続・Microsoft Defender for Storageで沼っている話
1.5K Views
March 04, 24
スライド概要
主に勉強会の資料を公開しています。
関連スライド
各ページのテキスト
SCUGJ 第39回勉強会 ロゴ作成中 2024/02/24 Windows Server and Cloud User Group Japan 後藤 諭史(Satoshi GOTO)
ロゴ作成中 後藤 諭史( Satoshi GOTO ) 国内SIerでプリセールスやっています 仮想化製品が主な専門分野です Microsoft MVP - Cloud and Datacenter Management (Jul.2012 - Jun.2024) Twitterはこちら ◦ Twitter:@wind06106 2
ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社の正式な回答/見解ではない事に留意してください。 3
ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日(2024/02/24)時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 また、本セッションで紹介する機能の一部はPreview機能となっており、その検証結果を基に記載しています。 今後、仕様および機能は変更される可能性があります。 4
ロゴ作成中 この話の続きです https://www.docswell.com/s/wind06106/KW1Q2D-DefenderStorage 5
ロゴ作成中 引き続き沼ってます (Azureサポートに問い合わせながら検証している最中です) 6
ロゴ作成中 検出したいデータを設定。設定はDefender for Cloudの「データのセキュリティ」から → Purviewを使うとカスタムの機密データ定義やラベルによる秘密度設定が可能 対応ファイルフォーマットはテキストのほかオフィスファイルなど Azureの検出対象はBlob Storage。 また「パブリックネットワークアクセス」 が有効であること※ 参考:AWS S3やGCPストレージ バケット上のデータや Azure SQL Databases上のデータも 検出可能 ※ https://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-data-security-posture-prepare 7
ロゴ作成中 スキャン可能なファイルは以下のとおり ◦ .doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、 .pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、 .txt、.xml、.parquet、.avro、.orc 検知可能な機密データの定義は、前回解説した通り ◦ 次ページにて再度解説 8
ロゴ作成中 サポートされている機密データの定義は公式ドキュメントにある 「Microsoft Defender for Cloud でサポートされる機密情報の種類」 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/sensitive-info-types クレジットカード番号のエンティティ定義 日本語(ダブルバイト文字)も対応(プレビューとのこと) 「完全なデータ一致に基づく機密情報の種類の詳細」 https://learn.microsoft.com/ja-jp/purview/sit-learn-about-exact-data-match-based-sits 9
ロゴ作成中 以下の項目で、どのような機密データが保管されているかを確認できる ・ データのセキュリティ クラウドセキュリティエクスプローラー ・ クラウドセキュリティーエクスプローラー ・ ストレージアカウントのインベントリ データのセキュリティ 10
ロゴ作成中 というわけで 地道に 動作検証をしてみた (というか現在進行形……) 11
ロゴ作成中 ひたすら毎日機密データをアップロード ◦ クレジットカード番号を含むファイル(テキストファイル) ◦ SWIFTコードを含むファイル(テキストファイル) ◦ ドキュメント提示のUS SSNを含むファイル(テキストファイル/.docx/.pptx) ◦ ストレージアカウントアクセスキー(実物)を含むファイル(テキストファイル) データの一部としてアップした日付を記述(ハッシュ対策) BLOBコンテナー名に作成した日付を設定 毎日機密データが検出されたかを確認…… 12
ロゴ作成中 クレジットカードの検知条件 ◦ Luhnテストが通る14桁から19桁の数字(記号(-)を含んでもよい) ◦ かつ以下の条件のいずれかをクリア ◦ ◦ ◦ キーワード(Keyword_cc_verification)を含む キーワード(Keyword_cc_name)を含む 適切な日付形式の日付情報(Func_expiration_date)を含む クレジットカードの有効期限情報表記(MM/YY形式)以外の日付データが入っていると クレジットカード情報として判定されない可能性大…… 検証の結果、以下のデータは検出の可否が分かれました(どれだけシビアなんだか……) card no. brand expire 4111-1111-1111-1111 VISA 3611-111111-1111 DINERS 09/26 3759-870000-00088 AMEX 09/26 08/27 ファイルA(機密データとして検知) 20240214 card no. brand expire 4111-1111-1111-1111 VISA 3611-111111-1111 DINERS 09/26 3759-870000-00088 AMEX 09/26 08/27 ファイルB(機密データとして判定されず) 13
ロゴ作成中 どうも文字コード制限あり……? SWIFTコードを含む機密データを作成、同一の内容でSJISとUTF-8(BOMなし)の テキストファイルを作成 実際に機密データスキャンにかけると、UTF-8のファイルのみ検知可能 金融機関コード 金融機関名 SWIFTコード 0000 日本銀行 BOJPJPJT 0001 みずほ銀行 MHCBJPJT 0005 三菱UFJ銀行 BOTKJPJT 0009 三井住友銀行 SMBCJPJT 0010 りそな銀行 DIWAJPJT 0017 埼玉りそな銀行 SAIBJPJT 用意した機密データ 14
ロゴ作成中 機密データスキャンは7日に1回のため、待機期間にアップされたBLOBは即時検知されず ドキュメント(https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-forstorage-test#testing-sensitive-data-threat-detection)には以下のように記述されている 上記をそのまま読むとこんなイメージ? 月 火 水 作成 A追加 B追加 木 金 C追加 土 日 月 火 水 A検知 B検知 15
ロゴ作成中 実際に動かしてみるとこんな感じ 月 火 水 作成 A追加 B追加 木 金 土 日 月 火 水 C追加 A/B/C検知 スキャンジョブが実行される前であれば、当日アップしたBLOBもスキャン対象になる Azureサポートに確認すると、実際の動きが正との回答…… 16
ロゴ作成中 スキャン時刻はクラウドセキュリティエクスプローラー から確認可能 月 作成 … 月 … 月 … 月 検知 (20:22) 検知 (14:26) 7日+6時間 火 … 火 検知 (02:45) 7日+6時間 長期間運用により、スキャンが実施される曜日がずれる 17
ロゴ作成中 「パブリックネットワークアクセス」が有効であることが条件のはずなんですが…… 18
ロゴ作成中 この辺りで沼ってます (うれしくない) 19
ロゴ作成中 機密データ検知はPreview機能です。今後に期待 機密データ検知を利用される場合は、期待する動作をするかの事前検証が必要かも…… 20
ロゴ作成中 機密データに対する脅威を検出する https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-data-sensitivity データ対応セキュリティ態勢の概要 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/concept-data-security-posture Defender for Storage データ セキュリティ機能のテスト https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-test 21
ロゴ作成中 22