Verificação de malware sob demanda

A verificação de malware sob demanda no Microsoft Defender for Storage permite que você examine blobs e arquivos existentes em suas contas de Armazenamento do Azure sempre que necessário. Essa funcionalidade fornece flexibilidade para verificar dados armazenados em resposta aos requisitos de segurança em evolução, necessidades de conformidade ou incidentes de segurança, garantindo que seus dados estejam continuamente protegidos.

Usando o Microsoft Defender Antivírus com as definições de malware mais recentes, a verificação sob demanda oferece uma solução nativa de nuvem. Ele não requer infraestrutura extra ou sobrecarga operacional. Essa abordagem aborda lacunas na cobertura, especialmente para dados carregados antes da verificação ser habilitada. Ele também ajuda quando novas ameaças surgem, permitindo proteger proativamente arquivos armazenados e reduzir a exposição potencial em ambientes de nuvem.

Casos de uso comuns para verificação de malware sob demanda

O uso de verificação de malware sob demanda no Microsoft Defender para Armazenamento oferece as seguintes vantagens:

• Responder a eventos de segurança: examine imediatamente as contas de armazenamento quando são detectados alertas de segurança ou atividades suspeitas.
• Garantir a conformidade: execute verificações agendadas ou sob demanda para atender aos requisitos de conformidade regulatória e de proteção de dados.
• Gerenciamento proativo de segurança: defina verificações recorrentes para manter um ambiente continuamente seguro.
• Criar uma linha de base de segurança: examine os dados existentes ao primeiro habilitar o Defender para Armazenamento para estabelecer uma linha de base para segurança futura.

O malware pode se infiltrar em ambientes de armazenamento em nuvem e representar riscos significativos para as organizações. A verificação de malware sob demanda fornece uma solução interna e nativa de nuvem para detectar e atenuar essas ameaças verificando seus dados existentes em busca de conteúdo mal-intencionado.

Aspectos compartilhados com a verificação no upload

As seções a seguir se aplicam à verificação de malware tanto sob demanda quanto no upload.

• Custos adicionais, incluindo operações de leitura do Armazenamento do Microsoft Azure, indexação de blobs e notificações da Grade de Eventos.
• Exibição e consumo dos resultados da verificação: métodos como marcas de índice de blob, alertas de segurança do Defender para Nuvem, eventos da Grade de Eventos e Log Analytics.
• Automação de correção de malware: automatizar ações como bloquear, excluir ou mover arquivos com base nos resultados da verificação.
• Conteúdo com suporte e limitações: abrange tipos de arquivos com suporte, tamanhos, criptografia e limitações regionais.
• Acesso e privacidade de dados: detalhes sobre como o serviço acessa e processa seus dados, inclusive considerações de privacidade.
• Lidar com falsos positivos e falsos negativos: etapas para enviar arquivos para revisão e criar regras de supressão.
• Verificações de blobs e impacto no IOPS: saiba como as verificações disparam operações de leitura adicionais e atualizam marcas de índice de blobs.

Para obter informações detalhadas sobre esses tópicos, consulte a Introdução à verificação de malware.

Iniciar verificações sob demanda

Entender o processo de verificação sob demanda

• Cost estimation: antes de iniciar uma verificação, o portal Azure estima o custo com base na métrica da Capacidade de Armazenamento e no volume de dados. Você tem uma visão geral do custo potencial da digitalização.

• Scan initiation: você pode iniciar verificações manualmente no portal Azure, acioná-las programaticamente usando a API REST ou automatizá-las por meio de Aplicativos Lógicos, runbooks de Automação ou scripts do PowerShell. Você pode integrar a digitalização em vários fluxos de trabalho.

• Listando e enviando blobs para verificação: depois de iniciar uma verificação, o sistema lista todos os blobs e arquivos com suporte na conta de armazenamento e os envia para verificação em paralelo. Dependendo do número e do tamanho dos objetos, esse processo pode levar minutos a várias horas.

• Monitoramento do progresso: É possível acompanhar o progresso da verificação por meio do portal Azure ou da API. Você obtém detalhes sobre o número de objetos verificados, objetos ignorados, volume de dados, objetos mal-intencionados detectados, status de verificação e duração.

• Conclusão e resultados: depois que todos os objetos são verificados, o sistema marca a verificação como concluída e fornece um resumo das descobertas. Você também pode usar a API para consultar os detalhes da última verificação.

Considerações-chave

• Limitação de verificação única: apenas uma verificação sob demanda pode ser executada por vez para cada conta de armazenamento.
• Cancelamento: você só pode cancelar verificações durante os estágios iniciais da verificação.

Pré-requisitos

• Permissões: A função de Administrador de Segurança interna pode ser usada. Para acesso menos privilegiado, crie uma função personalizada com as seguintes permissões:

  • Microsoft.Security/defenderForStorageSettings/startMalwareScan/action

  • Microsoft.Security/defenderForStorageSettings/malwareScans/read

  • Microsoft.Security/defenderForStorageSettings/malwareScans/cancelMalwareScan/action

• Defender para Armazenamento com verificação de malware durante o upload: deve estar ativado na assinatura ou na conta de armazenamento individual.

No portal do Azure

1. Entre no portal do Azure e acesse sua conta de armazenamento.

2. Em Segurança e rede, selecione Microsoft Defender para Nuvem.

   

3. Na seção verificação de malware sob demanda , verifique o custo estimado com base no volume de dados.

   

4. Selecione Verificar a conta de armazenamento do malware para iniciar a verificação. Confirme a ação quando necessário.

   

5. Monitorar o progresso:

   • O status da verificação e as descobertas são atualizados a cada 20 a 30 segundos.

   • Você pode exibir detalhes como status de verificação, objetos verificados, GB verificados, ameaças encontradas e duração da verificação.

6. Resultados da revisão:

   • Se a verificação encontrar ameaças, examine os detalhes na seção Incidentes de segurança e alertas .

   • Atualize a página se você não vir alertas imediatamente.

   

Usar a API REST

Iniciar a verificação

Para iniciar uma verificação de malware usando a API REST, siga estas etapas:

• URL da solicitação:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Autenticação:

  • Certifique-se de obter um token de portador válido. Você precisa desse token para acessar a API.

• Exemplo:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Verificar o status e os resultados da verificação

Depois de iniciar uma verificação, use os seguintes comandos para verificar o status e examinar os resultados:

• URL da solicitação:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Exemplo de resposta:

    {
      "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
      "scanStatus": "InProgress",
      "scanStartTime": "2024-10-03T12:34:56Z",
      "scanSummary": {
        "blobs": {
          "totalBlobsScanned": 150,
          "maliciousBlobsCount": 2,
          "skippedBlobsCount": 0,
          "scannedBlobsInGB": 10.5
        },
        "files": {
          "totalFilesScanned": 205
          "maliciousFilesCount": 1,
          "skippedFilesCount": 0,
          "failedFilesCount": 0,
          "scannedFilesInGB": 9.76
        }
        "estimatedScanCostUSD": 3.2
    }
  

Cancelar uma verificação

Você pode cancelar uma verificação em andamento somente durante seus estágios iniciais. Quando a verificação atingir o estado WaitingForCompletion ou um estado posterior, não será possível cancelá-la. Para cancelar a verificação, envie a seguinte solicitação de cancelamento:

• URL da solicitação:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Considerações de custo

Antes de iniciar uma verificação sob demanda, o portal Azure fornece uma estimativa de custo com base na métrica capacidade de armazenamento, atualizada a cada poucas horas. A estimativa é mostrada em USD e reflete o custo por GB verificado. Ao contrário da verificação no carregamento, não há limite mensal e os custos são inteiramente baseados no uso.

Melhores práticas para controle de custos

• Examine as estimativas de custo: sempre verifique o custo estimado no portal do Azure antes de iniciar uma verificação.
• Defina a frequência de verificação com sabedoria: agende ou automatize verificações com base no risco, concentrando-se em dados de alta prioridade para evitar custos desnecessários.
• Automatizar com eficiência: verifique se a automação dispara verificações somente quando necessário, como em resposta a eventos ou alertas específicos.

Práticas recomendadas

Para maximizar a eficácia da verificação de malware sob demanda no Microsoft Defender para Armazenamento, considere as seguintes recomendações:

• Integre-se à resposta a incidentes: use a verificação sob demanda para lidar rapidamente com incidentes de segurança verificando arquivos potencialmente comprometidos em resposta a alertas.

• Automatizar verificações de conformidade: configure verificações automatizadas e regulares para garantir a conformidade contínua com os requisitos regulatórios e a preparação de auditoria. Use os Aplicativos Lógicos ou runbooks para simplificar esse processo.

• Configurar a correção automatizada para detecção de malware: habilite a exclusão temporária de blobs maliciosos ou configure fluxos de trabalho automatizados que corrijam a detecção de malware, como mover arquivos infectados para quarentena ou encaminhar arquivos limpos.

• Gerenciar custos proativamente: sempre examine as estimativas de custo fornecidas no portal do Azure antes de iniciar verificações, especialmente para grandes conjuntos de dados ou verificações frequentes.

• Monitore os resultados de forma consistente: monitore continuamente os resultados da verificação e os alertas de segurança para se manter informado sobre possíveis ameaças e tomar medidas oportunas.

Conteúdo relacionado

• Introdução à verificação de malware
• Verificação de malware durante o upload no Microsoft Defender para Armazenamento