続・Microsoft Defender for Storageで沼っている話

1.6K Views

March 04, 24

スライド概要

profile-image

主に勉強会の資料を公開しています。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

SCUGJ 第39回勉強会 ロゴ作成中 2024/02/24 Windows Server and Cloud User Group Japan 後藤 諭史(Satoshi GOTO)

2.

ロゴ作成中     後藤 諭史( Satoshi GOTO ) 国内SIerでプリセールスやっています 仮想化製品が主な専門分野です Microsoft MVP - Cloud and Datacenter Management (Jul.2012 - Jun.2024) Twitterはこちら ◦ Twitter:@wind06106 2

3.

ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社の正式な回答/見解ではない事に留意してください。 3

4.

ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日(2024/02/24)時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 また、本セッションで紹介する機能の一部はPreview機能となっており、その検証結果を基に記載しています。 今後、仕様および機能は変更される可能性があります。 4

5.

ロゴ作成中 この話の続きです https://www.docswell.com/s/wind06106/KW1Q2D-DefenderStorage 5

6.

ロゴ作成中 引き続き沼ってます (Azureサポートに問い合わせながら検証している最中です) 6

7.

ロゴ作成中  検出したいデータを設定。設定はDefender for Cloudの「データのセキュリティ」から → Purviewを使うとカスタムの機密データ定義やラベルによる秘密度設定が可能  対応ファイルフォーマットはテキストのほかオフィスファイルなど  Azureの検出対象はBlob Storage。 また「パブリックネットワークアクセス」 が有効であること※  参考:AWS S3やGCPストレージ バケット上のデータや Azure SQL Databases上のデータも 検出可能 ※ https://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-data-security-posture-prepare 7

8.

ロゴ作成中  スキャン可能なファイルは以下のとおり ◦ .doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、 .pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、 .txt、.xml、.parquet、.avro、.orc  検知可能な機密データの定義は、前回解説した通り ◦ 次ページにて再度解説 8

9.

ロゴ作成中  サポートされている機密データの定義は公式ドキュメントにある 「Microsoft Defender for Cloud でサポートされる機密情報の種類」 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/sensitive-info-types クレジットカード番号のエンティティ定義  日本語(ダブルバイト文字)も対応(プレビューとのこと) 「完全なデータ一致に基づく機密情報の種類の詳細」 https://learn.microsoft.com/ja-jp/purview/sit-learn-about-exact-data-match-based-sits 9

10.

ロゴ作成中  以下の項目で、どのような機密データが保管されているかを確認できる ・ データのセキュリティ クラウドセキュリティエクスプローラー ・ クラウドセキュリティーエクスプローラー ・ ストレージアカウントのインベントリ データのセキュリティ 10

11.

ロゴ作成中 というわけで 地道に 動作検証をしてみた (というか現在進行形……) 11

12.

ロゴ作成中  ひたすら毎日機密データをアップロード ◦ クレジットカード番号を含むファイル(テキストファイル) ◦ SWIFTコードを含むファイル(テキストファイル) ◦ ドキュメント提示のUS SSNを含むファイル(テキストファイル/.docx/.pptx) ◦ ストレージアカウントアクセスキー(実物)を含むファイル(テキストファイル)  データの一部としてアップした日付を記述(ハッシュ対策)  BLOBコンテナー名に作成した日付を設定  毎日機密データが検出されたかを確認…… 12

13.

ロゴ作成中  クレジットカードの検知条件 ◦ Luhnテストが通る14桁から19桁の数字(記号(-)を含んでもよい) ◦ かつ以下の条件のいずれかをクリア ◦ ◦ ◦ キーワード(Keyword_cc_verification)を含む キーワード(Keyword_cc_name)を含む 適切な日付形式の日付情報(Func_expiration_date)を含む  クレジットカードの有効期限情報表記(MM/YY形式)以外の日付データが入っていると クレジットカード情報として判定されない可能性大……  検証の結果、以下のデータは検出の可否が分かれました(どれだけシビアなんだか……) card no. brand expire 4111-1111-1111-1111 VISA 3611-111111-1111 DINERS 09/26 3759-870000-00088 AMEX 09/26 08/27 ファイルA(機密データとして検知) 20240214 card no. brand expire 4111-1111-1111-1111 VISA 3611-111111-1111 DINERS 09/26 3759-870000-00088 AMEX 09/26 08/27 ファイルB(機密データとして判定されず) 13

14.

ロゴ作成中  どうも文字コード制限あり……?  SWIFTコードを含む機密データを作成、同一の内容でSJISとUTF-8(BOMなし)の テキストファイルを作成  実際に機密データスキャンにかけると、UTF-8のファイルのみ検知可能 金融機関コード 金融機関名 SWIFTコード 0000 日本銀行 BOJPJPJT 0001 みずほ銀行 MHCBJPJT 0005 三菱UFJ銀行 BOTKJPJT 0009 三井住友銀行 SMBCJPJT 0010 りそな銀行 DIWAJPJT 0017 埼玉りそな銀行 SAIBJPJT 用意した機密データ 14

15.

ロゴ作成中  機密データスキャンは7日に1回のため、待機期間にアップされたBLOBは即時検知されず  ドキュメント(https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-forstorage-test#testing-sensitive-data-threat-detection)には以下のように記述されている  上記をそのまま読むとこんなイメージ? 月 火 水 作成 A追加 B追加 木 金 C追加 土 日 月 火 水 A検知 B検知 15

16.

ロゴ作成中  実際に動かしてみるとこんな感じ 月 火 水 作成 A追加 B追加 木 金 土 日 月 火 水 C追加 A/B/C検知  スキャンジョブが実行される前であれば、当日アップしたBLOBもスキャン対象になる  Azureサポートに確認すると、実際の動きが正との回答…… 16

17.

ロゴ作成中  スキャン時刻はクラウドセキュリティエクスプローラー から確認可能 月 作成 … 月 … 月 … 月 検知 (20:22) 検知 (14:26) 7日+6時間 火 … 火 検知 (02:45) 7日+6時間  長期間運用により、スキャンが実施される曜日がずれる 17

18.

ロゴ作成中  「パブリックネットワークアクセス」が有効であることが条件のはずなんですが…… 18

19.

ロゴ作成中 この辺りで沼ってます (うれしくない) 19

20.

ロゴ作成中  機密データ検知はPreview機能です。今後に期待  機密データ検知を利用される場合は、期待する動作をするかの事前検証が必要かも…… 20

21.

ロゴ作成中  機密データに対する脅威を検出する https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-data-sensitivity  データ対応セキュリティ態勢の概要 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/concept-data-security-posture  Defender for Storage データ セキュリティ機能のテスト https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-test 21

22.

ロゴ作成中 22