Microsoft Defender for Storage のマルウェアスキャン機能が GA となったので有効化して検出テストしてみた

いわさです。

Microsoft Azure のストレージサービスに Azure Blob Storage があります。
こういったストレージアカウントは適切なアクセス権限の管理が必要となりますが、マルウェアコンテンツがアップロードされ、マルウェアの配布先になってしまうリスクがあります。

このリスクに対処するためにアップロードされたコンテンツに対してマルウェアスキャンを行うアプローチがあり、サードパーティセキュリティベンダーからもクラウドストレージに対してマルウェアスキャンを行うサービスが提供されています。

先日のアップデートで、Microsoft Defender for Cloud のアドオンである Defender for Storage でマルウェアスキャン機能が GA となりました。

Azure 内のマネージドサービスだけで完結するのはなかなか良いなと思い、本日は有効化して EICAR テストファイルでのスキャンまで行ってみたので手順などを紹介したいと思います。

サブスクリプションレベル、あるいはストレージアカウントレベルで有効化が可能

Defender for Storage はサブスクリプション内の既存のストレージアカウントと新しく作成されるストレージアカウントすべてを対象とするサブスクリプションレベルでの有効化が推奨されていますが、ストレージアカウントレベルでの有効化も可能となっています。

サブスクリプションレベルでの有効化

サブスクリプションレベルで Defender for Storage アドオンを有効化する場合は、Microsoft Defender for Cloud の Environment settings から設定が可能です。

有効化したいサブスクリプションを選択し、Defender plans から追加のアドオン（プラン）を有効化します。
いくつかあるアドオンの中の Storage を有効化します。

アドオンごとの個別の料金をこちらから確認することが出来ますが詳細は料金ページのワークロードごとの保護プランに詳細が記載されているのでそちらもご確認ください。
マルウェアスキャン機能はスキャンデータのデータサイズに応じた従量課金となっています。

次のトグルボタンで機能を ON にして保存することで有効化されます。
ここではデフォルトだと Defender for Storage のすべてのオプションが有効化されます。

設定オプションから、Defender for Storage の中の個別のオプションごとに機能の ON/OFF も可能です。

ストレージアカウントレベルでの有効化

前述の手順でサブスクリプションレベルで有効化している場合、それぞれのストレージアカウントでは次のように Microsoft Defender for Storage が ON になっていることが確認出来るはずです。

先程有効化したサブスクリプション以外のストレージアカウントを確認してみると、個別に有効化するオプションが表示されます。ストレージアカウントレベルで有効化したい場合はこちらから有効化すると良さそうですね。

なお、有効化処理中は次のように表示され、この場合はマルウェアスキャン機能が動作しませんでした。

Blob Storage へのアップロード時にスキャンしてくれる

ではマルウェアスキャン機能を有効化したストレージアカウントに対してファイルをアップロードしてみます。
前提として Azure Blob Storage でのみこの機能は使えるのでご注意ください。

適当なテキストファイルをアップロード

まずは適当なテキストファイルを作成し、ローカルから Azure ポータルを使ってアップロードしてみました。
これだけでもマルウェアスキャンが有効になっているかどうかの動作確認が可能です。

確認方法ですが、アップロードされたファイルの Blob index tags を確認してみると、自動で次の 2 つのタグが設定されていると思います。

• Malware Scanning scan result
• Malware Scanning scan time UTC

前者はスキャン結果で、後者はスキャンされた日時を指しています。
この例だとスキャン結果として脅威が検出されていないことがわかります。

このようにファイルアップロードごとのスキャン結果が判定されているのですが、Defender for Cloud 有効化前のアップロード済みのファイルについてはスキャン結果が設定されていませんでした。

EICAR テストファイルのアップロード

続いて脅威検出されるパターンでも試してみたいと思います。
実際にマルウェアコンテンツを入手・アップロードするわけにはいかないので、ここでは EICAR テストファイルをアップロードしてみます。

また、EICAR ファイルを用意する過程でクライアント PC 上で検出される恐れがあるので Azure Cloud Shell 上で作成してそのまま Blob コンテナーにアップロードしました。

アップロードされたファイルの Blob index tags を確認してみると、スキャン結果が「Malicious」として検出されていることが確認出来ます。

またこの時、Microsoft Defender for Cloud のセキュリティアラート画面を見てみると、対象オブジェクトに関する脅威検知内容がアラートとして作成されています。

アラート内容から詳細を確認し、その後のアクションを取ることが出来ます。

なお、セキュリティアラートが発生しているのでメールでの通知も確認出来ました。

さいごに

本日は Microsoft Defender for Storage のマルウェアスキャン機能が GA となったので有効化して検出テストしてみました。

簡単に有効化して検出することが出来ましたね。
マネージドサービスで簡単に追加のセキュリティ対策を有効化出来るのはかなり使いやすいです。マルウェア対策にサードパーティサービスを検討されていた方はこちらの機能と比較してみても良さそう。