Microsoft Defender for Storageで沼っている話
4.4K Views
February 10, 24
スライド概要
主に勉強会の資料を公開しています。
関連スライド
各ページのテキスト
SCUGJ 第38回勉強会 ロゴ作成中 2024/01/27 Windows Server and Cloud User Group Japan 後藤 諭史(Satoshi GOTO)
ロゴ作成中 後藤 諭史( Satoshi GOTO ) 国内SIerでプリセールスやっています 仮想化製品が主な専門分野です Microsoft MVP - Cloud and Datacenter Management (Jul.2012 - Jun.2024) Twitterはこちら ◦ Twitter:@wind06106 2
ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社の正式な回答/見解ではない事に留意してください。 3
ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日(2024/01/27)時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 また、本セッション で紹介する機能の一部はPreview機能となっており、その検証結果を基に記載しています。 今後、仕様および機能は変更される可能性があります。 4
ロゴ作成中 沼ってます (Azureサポートに問い合わせながら検証している最中です) 5
ロゴ作成中 Microsoft Defenderの機能の1つであり、ストレージアカウントを保護 ◦ Azureネイティブなセキュリティー機能(サービス) ◦ ストレージアカウント単位での課金(10ドル/ストレージアカウント) マルウェアスキャンは別途課金(0.15ドル/GB) ストレージアカウントに対する攻撃からの保護する3つの機能 ◦ アクティビティ監視 (GA) ◦ マルウェアスキャン (GA) ◦ 機密データ検出 (プレビュー) サポートされるストレージアカウント ◦ Blob Storage(Standard または Premium StorageV2、Data Lake Gen2 を含む) ◦ Azure Files(REST API と SMB 経由)は アクティビティー監視のみ サポート 6
ロゴ作成中 Microsoft Defender for Cloud の環境設定で有効化 ◦ ストレージアカウント単位で有効/無効も設定可能(オーバーライド機能) 7
ロゴ作成中 Demo: マルウェアスキャンと機密データ検出 8
ロゴ作成中 設定は簡単 あとは仕様をちゃんと把握する 9
ロゴ作成中 Blob Storageにアップロードされたファイルの(ほぼ)リアルタイムに検知 → Azure Filesはマルウェアスキャンがサポートされていないので注意 検疫(隔離)や削除は行われない → セキュリティーアラートに基づく自動化の設定が必要 → Logic Appsやイベントグリッドを使った実装例あり マルウェア スキャンに対する応答の設定 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-configure-malware-scan アラートはMicrosoft Defender for Cloudの設定に従って通知 10
ロゴ作成中 検出したいデータを設定。設定はDefender for Cloudの「データのセキュリティ」から → Purviewを使うとカスタムの機密データ定義やラベルによる秘密度設定が可能 対応ファイルフォーマットはテキストのほかオフィスファイルなど Azureの検出対象はBlob Storage。 また「パブリックネットワークアクセス」 が有効であること※ 参考:AWS S3やGCPストレージ バケット上のデータや Azure SQL Databases上のデータも 検出可能 ※ https://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-data-security-posture-prepare 11
ロゴ作成中 サポートされている機密データの定義は公式ドキュメントにある Microsoft Defender for Cloud でサポートされる機密情報の種類 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/sensitive-info-types クレジットカード番号のエンティティ定義 エンジンがファイルごとに300文字程度を抽出して判断 設定してみると、色々と微妙な動きが…… 12
ロゴ作成中 2つのファイルを用意して、BLOBに保存 (テスト用のカード番号はSMBC GMOペイメントのテスト環境用カード番号を拝借( https://faq.smbcgp.co.jp/s/article/D00861 )) 4111111111111111 2111111111111111 5111111111111111 3111111111111111 36111111111111 375987000000088 (VISA) (MASTER) (MASTER) (JCB) (DINERS) (AMEX) 4111-1111-1111-1111 (VISA) 2111-1111-1111-1111 (MASTER) 5111-1111-1111-1111 (MASTER) 3111-1111-1111-1111 (JCB) 3611-11111-11111 (DINERS) 3759-870000-00088 (AMEX) ファイルA ファイルB ※ 21xxxと51xxxと31xxxはLuhnテストを通らない模様。ですので検知されなくてもおかしくはないです。他はLuhnテストはクリア 手元の環境ではファイルBは機密データとして検知され、ファイルAは検知されず パターンマッチングの問題か? とおもったら…… 13
ロゴ作成中 クレジットカード番号ファイルを 消していないのに検知できなくなった 2024/01/19時点 2024/01/27時点 14
ロゴ作成中 ファイルスキャンが7日に1回のため、待機期間にアップされたファイルは即時検知されず → ストレージアカウント作成直後(Defender有効化直後)は24時間以内に1回スキャンされる (AWS S3やGCPストレージバケットでは別の挙動。あくまでBlob Storageの場合) 機密データが検出されるとDefender for Cloudのインベントリや「データのセキュリ ティ」ページで確認可能になるはずだが、24時間以内の初回スキャンでは「データのセ キュリティ」の機密データ欄に追加されない(される場合もある……) → クラウドセキュリティエクスプローラーでも検索不可 dob1labfs08が検索できない 15
ロゴ作成中 この辺りで沼ってます (うれしくない) 16
ロゴ作成中 Microsoft Defender for Cloudの機能の一つとして利用可能 Blob Storageで使う分にはクセはあるものの秀逸です。 Azure Filesの場合は、クライアント側で対応する必要(例えばMicrosoft Defender for Endpoint)があります 機密データ検知はPreview機能です。今後に期待と、Microsoft Purviewとの組み合わせも 要検証(Purview高い) 17
ロゴ作成中 Microsoft Defender for Storage の概要 https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-introduction Microsoft Defender for Storage のデプロイ https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/tutorial-enable-storage-plan Defender for Storage データ セキュリティ機能のテスト https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-test 18
ロゴ作成中 19