Microsoft Defender for Storage は、ストレージアカウントに対する脅威を検出するサービスです。
ストレージで永続化するデータのセキュリティ対策として、Defender for Storage は使ったことがなかったので試してみました。
docs.microsoft.com
Defender for Storage とは
Defender for Storage は、Microsoft Defender for Cloud(旧 Azure Security Center)のうち、リソースに対する脅威を検出するカテゴリーに分類されます。
Storage 以外にも、次のようなリソース向けのサービスが提供されています。
- Defender for Servers
- Defender for App Service
- Defender for SQL
- Defender for Containers
- Defender for Key Vault
- Defender for Resource Manager
- Defender for DNS
Defender for Storage で検知できる脅威には、ストレージへの異常なアクセスやマルウェアファイルがアップロードなどがあります。
検知できるストレージの種類は、次の3つです。
- Blob Storage
- Azure Data Lake Storage Gen2
- Azure Files
検知できるアラートの一覧については、公式ドキュメントを参照してください。
docs.microsoft.com
Defender for Storage を有効化する
Defender for Cloud の environment settings から、基本的にはサブスクリプション単位で有効化することが推奨されています。
Defender で保護できるリソース一覧が表示されるので、Storage を有効化します。
Storage の Security でも、Defender が有効化されたことを確認できます。
Defender for Storage のアラートを検証する
実際にテスト用のアラートを発生させて、Defender for Storage を検証してみます。
今回は、EICAR テストファイル(アンチウイルスソフトウェアのテスト用ファイル)を Blob Storage にアップロードすることで発生させるアラートを試してみます。
しばらく待っていると、Storage の Security にセキュリティのアラートが表示されます。
Defender for Cloud の Secirity Alert にも、アラートの詳細が表示されます。
検知されたマルウェアが含まれている疑いがあるファイルは、Logic Apps を利用して削除するワークフローを組むこともできます。
techcommunity.microsoft.com
まとめ
Defender for Storage を有効化して、テスト用のアラートを発生させてみました。
ストレージで永続化するデータを外部の脅威から防御するとして、アプリケーションの要件によっては導入を検討してみてもよさそうだと思いました。
Defender for App Service を試してみた記事は、こちらを参照してください。
gooner.hateblo.jp
