Examen de malware a petición

El examen de malware a petición en Microsoft Defender para Storage le permite examinar los archivos y blobs existentes en las cuentas de Azure Storage siempre que sea necesario. Esta capacidad proporciona flexibilidad para examinar los datos almacenados en respuesta a los requisitos de seguridad en constante evolución, las necesidades de cumplimiento o los incidentes de seguridad, lo que garantiza que los datos están protegidos continuamente.

Mediante el uso del Antivirus de Microsoft Defender con las definiciones de malware más recientes, el examen a petición ofrece una solución nativa de la nube. No requiere una sobrecarga operativa ni de infraestructura adicional. Este enfoque aborda las brechas de cobertura, especialmente para los datos cargados antes de habilitar el escaneo. También ayuda cuando surgen nuevas amenazas, lo que le permite proteger de forma proactiva los archivos almacenados y reducir la posible exposición en entornos en la nube.

Casos de uso comunes para el examen de malware a petición

El examen de malware a petición en Microsoft Defender para Storage ofrece las siguientes ventajas:

• Responder a eventos de seguridad: examine inmediatamente las cuentas de almacenamiento cuando se detecten alertas de seguridad o actividades sospechosas.
• Garantizar el cumplimiento: ejecute exámenes programados o a petición para cumplir los requisitos de cumplimiento normativo y de protección de datos.
• Administrar de manera proactiva la seguridad: establezca exámenes periódicos para mantener un entorno continuamente seguro.
• Crear una línea base de seguridad: examine los datos existentes al habilitar primero Defender para Storage para establecer una línea base para la seguridad futura.

El malware puede infiltrarse en entornos de almacenamiento en la nube y suponer riesgos significativos para las organizaciones. El escaneo de malware a petición proporciona una solución integrada nativa de la nube para detectar y mitigar estas amenazas mediante el escaneo de los datos existentes para detectar contenido malintencionado.

Aspectos compartidos con el escaneo al subir

Las secciones siguientes se aplican tanto al examen de malware a petición como al cargar.

• Costos adicionales, incluidas las operaciones de lectura de Azure Storage, la indexación de blobs y las notificaciones de Event Grid.
• Visualización y consumo de resultados de escaneo: métodos como etiquetas de índice de blobs, alertas de seguridad de Defender for Cloud, eventos de Event Grid y Log Analytics.
• Automatización de la remediación de malware: Automatice acciones como bloquear, eliminar o mover archivos en función de los resultados del escaneo.
• Contenido y limitaciones admitidos: cubre los tipos de archivo, los tamaños, el cifrado y las limitaciones de región admitidos.
• Acceso y privacidad de datos: detalles sobre cómo accede el servicio y procesa los datos, incluidas las consideraciones de privacidad.
• Control de falsos positivos y falsos negativos: pasos para enviar archivos para revisión y crear reglas de exclusión.
• Escaneos de blobs e impacto en IOPS: obtenga información sobre cómo los escaneos desencadenan más operaciones de lectura y actualizan las etiquetas de índice de blobs.

Para obtener información detallada sobre estos temas, consulte introducción al examen de malware.

Iniciar análisis bajo demanda

Comprenda el proceso de escaneo bajo demanda

• Estimación de costos: antes de iniciar un examen, el portal de Azure calcula el costo en función de la métrica capacidad de almacenamiento y el volumen de datos. Obtiene visibilidad sobre el posible costo de análisis.

• Inicio de escaneo: puede iniciar escaneos manualmente desde el portal de Azure, iniciarlos programáticamente con la API REST o automatizarlos a través de Logic Apps, Runbooks de Automation o scripts de PowerShell. Se puede integrar el escaneo en varios flujos de trabajo.

• Enumerar y enviar blobs para el examen: una vez iniciado un examen, el sistema enumera todos los blobs y archivos admitidos en la cuenta de almacenamiento y los envía para el examen en paralelo. En función del número y el tamaño de los objetos, este proceso puede tardar minutos en varias horas.

• Monitorización del progreso: Puede realizar un seguimiento del progreso del análisis a través del portal o la API de Azure. Obtiene detalles sobre el número de objetos examinados, objetos omitidos, volumen de datos, objetos malintencionados detectados, estado del examen y duración.

• Finalización y resultados: después de examinar todos los objetos, el sistema marca el examen como completo y proporciona un resumen de los resultados. También puede usar la API para consultar los detalles sobre el último escaneo.

Aspectos importantes

• Limitación de examen único: solo se puede ejecutar un examen a petición a la vez para cada cuenta de almacenamiento.
• Cancelación: solo se pueden cancelar escaneos durante las fases iniciales del escaneo.

Requisitos previos

• Permisos: Se puede usar el rol de administrador de seguridad integrado. Para el acceso con privilegios mínimos, cree un rol personalizado con los permisos siguientes:

  • Microsoft. Security/defenderForStorageSettings/startMalwareScan/action

  • Microsoft. Security/defenderForStorageSettings/malwareScans/read

  • Microsoft. Security/defenderForStorageSettings/malwareScans/cancelMalwareScan/action

• Defender para Almacenamiento con análisis de malware durante la carga: Debe estar habilitado en la suscripción o en la cuenta de almacenamiento individual.

Desde Azure Portal

1. Inicie sesión en el portal de Azure y vaya a la cuenta de almacenamiento.

2. En Seguridad y redes, seleccione Microsoft Defender for Cloud.

   

3. En la sección Análisis de malware a petición , compruebe el costo estimado en función del volumen de datos.

   

4. Seleccione Examinar cuenta de almacenamiento para malware para iniciar el examen. Cuando se solicite, confirma la acción.

   

5. Supervisión del progreso:

   • El estado del examen y los resultados se actualizan cada 20-30 segundos.

   • Puede ver detalles como el estado del examen, los objetos examinados, los GB examinados, las amenazas encontradas y la duración del examen.

6. Revisión de los resultados:

   • Si el examen encuentra amenazas, revise los detalles de la sección Incidentes y alertas de seguridad .

   • Actualice la página si no ve inmediatamente las alertas.

   

Uso de la API de REST

Inicio del examen

Para iniciar un examen de malware mediante la API REST, siga estos pasos:

• URL de la solicitud:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Autenticación:

  • Asegúrese de obtener un token de portador válido. Necesita este token para acceder a la API.

• Ejemplo:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Verificar el estado y los resultados del escaneo

Después de iniciar un examen, use los siguientes comandos para comprobar el estado y revisar los resultados:

• URL de la solicitud:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Ejemplo de respuesta:

    {
      "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
      "scanStatus": "InProgress",
      "scanStartTime": "2024-10-03T12:34:56Z",
      "scanSummary": {
        "blobs": {
          "totalBlobsScanned": 150,
          "maliciousBlobsCount": 2,
          "skippedBlobsCount": 0,
          "scannedBlobsInGB": 10.5
        },
        "files": {
          "totalFilesScanned": 205
          "maliciousFilesCount": 1,
          "skippedFilesCount": 0,
          "failedFilesCount": 0,
          "scannedFilesInGB": 9.76
        }
        "estimatedScanCostUSD": 3.2
    }
  

Cancelar un escaneo

Solo puede cancelar un escaneo en curso durante sus fases iniciales. Una vez que el escaneo alcanza el estado WaitingForCompletion o más allá, no puedes cancelarlo. Para cancelar el escaneo, envíe la siguiente solicitud de cancelación:

• URL de la solicitud:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Consideraciones sobre los costos

Antes de iniciar un examen a petición, el portal de Azure proporciona una estimación de costos basada en la métrica Capacidad de almacenamiento, actualizada cada pocas horas. La estimación se muestra en USD y refleja el costo por GB escaneado. A diferencia del escaneo al cargar, no hay ningún límite mensual y los costos se basan totalmente en el uso.

Procedimientos recomendados para el control de costos

• Revisar las estimaciones de costos: compruebe siempre el costo estimado en Azure Portal antes de iniciar un examen.
• Establecer la frecuencia de examen de forma inteligente: programe o automatice los exámenes en función del riesgo, centrándose en datos de alta prioridad para evitar costos innecesarios.
• Automatizar de forma eficaz: asegúrese de que la automatización desencadene los exámenes solo cuando sea necesario, como en respuesta a eventos o alertas específicos.

procedimientos recomendados

Para maximizar la eficacia del examen de malware a petición en Microsoft Defender para Storage, tenga en cuenta las siguientes recomendaciones:

• Integración con la respuesta a incidentes: use el examen a petición para abordar rápidamente los incidentes de seguridad mediante el examen de archivos potencialmente comprometidos en respuesta a las alertas.

• Automatizar exámenes de cumplimiento: configure exámenes automatizados y regulares para garantizar el cumplimiento continuo de los requisitos normativos y la preparación de la auditoría. Usa Logic Apps o runbooks para optimizar este proceso.

• Configurar la remediación automatizada para la detección de malware: Habilite la eliminación leve de blobs maliciosos o configure flujos de trabajo automatizados que remedien la detección de malware, como mover archivos infectados a cuarentena o transferir archivos limpios.

• Administrar de forma proactiva los costos: revise siempre las estimaciones de costos proporcionadas en Azure Portal antes de iniciar exámenes, especialmente para conjuntos de datos grandes o exámenes frecuentes.

• Supervisar los resultados de forma coherente: supervise continuamente los resultados del examen y las alertas de seguridad para mantenerse al día sobre las posibles amenazas y tomar medidas oportunas.

Contenido relacionado

• Introducción al examen de malware
• Análisis de malware al cargar en Microsoft Defender para Almacenamiento