上傳時惡意程式碼掃描
Microsoft Defender for Storage 中的上傳惡意代碼掃描會在上傳或修改 Blob 時自動掃描 Blob,以提供對惡意內容的近乎即時偵測。 此雲端原生 SaaS 型解決方案會使用 Microsoft Defender 防毒軟體 來執行完整的惡意代碼掃描,以確保您的記憶體帳戶保持安全,而不需要額外的基礎結構或維護。
藉由將上傳掃描整合到記憶體帳戶中,您可以.
- 防止惡意上傳: 停止惡意代碼在上傳時進入您的記憶體環境。
- 簡化安全性管理: 無須部署或管理代理程式,即可從自動掃描中獲益。
- 增強合規性: 確保掃描所有上傳的數據是否有惡意代碼,以符合法規需求。
惡意代碼上傳是雲端記憶體的首要威脅,因為惡意檔案可以透過雲端記憶體服務在組織內輸入和傳播。 Microsoft適用於記憶體的 Defender 提供內建解決方案,可透過完整的反惡意代碼功能來降低此風險。
上傳惡意代碼掃描的常見使用案例
Web 應用程式: 保護 Web 應用程式中用戶產生的內容上傳,例如稅務應用程式、CV 上傳網站,以及收據上傳。
內容發佈:保護透過內容中樞或CDN內容傳遞網路 大規模共用的影像和影片等資產,這可能是常見的惡意代碼發佈點。
合規性需求: 藉由掃描不受信任的內容,特別是針對受管制產業,符合法規標準,例如 NIST、SWIFT 和 GDPR。
第三方整合: 請掃描第三方數據,例如來自商務夥伴或承包商的內容,以防止安全性風險。
共同作業平臺: 藉由掃描共享內容,確保跨小組和組織的安全共同作業。
數據管線: 藉由確保不會透過多個數據源輸入任何惡意代碼,在 ETL (擷取、轉換、載入)程式中維護數據完整性。
機器學習訓練數據: 藉由確保數據集是乾淨且安全的,來保護定型數據的品質,特別是如果數據集包含用戶產生的內容。
注意
惡意程式碼掃描是近即時的服務。 掃描時間可能會因檔案大小、檔案類型、服務載入和記憶體帳戶活動而有所不同。
啟用上傳惡意代碼掃描
必要條件
- 許可權: 訂用帳戶或記憶體帳戶的擁有者或參與者角色,或具有 必要許可權的特定角色。
- 適用於記憶體的 Defender: 必須在訂用帳戶或個別記憶體帳戶上啟用。
若要 在訂用帳戶上啟用和設定惡意代碼掃描 ,同時保留個別記憶體帳戶的詳細控制,您可以使用下列其中一種方法:
- 使用 Azure 內建原則 = 以程式設計方式使用基礎結構即程式代碼範本,包括 Terraform、 Bicep 和 ARM 範本
- 使用 Azure 入口網站
- 使用 PowerShell
- 直接使用 REST API
啟用惡意代碼掃描時,會自動在與記憶體帳戶相同的資源群組中建立事件方格系統主題資源。 惡意代碼掃描服務會使用此服務來接聽 Blob 上傳觸發程式。
如需詳細指示,請參閱 部署適用於記憶體的Defender Microsoft。
上傳惡意代碼掃描的成本控制
惡意程式碼掃描會按每 GB 掃描計費。 為了提供成本可預測性,惡意代碼掃描支援在每個記憶體帳戶的單個月掃描 GB 數量上設定上限。
重要
適用於記憶體的 Defender 中的惡意代碼掃描未包含在前 30 天的免費試用中,且會根據 適用於雲端的 Defender 定價頁面上提供的定價配置,從第一天開始收費。
上限機制會為每個記憶體帳戶設定每月掃描限制,以 GB 為單位。 這可作為有效的成本控制措施。 如果在單一日曆月份內達到記憶體帳戶預先定義的掃描限制,掃描作業會自動停止。 達到臨界值后,就會發生此停止,最高偏差為 20 GB。 檔案不會在此點外掃描是否有惡意代碼。 上限會在每個月結束時於UTC午夜重設。 更新端點通常需要一小時才會生效。
如果未定義特定的上限機制,則預設為建立 5 TB (5,000 GB) 的限制。
提示
您可以在個別儲存體帳戶或整個訂用帳戶上設定上限機制 (訂用帳戶上的每個儲存體帳戶都會配置訂用帳戶層級上定義的限制)。
惡意代碼掃描的運作方式
上傳惡意代碼掃描流程
上傳時掃描是由任何導致BlobCreated
事件之作業所觸發,如事件方格來源檔 Azure Blob 儲存體 中所指定。 這些作業包括:
- 上傳新的 Blob: 將新的 Blob 新增至容器時
- 覆寫現有的 Blob: 當現有的 Blob 取代為新內容時
- 完成對 Blob 的變更: 類似
PutBlockList
或FlushWithClose
認可 Blob 變更的作業
注意
累加作業,例如 AppendFile
在 Azure Data Lake Storage Gen2 和 PutBlock
Azure BlockBlob 中,不會獨立觸發惡意代碼掃描。 只有在透過 或 FlushWithClose
等PutBlockList
認可作業完成這些新增專案時,才會進行惡意代碼掃描。 每個認可都可以起始新的掃描,如果因為累加式更新而掃描相同的數據多次,可能會增加成本。
掃描程式
- 事件偵測: 事件發生時
BlobCreated
,惡意代碼掃描服務會偵測變更。 - Blob 擷取: 服務會安全地讀取與記憶體帳戶相同區域內的 Blob 內容。
- 記憶體內部掃描:使用 Microsoft Defender 防毒軟體 搭配最新惡意代碼定義來掃描記憶體中的內容。
- 結果產生: 會產生掃描結果,並根據結果採取適當的動作。
- 內容處置: 掃描的內容不會保留,而且會在掃描后立即刪除。
上傳惡意代碼掃描的輸送量和容量
上傳惡意代碼掃描具有特定的輸送量和容量限制,以確保大規模作業的效能和效率。 這些限制有助於控制每分鐘可處理的數據量,確保近乎即時保護和系統負載之間的平衡。
- 掃描輸送量速率限制: 上傳惡意代碼掃描每個記憶體帳戶每分鐘最多可以處理 50 GB。 如果 Blob 上傳的速率暫時超過此臨界值,系統會將檔案排入佇列,並嘗試掃描檔案。 不過,如果上傳速率一直超過限制,可能無法掃描某些 Blob。
隨選掃描的共享層面
下列各節適用於 隨選 和上傳惡意代碼掃描。
- 其他成本包括 Azure 儲存體 讀取作業、Blob 索引編製和事件方格通知。
- 檢視和取用掃描結果:Blob 索引標籤、適用於雲端的 Defender 安全性警示、事件方格事件和 Log Analytics 等方法。
- 回應自動化:根據掃描結果自動執行封鎖、刪除或移動檔案等動作。
- 支援的內容和限制:涵蓋支援的檔類型、大小、加密和區域限制。
- 存取和數據隱私權:有關服務如何存取及處理數據的詳細數據,包括隱私權考慮。
- 處理誤判和誤判:提交檔案以檢閱和建立隱藏規則的步驟。
- Blob 掃描和對 IOPS 的影響:了解掃描如何觸發進一步讀取作業並更新 Blob 索引標記。
如需這些主題的詳細資訊,請參閱 惡意代碼掃描 簡介頁面。
最佳做法和秘訣
- 設定記憶體帳戶的成本控制上限,特別是高上傳流量的記憶體帳戶,以有效管理及優化費用。
- 使用 Log Analytics 追蹤合規性和稽核的掃描歷程記錄。
- 如果您的使用案例需要響應機制,請考慮使用事件方格和 Logic Apps 設定自動化回應(例如隔離或刪除動作)。 如需詳細的設定指引,請參閱 設定惡意代碼掃描中的回應。
提示
我們鼓勵您透過實際操作實驗室探索適用於記憶體的 Defender 中的惡意代碼掃描功能。 請遵循 Ninja 訓練指示,以取得設定、測試和回應設定的詳細指南。