Analyse des programmes malveillants lors du chargement

L'analyse des programmes malveillants au chargement dans Microsoft Defender for Storage analyse automatiquement les blobs lorsqu'ils sont téléchargés ou modifiés, ce qui permet une détection en temps quasi réel des contenus malveillants. Cette solution SaaS basée sur le cloud utilise Microsoft Defender Antivirus pour effectuer des analyses complètes des logiciels malveillants, garantissant ainsi la sécurité de vos comptes de stockage sans nécessiter d'infrastructure ou de maintenance supplémentaire.

En intégrant la numérisation lors du téléchargement à vos comptes de stockage, vous pouvez :

• Empêcher les chargements malveillants : empêcher les programmes malveillants d’entrer dans votre environnement de stockage au moment du chargement.
• Simplifier la gestion de la sécurité : tirez parti de l’analyse automatique sans déployer ou gérer des agents.
• Amélioration de la conformité : répondez aux exigences réglementaires en garantissant que toutes les données chargées sont analysées pour les programmes malveillants.

Le téléchargement de logiciels malveillants est une menace majeure pour le stockage cloud, car les fichiers malveillants peuvent s'introduire et se propager au sein d'une organisation par le biais des services de stockage cloud. Microsoft Defender for Storage fournit une solution intégrée pour atténuer ce risque grâce à des capacités anti-malware complètes.

Cas d'utilisation courants pour la recherche de logiciels malveillants lors du téléchargement

• Applications web : sécuriser les chargements de contenu générés par l’utilisateur dans des applications web telles que les applications fiscales, les sites de chargement de CV et les chargements de reçus.

• Distribution de contenu : protégez des ressources telles que des images et des vidéos partagées à grande échelle via des hubs de contenu ou des réseaux de distribution de contenu (réseaux de distribution de contenu), qui peuvent être des points de distribution de programmes malveillants courants.

• Exigences de conformité : respectez les normes réglementaires, telles que NIST, SWIFT et RGPD, en analysant le contenu non approuvé, en particulier pour les industries réglementées.

• Intégration tierce : assurez-vous que les données tierces, telles que le contenu des partenaires commerciaux ou des sous-traitants, sont analysées pour éviter les risques de sécurité.

• Plateformes collaboratives : assurer une collaboration sécurisée entre les équipes et les organisations en analysant le contenu partagé.

• Pipelines de données : conservez l’intégrité des données dans les processus ETL (Extraire, Transformer, Charger) en garantissant qu’aucun programme malveillant n’entre dans plusieurs sources de données.

• Données de formation pour l’apprentissage automatique : protégez la qualité des données d’apprentissage en garantissant que les jeux de données sont propres et sécurisés, en particulier s’ils contiennent du contenu généré par l’utilisateur.

  

Activer l’analyse des programmes malveillants lors du chargement

Prérequis

• Autorisations : rôle Propriétaire ou Contributeur sur l’abonnement ou le compte de stockage, ou rôles spécifiques avec les autorisations nécessaires.
• Defender pour le stockage : doit être activé sur l’abonnement ou les comptes de stockage individuels.

Pour activer et configurer l’analyse des programmes malveillants sur vos abonnements tout en conservant un contrôle détaillé sur des comptes de stockage individuels, vous pouvez utiliser une des méthodes suivantes :

• Utilisation d’une stratégie intégrée Azure = Par programmation à l’aide de modèles d’infrastructure en tant que modèles de code, notamment Terraform, Bicep et les modèles ARM
• À l’aide du portail Azure
• à l’aide de PowerShell
• Directement avec l’API REST

Lorsque l'analyse des logiciels malveillants est activée, une ressource Topic Event Grid System est automatiquement créée dans le même groupe de ressources que le compte de stockage. Il est utilisé par le service d'analyse des logiciels malveillants pour écouter les déclencheurs de téléchargement de blob.

Pour obtenir des instructions détaillées, consultez Déployer Microsoft Defender pour le stockage.

Contrôle du coût pour la recherche de logiciels malveillants lors du téléchargement

L’analyse des programmes malveillants est facturée par Go analysé. Pour permettre une prévisibilité des coûts, l’analyse des programmes malveillants prend en charge la définition d’un plafond sur la quantité de Go analysés sur un mois par compte de stockage.

Le mécanisme de plafonnement fixe une limite d’analyse mensuelle, mesurée en gigaoctets (Go), pour chaque compte de stockage. Il s'agit d'une mesure efficace de contrôle des coûts. Si une limite de numérisation prédéfinie est atteinte pour un compte de stockage au cours d'un mois civil, l'opération de numérisation s'arrête automatiquement. Cet arrêt se produit dès que le seuil est atteint, avec un écart pouvant aller jusqu'à 20 Go. Les fichiers ne sont pas analysés pour détecter les logiciels malveillants au-delà de ce point. La limite se réinitialise à la fin de chaque mois à minuit UTC. La mise à jour du plafond prend généralement jusqu’à une heure pour prendre effet.

Par défaut, une limite de 5 To (5000 Go) est fixée si aucun mécanisme de plafonnement spécifique n’est défini.

Comment fonctionne l’analyse des programmes malveillants

Analyse du flux des programmes malveillants lors du chargement

Des analyses lors du téléchargement sont déclenchées par une opération qui entraîne un événement BlobCreated, comme spécifié dans la documentation Stockage Blob Azure en tant que source Event Grid. Ces opérations comprennent :

• Chargement de nouveaux objets blob : lorsqu’un nouvel objet blob est ajouté à un conteneur
• Remplacement d’objets blob existants : lorsqu’un objet blob existant est remplacé par un nouveau contenu
• Finalisation des modifications apportées aux objets blob : opérations telles que PutBlockList ou FlushWithClose qui valident les modifications apportées à un objet blob

Processus d’analyse

1. Détection d’événements : lorsqu’un événement BlobCreated se produit, le service d’analyse des programmes malveillants détecte la modification.
2. Récupération d’objets blob : le service lit en toute sécurité le contenu de l’objet blob dans la même région que votre compte de stockage.
3. Analyse en mémoire : le contenu est analysé en mémoire à l’aide de l’antivirus Microsoft Defender avec des définitions de programmes malveillants à jour.
4. Génération de résultat : le résultat de l’analyse est généré et les actions appropriées sont effectuées en fonction des résultats.
5. Suppression du contenu : le contenu analysé n’est pas conservé et est supprimé immédiatement après l’analyse.

Débit et capacité d'analyse des logiciels malveillants en amont

L'analyse des logiciels malveillants en amont est soumise à des limites de débit et de capacité spécifiques afin de garantir les performances et l'efficacité des opérations à grande échelle. Ces limites permettent de contrôler le volume de données pouvant être traitées par minute, ce qui garantit un équilibre entre la protection en temps quasi réel et la charge du système.

• Limite du débit d’analyse : l’analyse des programmes malveillants lors du chargement peut traiter jusqu’à 50 Go par minute par compte de stockage. Si le taux de téléchargement de blobs dépasse momentanément ce seuil, le système met les fichiers en file d'attente et tente de les analyser. Toutefois, si le taux de téléchargement dépasse régulièrement la limite, il se peut que certains blobs ne soient pas analysés.

Aspects partagés avec l'analyse à la demande

Les sections suivantes s’appliquent à la fois à la demande et à l’analyse des programmes malveillants à la demande.

• Coûts supplémentaires, notamment les opérations de lecture du stockage Azure, l’indexation d’objets blob et les notifications Event Grid.
• Affichage et utilisation des résultats d’analyse : méthodes telles que les balises d’index d’objet blob, Defender pour les alertes de sécurité cloud, les événements Event Grid et Log Analytics.
• Automatisation de la réponse : automatisez les actions telles que le blocage, la suppression ou le déplacement de fichiers en fonction des résultats de l’analyse.
• Contenu et limitations pris en charge : couvre les types de fichiers, les tailles, le chiffrement et les limitations régionales prises en charge.
• Accès et confidentialité des données : détails sur la façon dont le service accède à vos données et les traite, y compris les considérations relatives à la confidentialité.
• Gestion des faux positifs et des faux négatifs : étapes d’envoi de fichiers pour la révision et la création de règles de suppression.
• Analyses d’objets blob et impact sur les IOPS : découvrez comment les analyses déclenchent des opérations de lecture supplémentaires et mettent à jour les balises d’index d’objet blob.

Pour plus d’informations sur ces rubriques, consultez la page Présentation de l’analyse des programmes malveillants.

Bonnes pratiques et conseils

• Fixer des plafonds de contrôle des coûts pour les comptes de stockage, en particulier ceux dont le trafic de téléchargement est élevé, afin de gérer et d'optimiser les dépenses de manière efficace.
• Utilisez Log Analytics pour suivre l'historique des scans à des fins de conformité et d'audit.
• Si votre cas d'utilisation nécessite un mécanisme de réponse, envisagez de configurer des réponses automatisées (par exemple, des actions de mise en quarantaine ou de suppression) à l'aide de Azure Event Grid et Azure Logic Apps. Pour obtenir des instructions détaillées sur la configuration, consultez Configurer la réponse dans l’analyse des programmes malveillants.

Contenu connexe

• Introduction à l’analyse du programme malveillant
• Analyse à la demande des programmes malveillants