grid i Logic Apps. Aby uzyskać szczegółowe wskazówki dotyczące konfiguracji, zobacz Konfigurowanie korygowania w skanowaniu złośliwego oprogramowania.
Tip
Zachęcamy do zapoznania się z funkcją skanowania złośliwego oprogramowania w usłudze Defender for Storage za pośrednictwem naszego laboratorium praktycznego. Postępuj zgodnie z instrukcjami dotyczącymi trenowania ninja , aby uzyskać szczegółowy przewodnik dotyczący konfiguracji konfiguracji, testowania i odpowiedzi.