Microsoft Defender for Cloud

Trong bài viết này, mình sẽ giới thiệu về Microsoft Defender for Cloud, cách bật tắt và sử dụng Ms Defender cho Blob Storage

Giới thiệu

Microsoft Defender for Cloud là một nền tảng bảo vệ cloud-native application (CNAPP) được tạo thành từ các biện pháp và biện pháp bảo mật được thiết kế để bảo vệ các ứng dụng dựa trên cloud khỏi nhiều mối đe dọa và lỗ hổng mạng khác nhau

Bật Microsoft Defender cho Blob Storage

Bạn vào Azure Portal => Your blob Storage => Security + Networking => Microsoft Defender for Cloud => Settings => Bật các option từ Off => On

Lưu ý bạn cần có quyền Administrator để thực hiện thay đổi settings này.

Ngoài ra, bạn cần tạo Event Grid để nhận kết quả từ Microsoft Defender for Cloud

Tắt Microsoft Defender cho Blob Storage

Bạn vào trang Microsoft Defender for Cloud > Environment settings > Your subscription.

Switch value Defender for Storage plan thành Off => chọn Save

Hướng dẫn nhận kết quả từ Microsoft Defender

Chúng ta có các bước:

Upload file lên Blob Storage: https://nhatkyhoctap.blogspot.com/2023/06/azure-functions-su-dung-azurite-e.html
Nhận kết quả scan Malware
Xóa file nếu Malware detected

Ở bước 1 và 3, bạn xem thêm API sử dụng Blob Storage để upload file

Ở bước 2, chúng ta có 2 cách:

Sử dụng Event Grid để nhận kết quả
Get Blob Index tag sau khi upload để nhận kết quả

public static class MalwareHandler
{
    [FunctionName("MalwareHandler")]
    public static async Task Run([EventGridTrigger] EventGridEvent eventGridEvent,
        ExecutionContext context,
        ILogger logger)
    {
        try
        {
            // your code here
        }
        catch (Exception exception)
        {
            logger.LogError(exception, $"Unable to proceed message handler");
            throw;
        }

    }
}

Để debug Event Grid, bạn dùng Postman

{
    "id": "f99520ad-3dfb-4adc-b703-04cba7b76549",
    "topic": "/subscriptions/.../resourceGroups/rg-nhatkyhoctap-cloud-defender/providers/Microsoft.EventGrid/topics/evgt-nhatkyhoctap-cloud-defender",
    "subject": "storageAccounts/nhatkyhoctapstorage/containers/abc/blobs/TEMP/f9cb50bf-2ef3-40d2-9776-7fd6a2ef77cd",
    "data": {
        "correlationId": "f99520ad-3dfb-4adc-b703-04cba7b76549",
        "blobUri": "https://nhatkyhoctapstorage.blob.core.windows.net/abc/TEMP/f9cb50bf-2ef3-40d2-9776-7fd6a2ef77cd",
        "eTag": "0x8DBDEB12F571CD3",
        "scanFinishedTimeUtc": "2024-01-08T10:14:43.5217279Z",
        "scanResultType": "CleanVerdict",
        "scanResultDetails": {
            "malwareNamesFound": [
                "DOS/EICAR_Test_File"
            ],
            "sha256": "..."
        }
    },
    "eventType": "Microsoft.Security.MalwareScanningResult",
    "eventTime": "2024-01-08T10:14:43.5223210Z",
    "dataVersion": "1.0"
}

Xem thêm: Debug Event Grid ở localhost

Ngoài ra, bạn có thể get Blob Index tag để kiểm tra trạng thái của Blob file. Sau khi scan file xong, Index tag sẽ cập nhật như sau:

Blob index tags
Key						Value
Malware Scanning scan result			No threats found
Malware Scanning scan time UTC			2023-11-20 05:56:29Z

Tham khảo thêm về cách lấy Index tag: Azure Functions: Blob Index tag và metadata

Tham khảo

https://nhatkyhoctap.blogspot.com/2023/06/azure-functions-su-dung-azurite-e.html

Azure Functions: Blob Index tag và metadata

Nhật ký học tập

Tìm kiếm Blog này