Examen de malware en carga
Al cargar el examen de malware en Microsoft Defender for Storage, se examinan automáticamente los blobs cuando se cargan o modifican, lo que proporciona una detección casi en tiempo real frente a contenido malintencionado. Esta solución basada en SaaS nativa de nube usa antivirus de Microsoft Defender para realizar exámenes completos de malware, lo que garantiza que las cuentas de almacenamiento permanezcan seguras sin necesidad de infraestructura o mantenimiento adicionales.
Mediante la integración del examen de carga en las cuentas de almacenamiento, puede hacer lo siguiente:
- Impedir cargas malintencionadas: impedir que el malware entre en el entorno de almacenamiento en el punto de carga.
- Simplificar la administración de seguridad: beneficiarse del examen automático sin implementar ni administrar agentes.
- Mejorar el cumplimiento: cumplir los requisitos normativos asegurándose de que todos los datos cargados se examinan para el malware.
La carga de malware es una amenaza principal para el almacenamiento en la nube, ya que los archivos malintencionados pueden entrar y distribuirse dentro de una organización a través de servicios de almacenamiento en la nube. Microsoft Defender for Storage proporciona una solución integrada para mitigar este riesgo con funcionalidades completas contra malware.
Casos de uso comunes para el examen de malware al cargar
Aplicaciones web: proteger la carga de contenidos generados por el usuario en aplicaciones web como aplicaciones fiscales, sitios de carga de CV y carga de recibos.
Distribución de contenido: proteger recursos como imágenes y vídeos compartidos a escala a través de centros de contenido o CDN (redes de entrega de contenido), que pueden ser puntos de distribución de malware comunes.
Requisitos de cumplimiento: cumplir los estándares normativos, como NIST, SWIFT y RGPD, mediante el examen de contenido que no es de confianza, especialmente para sectores regulados.
Integración de terceros: garantizar que los datos de terceros, como los contenidos de socios comerciales o contratistas, se examinan para evitar riesgos de seguridad.
Plataformas colaborativas: garantizar la colaboración segura entre equipos y organizaciones mediante el examen del contenido compartido.
Canalizaciones de datos: mantener la integridad de los datos en los procesos ETL (extracción, transformación, carga) asegurándose de que ningún malware entre en varios orígenes de datos.
Datos de aprendizaje automático: proteger la calidad de los datos de entrenamiento al garantizar que los conjuntos de datos sean limpios y seguros, especialmente si contienen contenido generado por el usuario.
Nota:
El análisis de malware es un servicio casi en tiempo real. Los tiempos de examen pueden variar en función del tamaño del archivo, el tipo de archivo, la carga del servicio y la actividad de la cuenta de almacenamiento.
Habilitar el examen de malware de carga
Requisitos previos
- Permisos: rol Propietario o Colaborador en la suscripción o cuenta de almacenamiento, o roles específicos con los permisos necesarios.
- Defender para Storage: debe estar habilitado en la suscripción o en las cuentas de almacenamiento individuales.
Para habilitar y configurar el examen de malware en todas las suscripciones mientras conserva el control detallado sobre las cuentas de almacenamiento individuales, puede usar uno de los métodos siguientes:
- Uso de directiva integrada de Azure = uso mediante programación de la infraestructura como plantillas de código, incluidas las plantillas de Terraform, Bicepy ARM
- Mediante Azure Portal
- Con PowerShell
- Directamente con la API de REST
Cuando se habilita el examen de malware, se crea automáticamente un recurso de tema del sistema de Event Grid en el mismo grupo de recursos que la cuenta de almacenamiento. El servicio de análisis de malware lo usa para escuchar los desencadenadores de carga de blobs.
Para obtener instrucciones detalladas, consulte Implementación de Microsoft Defender for Storage.
Control de costos para el examen de malware de carga
El examen de malware se factura por GB examinado. Para proporcionar previsibilidad de costos, el análisis de malware admite la configuración de un límite en la cantidad de GB escaneados en un solo mes por cuenta de almacenamiento.
Importante
El examen de malware en Defender for Storage no se incluye en la primera prueba de 30 días gratis y se le cobrará desde el primer día de acuerdo con el esquema de precios disponible en la página de precios de Defender for Cloud.
El mecanismo de limitación establece un límite de exploración mensual, medido en gigabytes (GB), para cada cuenta de almacenamiento. Esto sirve como medida de control de costos eficaz. Si se alcanza un límite de examen predefinido para una cuenta de almacenamiento dentro de un mismo mes natural, la operación de examen se detiene automáticamente. Esta detención se produce una vez alcanzado el umbral, con una desviación de hasta 20 GB. Los archivos no se examinan para malware más allá de este punto. El límite se restablece al final de cada mes a medianoche UTC. La actualización del límite suele tardar hasta una hora en surtir efecto.
De forma predeterminada, se establece un límite de 5 TB (5000 GB) si no se define ningún mecanismo de límite específico.
Sugerencia
Se puede establecer el mecanismo de límite en cuentas de almacenamiento individuales o en toda una suscripción (a cada cuenta de almacenamiento de la suscripción se le asignará el límite definido en el nivel de suscripción).
Funcionamiento del examen de malware
Flujo de examen de malware al cargar
Los exámenes de carga se desencadenan mediante cualquier operación que produzca un evento BlobCreated, tal como se especifica en la documentación de Azure Blob Storage como origen de Event Grid. Entre las operaciones se incluyen:
- Carga de nuevos blobs: cuando se agrega un nuevo blob a un contenedor
- Sobrescribir blobs existentes: cuando se reemplaza un blob existente por nuevo contenido
- Finalización de los cambios en blobs: operaciones como
PutBlockListoFlushWithCloseque confirman cambios en un blob
Nota:
Las operaciones incrementales, como AppendFile en Azure Data Lake Storage Gen2 y PutBlock en Azure BlockBlob, no desencadenen un examen de malware de forma independiente. Un examen de malware solo se produce cuando estas adiciones se finalizan mediante operaciones de confirmación como PutBlockList o FlushWithClose. Cada confirmación puede iniciar un nuevo examen, lo que puede aumentar los costos si los mismos datos se examinan varias veces debido a actualizaciones incrementales.
Proceso de examen
- Detección de eventos: cuando se produce un evento de
BlobCreated, el servicio de análisis de malware detecta el cambio. - Recuperación de blobs: el servicio lee de forma segura el contenido del blob dentro de la misma región que la cuenta de almacenamiento.
- Examen en memoria: el contenido se examina en memoria mediante el Antivirus de Microsoft Defender con definiciones de malware actualizadas.
- Generación de resultados: se genera el resultado del examen y se realizan las acciones adecuadas en función de los resultados.
- Eliminación de contenido: contenido escaneado no se conserva y se elimina inmediatamente después del examen.
Rendimiento y capacidad para el examen de malware de carga
El examen de malware de carga tiene límites de capacidad y rendimiento específicos para garantizar el rendimiento y la eficacia en las operaciones a gran escala. Estos límites ayudan a controlar el volumen de datos que se pueden procesar por minuto, lo que garantiza un equilibrio entre la protección casi en tiempo real y la carga del sistema.
- Límite de velocidad de rendimiento del examen: análisis de malware de carga puede procesar hasta 50 GB por minuto por cuenta de almacenamiento. Si la tasa de cargas de blobs supera este umbral momentáneamente, el sistema pone en cola los archivos e intenta examinarlos. Sin embargo, si la tasa de carga supera constantemente el límite, es posible que algunos blobs no se examinen.
Aspectos compartidos con el examen a petición
Las siguientes secciones son aplicables tanto al examen de malware a petición como al de carga.
- Costos adicionales, incluidas las operaciones de lectura de Azure Storage, la indexación de blobs y las notificaciones de Event Grid.
- Visualización y consumo de resultados de examen: métodos como etiquetas de índice de blobs, alertas de seguridad de Defender for Cloud, eventos de Event Grid y Log Analytics.
- Automatización de la respuesta: automatice acciones como bloquear, eliminar o mover archivos en función de los resultados del examen.
- Contenido y limitaciones admitidos: cubre los tipos de archivo, los tamaños, el cifrado y las limitaciones de región admitidos.
- Acceso y privacidad de datos: detalles sobre cómo accede el servicio y procesa los datos, incluidas las consideraciones de privacidad.
- Control de falsos positivos y falsos negativos: pasos para enviar archivos para revisar y crear reglas de supresión.
- Examen de blobs e impacto en IOPS: obtenga información sobre cómo los exámenes desencadenan más operaciones de lectura y actualizan etiquetas de índice de blobs.
Para obtener información detallada sobre estos temas, consulte la página Introducción al examen de malware.
Procedimientos recomendados y consejos
- Establezca límites de control de costos para las cuentas de almacenamiento, especialmente las que tienen un tráfico elevado de carga, para administrar y optimizar los gastos de forma eficaz.
- Use Log Analytics para realizar un seguimiento del historial de examen con fines de cumplimiento y auditoría.
- Si el caso de uso requiere un mecanismo de respuesta, considere la posibilidad de configurar respuestas automatizadas (por ejemplo, acciones de cuarentena o eliminación) mediante Event Grid y Logic Apps. Para obtener instrucciones detalladas sobre la configuración, consulte Configuración de la respuesta en el examen de malware.
Sugerencia
Le animamos a explorar la característica de análisis de malware en Defender for Storage a través de nuestro laboratorio práctico. Siga las instrucciones de entrenamiento Ninja para obtener una guía detallada sobre la instalación, las pruebas y la configuración de la respuesta.