Genomsökning av skadlig kod vid uppladdning

Genomsökning av skadlig kod vid uppladdning i Microsoft Defender for Storage söker automatiskt igenom blobar när de laddas upp eller ändras, vilket ger nästan realtidsidentifiering mot skadligt innehåll. Den här molnbaserade, SaaS-baserade lösningen använder Microsoft Defender Antivirus för att utföra omfattande genomsökningar av skadlig kod, vilket säkerställer att dina lagringskonton förblir säkra utan extra infrastruktur eller underhåll.

Genom att integrera genomsökning vid uppladdning i dina lagringskonton kan du:

• Förhindra skadliga uppladdningar: Stoppa skadlig kod från att komma in i lagringsmiljön vid tidpunkten för uppladdningen.
• Förenkla säkerhetshanteringen: Dra nytta av automatisk genomsökning utan att distribuera eller hantera agenter.
• Förbättra efterlevnaden: Uppfylla regelkraven genom att se till att alla uppladdade data genomsöks efter skadlig kod.

Uppladdning av skadlig kod är ett stort hot för molnlagring eftersom skadliga filer kan komma in i och spridas inom en organisation via molnlagringstjänster. Microsoft Defender för Storage tillhandahåller en inbyggd lösning för att minska den här risken med omfattande funktioner för skadlig kod.

Vanliga användningsfall för genomsökning av skadlig kod vid uppladdning

• Webbprogram: Skydda användargenererade innehållsuppladdningar i webbprogram som skatteappar, CV-uppladdningswebbplatser och kvittouppladdningar.

• Innehållsdistribution: Skydda tillgångar som bilder och videor som delas i stor skala via innehållshubbar eller CDN (nätverk för innehållsleverans), som kan vara vanliga distributionsplatser för skadlig kod.

• Efterlevnadskrav: Uppfylla regelstandarder, till exempel NIST, SWIFT och GDPR, genom att skanna obetrott innehåll, särskilt för reglerade branscher.

• Integrering från tredje part: Se till att data från tredje part, till exempel innehåll från affärspartner eller entreprenörer, genomsöks för att förhindra säkerhetsrisker.

• Samarbetsplattformar: Säkerställ säkert samarbete mellan team och organisationer genom att skanna delat innehåll.

• Datapipelines: Upprätthålla dataintegritet i ETL-processer (extrahera, transformera, läsa in) genom att se till att ingen skadlig kod kommer in via flera datakällor.

• Maskininlärningsträningsdata: Skydda kvaliteten på träningsdata genom att säkerställa att datauppsättningar är rena och säkra, särskilt om de innehåller användargenererat innehåll.

  

Aktivera sökning efter skadlig kod vid uppladdning

Förutsättningar

• Behörigheter: Rollen Ägare eller Deltagare för prenumerationen eller lagringskontot, eller specifika roller med nödvändiga behörigheter.
• Defender for Storage: Måste vara aktiverat för prenumerationen eller enskilda lagringskonton.

Om du vill aktivera och konfigurera genomsökning av skadlig kod i dina prenumerationer samtidigt som du behåller detaljerad kontroll över enskilda lagringskonton kan du använda någon av följande metoder:

• Använda inbyggd Azure-princip = Programmatiskt med infrastruktur som kodmallar, inklusive Terraform-, Bicep- och ARM-mallar
• Använda Azure Portal
• Med hjälp av PowerShell
• Direkt med REST-API:et

När skanning av skadlig kod är aktiverad skapas en Event Grid System Topic-resurs automatiskt i samma resursgrupp som lagringskontot. Detta används av tjänsten för genomsökning av skadlig kod för att lyssna på blobuppladdningsutlösare.

Detaljerade anvisningar finns i Distribuera Microsoft Defender för lagring.

Kostnadskontroll för genomsökning av skadlig kod vid uppladdning

Genomsökning av skadlig kod debiteras per GB genomsökt. För att ge kostnadsförståelighet stöder genomsökning av skadlig kod ett tak för hur mycket GB som genomsöks under en månad per lagringskonto.

Begränsningsmekanismen anger en månatlig genomsökningsgräns, mätt i gigabyte (GB), för varje lagringskonto. Detta fungerar som ett effektivt kostnadskontrollmått. Om en fördefinierad genomsökningsgräns nås för ett lagringskonto inom en enda kalendermånad stoppas genomsökningsåtgärden automatiskt. Det här stoppet inträffar när tröskelvärdet har nåtts, med upp till 20 GB avvikelse. Filer genomsöks inte efter skadlig kod utöver den här punkten. Taket återställs i slutet av varje månad vid midnatt UTC. Det tar vanligtvis upp till en timme att uppdatera taket.

Som standard upprättas en gräns på 5 TB (5 000 GB) om ingen specifik begränsningsmekanism har definierats.

Så här fungerar skanning av skadlig kod

Genomsökningsflöde för skadlig kod vid uppladdning

Vid uppladdning utlöses genomsökningar av alla åtgärder som resulterar i en BlobCreated händelse, enligt vad som anges i dokumentationen om Azure Blob Storage som en Event Grid-källa . Dessa åtgärder omfattar följande:

• Ladda upp nya blobar: När en ny blob läggs till i en container
• Skriva över befintliga blobar: När en befintlig blob ersätts med nytt innehåll
• Slutför ändringar i blobar: Åtgärder som PutBlockList eller FlushWithClose som genomför ändringar i en blob

Genomsökningsprocess

1. Händelseidentifiering: När en BlobCreated händelse inträffar identifierar tjänsten för genomsökning av skadlig kod ändringen.
2. Blobhämtning: Tjänsten läser på ett säkert sätt blobinnehållet i samma region som ditt lagringskonto.
3. Minnesintern genomsökning: Innehållet genomsöks i minnet med microsoft Defender Antivirus med uppdaterade definitioner av skadlig kod.
4. Resultatgenerering: Genomsökningsresultatet genereras och lämpliga åtgärder vidtas baserat på resultaten.
5. Innehållshantering: Skannat innehåll behålls inte och tas bort omedelbart efter genomsökning.

Dataflöde och kapacitet för genomsökning av skadlig kod vid uppladdning

Genomsökning av skadlig kod vid uppladdning har specifika dataflödes- och kapacitetsgränser för att säkerställa prestanda och effektivitet i storskaliga åtgärder. Dessa gränser hjälper till att styra mängden data som kan bearbetas per minut, vilket säkerställer en balans mellan nästan realtidsskydd och systembelastning.

• Hastighetsgräns för genomsökning av dataflöde: Genomsökning av skadlig kod vid uppladdning kan bearbeta upp till 50 GB per minut per lagringskonto. Om hastigheten för blobuppladdningar överskrider det här tröskelvärdet tillfälligt, köar systemet filerna och försöker genomsöka dem. Men om uppladdningshastigheten konsekvent överskrider gränsen kanske vissa blobar inte genomsöks.

Delade aspekter med genomsökning på begäran

Följande avsnitt gäller både vid sökning efter skadlig kod på begäran och vid uppladdning av skadlig kod.

• Ytterligare kostnader , inklusive Azure Storage-läsåtgärder, blobindexering och Event Grid-meddelanden.
• Visa och använda genomsökningsresultat: Metoder som blobindextaggar, Defender för molnet säkerhetsaviseringar, Event Grid-händelser och Log Analytics.
• Svarsautomatisering: Automatisera åtgärder som att blockera, ta bort eller flytta filer baserat på genomsökningsresultat.
• Innehåll och begränsningar som stöds: Omfattar filtyper, storlekar, kryptering och regionbegränsningar som stöds.
• Åtkomst och datasekretess: Information om hur tjänsten får åtkomst till och bearbetar dina data, inklusive sekretessöverväganden.
• Hantera falska positiva och falska negativa identifieringar: Steg för att skicka filer för granskning och skapande av regler för undertryckning.
• Blobgenomsökningar och påverkan på IOPS: Lär dig hur genomsökningar utlöser ytterligare läsåtgärder och uppdaterar blobindextaggar.

Detaljerad information om dessa ämnen finns på sidan Introduktion till genomsökning av skadlig kod.

Metodtips och tips

• Ange kostnadskontrolltak för lagringskonton, särskilt de med hög uppladdningstrafik, för att hantera och optimera utgifter effektivt.
• Använd Log Analytics för att spåra genomsökningshistorik för efterlevnads- och granskningsändamål.
• Om ditt användningsfall kräver en svarsmekanism kan du överväga att konfigurera automatiserade svar (till exempel karantän- eller borttagningsåtgärder) med Event Grid och Logic Apps. Detaljerad konfigurationsvägledning finns i Konfigurera svar vid skanning av skadlig kod.

Relaterat innehåll

• Introduktion till skanning av skadlig kod
• Genomsökning av skadlig kod på begäran