Microsoft Defender for Storageで沼っている話

4.5K Views

February 10, 24

スライド概要

profile-image

主に勉強会の資料を公開しています。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

SCUGJ 第38回勉強会 ロゴ作成中 2024/01/27 Windows Server and Cloud User Group Japan 後藤 諭史(Satoshi GOTO)

2.

ロゴ作成中     後藤 諭史( Satoshi GOTO ) 国内SIerでプリセールスやっています 仮想化製品が主な専門分野です Microsoft MVP - Cloud and Datacenter Management (Jul.2012 - Jun.2024) Twitterはこちら ◦ Twitter:@wind06106 2

3.

ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社の正式な回答/見解ではない事に留意してください。 3

4.

ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日(2024/01/27)時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 また、本セッション で紹介する機能の一部はPreview機能となっており、その検証結果を基に記載しています。 今後、仕様および機能は変更される可能性があります。 4

5.

ロゴ作成中 沼ってます (Azureサポートに問い合わせながら検証している最中です) 5

6.

ロゴ作成中  Microsoft Defenderの機能の1つであり、ストレージアカウントを保護 ◦ Azureネイティブなセキュリティー機能(サービス) ◦ ストレージアカウント単位での課金(10ドル/ストレージアカウント)  マルウェアスキャンは別途課金(0.15ドル/GB)  ストレージアカウントに対する攻撃からの保護する3つの機能 ◦ アクティビティ監視 (GA) ◦ マルウェアスキャン (GA) ◦ 機密データ検出 (プレビュー)  サポートされるストレージアカウント ◦ Blob Storage(Standard または Premium StorageV2、Data Lake Gen2 を含む) ◦ Azure Files(REST API と SMB 経由)は アクティビティー監視のみ サポート 6

7.

ロゴ作成中  Microsoft Defender for Cloud の環境設定で有効化 ◦ ストレージアカウント単位で有効/無効も設定可能(オーバーライド機能) 7

8.

ロゴ作成中 Demo: マルウェアスキャンと機密データ検出 8

9.

ロゴ作成中 設定は簡単 あとは仕様をちゃんと把握する 9

10.

ロゴ作成中  Blob Storageにアップロードされたファイルの(ほぼ)リアルタイムに検知 → Azure Filesはマルウェアスキャンがサポートされていないので注意  検疫(隔離)や削除は行われない → セキュリティーアラートに基づく自動化の設定が必要 → Logic Appsやイベントグリッドを使った実装例あり マルウェア スキャンに対する応答の設定 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-configure-malware-scan  アラートはMicrosoft Defender for Cloudの設定に従って通知 10

11.

ロゴ作成中  検出したいデータを設定。設定はDefender for Cloudの「データのセキュリティ」から → Purviewを使うとカスタムの機密データ定義やラベルによる秘密度設定が可能  対応ファイルフォーマットはテキストのほかオフィスファイルなど  Azureの検出対象はBlob Storage。 また「パブリックネットワークアクセス」 が有効であること※  参考:AWS S3やGCPストレージ バケット上のデータや Azure SQL Databases上のデータも 検出可能 ※ https://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-data-security-posture-prepare 11

12.

ロゴ作成中  サポートされている機密データの定義は公式ドキュメントにある Microsoft Defender for Cloud でサポートされる機密情報の種類 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/sensitive-info-types クレジットカード番号のエンティティ定義  エンジンがファイルごとに300文字程度を抽出して判断  設定してみると、色々と微妙な動きが…… 12

13.

ロゴ作成中  2つのファイルを用意して、BLOBに保存 (テスト用のカード番号はSMBC GMOペイメントのテスト環境用カード番号を拝借( https://faq.smbcgp.co.jp/s/article/D00861 )) 4111111111111111 2111111111111111 5111111111111111 3111111111111111 36111111111111 375987000000088 (VISA) (MASTER) (MASTER) (JCB) (DINERS) (AMEX) 4111-1111-1111-1111 (VISA) 2111-1111-1111-1111 (MASTER) 5111-1111-1111-1111 (MASTER) 3111-1111-1111-1111 (JCB) 3611-11111-11111 (DINERS) 3759-870000-00088 (AMEX) ファイルA ファイルB ※ 21xxxと51xxxと31xxxはLuhnテストを通らない模様。ですので検知されなくてもおかしくはないです。他はLuhnテストはクリア  手元の環境ではファイルBは機密データとして検知され、ファイルAは検知されず  パターンマッチングの問題か? とおもったら…… 13

14.

ロゴ作成中 クレジットカード番号ファイルを 消していないのに検知できなくなった 2024/01/19時点 2024/01/27時点 14

15.

ロゴ作成中  ファイルスキャンが7日に1回のため、待機期間にアップされたファイルは即時検知されず → ストレージアカウント作成直後(Defender有効化直後)は24時間以内に1回スキャンされる (AWS S3やGCPストレージバケットでは別の挙動。あくまでBlob Storageの場合)  機密データが検出されるとDefender for Cloudのインベントリや「データのセキュリ ティ」ページで確認可能になるはずだが、24時間以内の初回スキャンでは「データのセ キュリティ」の機密データ欄に追加されない(される場合もある……) → クラウドセキュリティエクスプローラーでも検索不可 dob1labfs08が検索できない 15

16.

ロゴ作成中 この辺りで沼ってます (うれしくない) 16

17.

ロゴ作成中  Microsoft Defender for Cloudの機能の一つとして利用可能  Blob Storageで使う分にはクセはあるものの秀逸です。 Azure Filesの場合は、クライアント側で対応する必要(例えばMicrosoft Defender for Endpoint)があります  機密データ検知はPreview機能です。今後に期待と、Microsoft Purviewとの組み合わせも 要検証(Purview高い) 17

18.

ロゴ作成中  Microsoft Defender for Storage の概要 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-introduction  Microsoft Defender for Storage のデプロイ https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/tutorial-enable-storage-plan  Defender for Storage データ セキュリティ機能のテスト https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-test 18

19.

ロゴ作成中 19