Kontrola malwaru na vyžádání

Kontrola malwaru na vyžádání v Programu Microsoft Defender for Storage umožňuje kontrolovat existující objekty blob v účtech Azure Storage, kdykoli je to potřeba. Tato funkce poskytuje flexibilitu při prohledávání uložených dat v reakci na měnící se požadavky na zabezpečení, požadavky na dodržování předpisů nebo incidenty zabezpečení a zajistit tak nepřetržitou ochranu vašich dat.

Při použití Antivirová ochrana v programu Microsoft Defender s nejnovějšími definicemi malwaru nabízí vyhledávání na vyžádání cloudové nativní řešení. Nevyžaduje další infrastrukturu ani provozní režii. Tento přístup řeší mezery v pokrytí, zejména pro data nahraná před povolením kontroly. Pomáhá také při vzniku nových hrozeb, což vám umožní proaktivně zabezpečit uložené soubory a snížit potenciální vystavení v cloudových prostředích.

Běžné případy použití kontroly malwaru na vyžádání

Použití kontroly malwaru na vyžádání v programu Microsoft Defender for Storage nabízí následující výhody:

• Reakce na události zabezpečení: Okamžitě zkontrolujte účty úložiště, když se zjistí výstrahy zabezpečení nebo podezřelé aktivity.
• Zajištění dodržování předpisů: Spusťte naplánované kontroly nebo kontroly na vyžádání, které splňují požadavky na ochranu dat a dodržování právních předpisů.
• Proaktivní správa zabezpečení: Umožňuje nastavit opakované kontroly, aby se zachovalo nepřetržitě zabezpečené prostředí.
• Vytvoření standardních hodnot zabezpečení: Při prvním povolení defenderu for Storage vyhledejte existující data a vytvořte směrný plán pro budoucí zabezpečení.

Malware může infiltrovat prostředí cloudového úložiště a představovat významná rizika pro organizace. Kontrola malwaru na vyžádání poskytuje integrované cloudové nativní řešení pro detekci a zmírnění těchto hrozeb tím, že prohledá stávající data škodlivého obsahu.

Sdílené aspekty s kontrolou při nahrávání

Následující části se vztahují na kontrolu malwaru na vyžádání i nahrání malwaru.

• Další náklady včetně operací čtení služby Azure Storage, indexování objektů blob a oznámení Event Gridu
• Zobrazení a využívání výsledků kontroly: Metody, jako jsou značky indexu objektů blob, výstrahy zabezpečení v Defenderu pro cloud, události Event Gridu a Log Analytics.
• Automatizace odpovědí: Automatizujte akce, jako jsou blokování, odstraňování nebo přesouvání souborů na základě výsledků kontroly.
• Podporovaný obsah a omezení: Pokrývá podporované typy souborů, velikosti, šifrování a omezení oblastí.
• Přístup a ochrana osobních údajů: Podrobnosti o tom, jak služba přistupuje k datům a zpracovává je, včetně aspektů ochrany osobních údajů.
• Zpracování falešně pozitivních a falešně negativních výsledků: Postup odesílání souborů pro kontrolu a vytváření pravidel potlačení
• Prohledávání objektů blob a vliv na IOPS: Zjistěte, jak kontroly aktivují další operace čtení a aktualizují značky indexu objektů blob.

Podrobné informace o těchto tématech najdete na stránce Úvod do kontroly malwaru.

Zahájení kontrol na vyžádání

Vysvětlení procesu kontroly na vyžádání

• Odhad nákladů: Před zahájením kontroly poskytuje Azure Portal odhadované náklady na základě metriky kapacity objektů blob a objemu dat a nabízí přehled o potenciálních nákladech na kontrolu.
• Inicializace skenování: Kontroly je možné spustit ručně z webu Azure Portal, aktivovat programově pomocí rozhraní REST API nebo automatizovat prostřednictvím Logic Apps, runbooků automation nebo skriptů PowerShellu, které umožňují integraci do různých pracovních postupů.
• Výpis a odeslání objektů blob ke kontrole: Po zahájení kontroly systém vypíše všechny podporované objekty blob v účtu úložiště a odešle je k paralelní kontrole. V závislosti na množství a velikosti objektu blob může tento proces trvat několik minut až několik hodin.
• Průběh monitorování: Průběh kontroly můžete sledovat prostřednictvím webu Azure Portal nebo rozhraní API s podrobnostmi o počtu naskenovaných objektů blob, přeskočených souborech, objemu dat, zjištěných škodlivých souborech, stavu kontroly a době trvání.
• Dokončení a výsledky: Po naskenování všech objektů blob systém označí kontrolu jako dokončenou a poskytne souhrn zjištění. Rozhraní API lze také použít k dotazování podrobností poslední kontroly.

Klíčové aspekty

• Omezení jedné kontroly: Na jeden účet úložiště může najednou běžet jenom jedna kontrola na vyžádání.
• Zrušení: Kontroly lze zrušit pouze během počátečních fází kontroly.

Požadavky

• Oprávnění: Role Vlastník nebo Přispěvatel v předplatném nebo účtu úložiště nebo konkrétní role s potřebnými oprávněními.
• Defender for Storage s kontrolou malwaru: Musí být povolený pro předplatné nebo jednotlivé účty úložiště.

Pomocí webu Azure Portal

1. Přihlaste se k webu Azure Portal a přejděte ke svému účtu úložiště.

2. V části Zabezpečení a sítě vyberte Microsoft Defender for Cloud.

   

3. V části Kontrola malwaru na vyžádání vyhodnoťte odhadované náklady na základě objemu dat.

   

4. Výběrem možnosti Vyhledat objekty blob vyhledejte malware a spusťte kontrolu. Po výzvě potvrďte akci.

   

5. Monitorování průběhu:

   • Stav kontroly a zjištění se aktualizují každých 20 až 30 sekund.

   • Zobrazení podrobností, jako je stav kontroly, naskenované objekty blob, kontrola dat, nalezené škodlivé objekty blob a doba trvání kontroly.

6. Kontrola zjištění:

   • Pokud se hrozby najdou, projděte si podrobnosti v části Incidenty zabezpečení a výstrahy .

   • Aktualizujte stránku, pokud se upozornění nezobrazují okamžitě.

   

Poznámka:

Probíhající kontrolu můžete zrušit výběrem možnosti Storno. Zrušení je možné pouze v počátečních fázích kontroly, než dosáhne stavu Čekání na dokončení . Jakmile kontrola přejde do tohoto stavu nebo nad rámec, není možné ji zrušit.

Použití rozhraní REST API

Zahájení kontroly

Pokud chcete spustit kontrolu malwaru pomocí rozhraní REST API, postupujte takto:

• Request URL (URL požadavku):

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Authentication (Ověřování):

  • Ujistěte se, že jste získali platný nosný token. To se vyžaduje pro přístup k rozhraní API.

• Příklad:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Kontrola stavu kontroly a výsledků

Po spuštění kontroly můžete zkontrolovat stav a zkontrolovat výsledky pomocí následujících příkazů:

• Request URL (URL požadavku):

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Příklad odpovědi:

  {
    "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
    "scanStatus": "InProgress",
    "scanStartTime": "2024-10-03T12:34:56Z",
    "scanSummary": {
      "blobs": {
        "totalBlobsScanned": 150,
        "maliciousBlobsCount": 2,
        "skippedBlobsCount": 0,
        "scannedBlobsInGB": 10.5
      },
      "estimatedScanCostUSD": 1.575
    }
  }
  

Zrušení kontroly

Probíhající kontrolu můžete zrušit jenom během počátečních fází. Jakmile kontrola dosáhne stavu WaitingForCompletion nebo nad rámec, zrušení není možné. Pokud chcete kontrolu zrušit, odešlete následující žádost o zrušení:

• Request URL (URL požadavku):

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Důležité informace o nákladech

Před zahájením kontroly na vyžádání poskytuje Azure Portal odhad nákladů na základě metriky kapacity objektů blob, které se aktualizují každých několik hodin. Odhad se zobrazí v USD a odráží náklady na skenované GB. Na rozdíl od kontroly při nahrávání neexistuje žádný měsíční limit – náklady jsou zcela založené na využití.

Osvědčené postupy pro řízení nákladů

• Projděte si odhady nákladů: Před zahájením kontroly vždy zkontrolujte odhadované náklady na webu Azure Portal.
• Nastavte frekvenci kontroly moudře: Naplánujte nebo automatizujte kontroly na základě rizika a zaměřte se na data s vysokou prioritou, abyste se vyhnuli zbytečným nákladům.
• Automatizovat efektivně: Zajistěte, aby se triggery automatizace kontrolovaly jenom v případě potřeby, například v reakci na konkrétní události nebo výstrahy.

Osvědčené postupy

Pokud chcete maximalizovat efektivitu kontroly malwaru na vyžádání v programu Microsoft Defender for Storage, zvažte následující doporučení:

• Integrace s reakcí na incidenty: Pomocí kontroly na vyžádání můžete rychle řešit incidenty zabezpečení kontrolou potenciálně ohrožených souborů v reakci na výstrahy.
• Automatizace kontrol dodržování předpisů: Nastavení automatizovaných pravidelných kontrol pro zajištění průběžného dodržování zákonných požadavků a připravenosti na audit. K zjednodušení tohoto procesu použijte Logic Apps nebo runbooky.
• Nastavte automatizované odpovědi na výsledky kontroly: Nakonfigurujte automatizované pracovní postupy, které reagují na výsledky kontroly malwaru, například přesun napadených souborů do karantény nebo předávání čistých souborů.
• Aktivně spravujte náklady: Před zahájením kontrol vždy zkontrolujte odhady nákladů na webu Azure Portal, zejména u velkých datových sad nebo častých kontrol.
• Výsledky monitorování konzistentně: Nepřetržitě monitorujte výsledky kontroly a výstrahy zabezpečení, abyste měli přehled o potenciálních hrozbách a mohli včas reagovat.

Související obsah

• Úvod do kontroly malwaru
• Kontrola malwaru při nahrávání v programu Microsoft Defender for Storage