Configuraciones avanzadas para el examen de malware en Microsoft Defender para Storage
Se puede configurar el examen de malware para que envíe los resultados del examen a lo siguiente:
- Tema personalizado de Event Grid: para una respuesta automática casi en tiempo real en función de cada resultado del examen.
- Área de trabajo de Log Analytics: para almacenar cada resultado del examen en un repositorio de registros centralizado para el cumplimiento y la auditoría.
Obtenga más información sobre cómo configurar la respuesta para los resultados del examen de malware.
Sugerencia
Se recomienda probar las instrucciones de entrenamiento de Ninja, un laboratorio práctico, para probar el examen de malware en Defender para Storage mediante instrucciones detalladas paso a paso sobre cómo probar el examen de malware de un extremo a otro con la configuración de respuestas para examinar los resultados. Esto forma parte del proyecto de "laboratorios" que ayuda a los clientes a familiarizarse con Microsoft Defender for Cloud y les proporciona experiencia práctica con sus funcionalidades.
Configurar registro para el examen de malware
Para cada cuenta de almacenamiento habilitada con la detección de malware, puede definir un destino de área de trabajo de Log Analytics para almacenar todos los resultados del examen en un repositorio de registros centralizado que sea fácil de consultar.
Antes de enviar los resultados del examen a Log Analytics, cree un área de trabajo de Log Analytics o use una existente.
Para configurar el destino de Log Analytics, vaya a la cuenta de almacenamiento correspondiente, abra la pestaña Microsoft Defender for Cloud y seleccione las opciones que quiera configurar.
Esta configuración también se puede realizar mediante la API de REST:
URL de la solicitud:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Cuerpo de la solicitud:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Nota:
Azure Portal enumera las áreas de trabajo de Log Analytics de la misma suscripción que la cuenta de almacenamiento. La API de REST se puede usar para configurar un área de trabajo de Log Analytics desde otra suscripción del mismo inquilino, como se ha descrito antes.
Los resultados del examen se registrarán en una tabla denominada StorageMalwareScanningResults. Esta tabla se crea cuando se registra el primer resultado del examen.
Configurar Event Grid para el examen de malware
Para cada cuenta de almacenamiento habilitada con la detección de malware, puede configurar el envío de todos los resultados del examen mediante eventos de Event Grid con fines de automatización.
A fin de configurar Event Grid para enviar resultados de examen, primero debe crear un tema personalizado de antemano. Consulte la documentación de Event Grid sobre cómo crear temas personalizados para obtener instrucciones. Asegúrese de que el tema personalizado de Event Grid de destino se crea en la misma región que la cuenta de almacenamiento desde la que desea enviar los resultados del examen.
Para configurar el destino del tema personalizado de Event Grid, vaya a la cuenta de almacenamiento correspondiente, abra la pestaña Microsoft Defender for Cloud y seleccione las opciones que quiera configurar.
Nota:
Al establecer un tema personalizado de Event Grid, debe establecer Invalidar la configuración de nivel de suscripción de Defender para Storage en Activado para asegurarse de invalidar la configuración de nivel de suscripción.
Nota:
Azure Portal enumera los temas de Event Grid de la misma suscripción que la cuenta de almacenamiento. La API de REST se puede usar para configurar un tema de Event Grid desde otra suscripción del mismo inquilino, como se describe en la sección siguiente. Esta configuración también se puede realizar mediante la API de REST:
URL de la solicitud:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Cuerpo de la solicitud:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Invalidación de la configuración de nivel de suscripción de Defender para Storage
La configuración de nivel de suscripción hereda la configuración de Defender para Storage en cada cuenta de almacenamiento de la suscripción. Use Invalidar la configuración de nivel de suscripción de Defender para Storage para configurar las opciones de las cuentas de almacenamiento individuales diferentes de las configuradas en el nivel de suscripción.
Normalmente, la invalidación de la configuración de las suscripciones se usa para los escenarios siguientes:
- Habilite o deshabilite el examen de malware o las características de detección de amenazas de confidencialidad de datos.
- Configure las opciones personalizadas para el examen de malware.
- Deshabilitar Microsoft Defender para Storage en cuentas de almacenamiento específicas.
Nota:
Se recomienda habilitar Defender para Storage en toda la suscripción para proteger todas las cuentas de almacenamiento existentes y futuras. Sin embargo, hay algunos casos en los que querrá excluir cuentas de almacenamiento específicas de la protección de Defender. Si ha decidido excluir, siga los pasos de la sección siguiente para usar la configuración de invalidación y, después, deshabilite la cuenta de almacenamiento correspondiente. Si usa Defender para Storage (clásico), también puede excluir cuentas de almacenamiento.
Azure portal
Para configurar las opciones de cuentas de almacenamiento individuales diferentes de las configuradas en el nivel de suscripción mediante el Azure Portal:
Inicie sesión en Azure Portal.
Vaya a la cuenta de almacenamiento en la que desea configurar opciones personalizadas.
En el menú de cuenta de almacenamiento, en la sección Seguridad y redes, seleccione Microsoft Defender for Cloud.
Seleccione Configuración en Microsoft Defender para Storage.
Establezca el estado de Invalidar la configuración de nivel de suscripción de Defender para Storage (en Configuración avanzada) en Activado. Esto garantiza que la configuración solo se guarde para esta cuenta de almacenamiento y que la configuración de la suscripción no la sobrescriba.
Configure las opciones que desea cambiar:
Para habilitar la detección de malware o la detección de amenazas de datos confidenciales, establezca el estado en Activado.
Para modificar la configuración de la detección de malware:
Cambie Detección de malware al cargar a Activado si aún no está habilitada.
A fin de ajustar el umbral mensual para examinar malware en las cuentas de almacenamiento, se puede modificar el parámetro denominado Establecer el límite de GB examinados al mes con el valor deseado. Este parámetro determina la cantidad máxima de datos que se pueden examinar mensualmente en la búsqueda de malware, específicamente para cada cuenta de almacenamiento. Si desea permitir exámenes ilimitados, puede desactivar este parámetro. De manera predeterminada, el límite se establece en 5 000 GB.
Para deshabilitar Defender para Storage en estas cuentas de almacenamiento, establezca el estado de Microsoft Defender para Storage en Desactivado.
Seleccione Guardar.
REST API
Para configurar las opciones de las cuentas de almacenamiento individuales diferentes de las configuradas en el nivel de suscripción mediante la API de REST:
Cree una solicitud PUT con este punto de conexión. Reemplace subscriptionId, resourceGroupName, y accountName en la dirección URL del punto de conexión con los valores propios de id. de suscripción de Azure, grupo de recursos y cuenta de almacenamiento según corresponda.
URL de solicitud:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Cuerpo de la solicitud:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Para habilitar la detección de malware o la detección de amenazas de datos confidenciales, establezca el valor de isEnabled en true en las características pertinentes.
Para modificar la configuración de detección de malware, edite los campos pertinentes en onUpload y asegúrese de que el valor de isEnabled sea true. Si desea permitir la detección ilimitada, asigne el valor -1 al parámetro capGBPerMonth.
Para deshabilitar Defender para Storage en estas cuentas de almacenamiento, use el siguiente cuerpo de solicitud:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Asegúrese de agregar el parámetro overrideSubscriptionLevelSettings y de que su valor esté establecido en true. Esto garantiza que la configuración solo se guarde para esta cuenta de almacenamiento y que la configuración de la suscripción no la sobrescriba.
Paso siguiente
Obtenga más información sobre la configuración de la detección de malware.