Examen de malware a petición

El examen de malware a petición de Microsoft Defender para Storage le permite examinar los blobs existentes en las cuentas de Azure Storage siempre que sea necesario. Esta capacidad proporciona flexibilidad para examinar los datos almacenados en respuesta a los requisitos de seguridad en constante evolución, las necesidades de cumplimiento o los incidentes de seguridad, lo que garantiza que los datos están protegidos continuamente.

Mediante el uso del Antivirus de Microsoft Defender con las definiciones de malware más recientes, el examen a petición ofrece una solución nativa de la nube. No requiere más infraestructura ni sobrecarga operativa. Este enfoque aborda las brechas de cobertura, especialmente para los datos cargados antes de habilitar el examen. También ayuda cuando surgen nuevas amenazas, lo que le permite proteger de forma proactiva los archivos almacenados y reducir la posible exposición en entornos en la nube.

Casos de uso comunes para el examen de malware a petición

El examen de malware a petición en Microsoft Defender para Storage ofrece las siguientes ventajas:

• Responder a eventos de seguridad: examine inmediatamente las cuentas de almacenamiento cuando se detecten alertas de seguridad o actividades sospechosas.
• Garantizar el cumplimiento: ejecute exámenes programados o a petición para cumplir los requisitos de cumplimiento normativo y de protección de datos.
• Administrar de manera proactiva la seguridad: establezca exámenes periódicos para mantener un entorno continuamente seguro.
• Crear una línea base de seguridad: examine los datos existentes al habilitar primero Defender para Storage para establecer una línea base para la seguridad futura.

El malware puede infiltrarse en entornos de almacenamiento en la nube y suponer riesgos significativos para las organizaciones. El examen de malware a petición proporciona una solución nativa de nube integrada para detectar y mitigar estas amenazas mediante el examen de los datos existentes para obtener contenido malintencionado.

Aspectos compartidos con el examen al cargar

Las secciones siguientes se aplican tanto al examen de malware al cargar como a petición.

• Costos adicionales, incluidas las operaciones de lectura de Azure Storage, la indexación de blobs y las notificaciones de Event Grid.
• Visualización y consumo de resultados de examen: métodos como etiquetas de índice de blobs, alertas de seguridad de Defender for Cloud, eventos de Event Grid y Log Analytics.
• Automatización de la respuesta: automatice acciones como bloquear, eliminar o mover archivos en función de los resultados del examen.
• Contenido y limitaciones admitidos: cubre los tipos de archivo, los tamaños, el cifrado y las limitaciones de región admitidos.
• Acceso y privacidad de datos: detalles sobre cómo accede el servicio y procesa los datos, incluidas las consideraciones de privacidad.
• Control de falsos positivos y falsos negativos: pasos para enviar archivos para revisar y crear reglas de supresión.
• Examen de blobs e impacto en IOPS: obtenga información sobre cómo los exámenes desencadenan más operaciones de lectura y actualizan etiquetas de índice de blobs.

Para obtener información detallada sobre estos temas, consulte la página Introducción al examen de malware.

Inicio de exámenes a petición

Descripción del proceso de examen a petición

• Estimación de costos: antes de iniciar un examen, Azure Portal proporciona un costo estimado basado en la métrica de capacidad de blobs y el volumen de datos, lo que ofrece visibilidad sobre el posible costo del examen.
• Iniciación del examen: los exámenes se pueden iniciar manualmente desde Azure Portal, se desencadenan mediante programación mediante la API REST o se automatizan mediante Logic Apps, runbooks de Automation o scripts de PowerShell, lo que permite la integración en varios flujos de trabajo.
• Enumeración y envío de blobs para el examen: una vez iniciado un examen, el sistema enumera todos los blobs admitidos en la cuenta de almacenamiento y los envía para el examen en paralelo. En función de la cantidad y el tamaño de los blobs, este proceso puede tardar de minutos a varias horas.
• Supervisión del progreso: se puede realizar un seguimiento del progreso del examen a través de Azure Portal o la API, con detalles sobre el número de blobs examinados, archivos omitidos, volumen de datos, archivos malintencionados detectados, estado del examen y duración.
• Finalización y resultados: después de examinar todos los blobs, el sistema marca el examen como completado y proporciona un resumen de los resultados. La API también se puede usar para consultar los detalles del último examen.

Aspectos importantes

• Limitación de examen único: solo un examen a petición puede ejecutarse por cuenta de almacenamiento a la vez.
• Cancelación: los exámenes solo se pueden cancelar durante sus fases iniciales.

Requisitos previos

• Permisos: rol de propietario o colaborador en la suscripción o cuenta de almacenamiento, o roles específicos con los permisos necesarios.
• Defender para Storage con examen de malware: debe estar habilitado en la suscripción o en las cuentas de almacenamiento individuales.

Desde Azure Portal

1. Inicie sesión en Azure Portal y vaya a la cuenta de almacenamiento.

2. En Seguridad y redes, seleccione Microsoft Defender for Cloud.

   

3. En la sección Examen de malware a petición, evalúe el costo estimado en función del volumen de datos.

   

4. Seleccione Examinar blobs para malware para iniciar el examen. Cuando se solicite, confirma la acción.

   

5. Supervisión del progreso:

   • El estado del examen y los resultados se actualizan cada 20 o 30 segundos.

   • Consulte detalles como el estado del examen, los blobs examinados, los datos examinados, los blobs malintencionados encontrados y la duración del examen.

6. Revisión de los resultados:

   • Si se encuentran amenazas, revise los detalles de la sección Incidentes y alertas de seguridad.

   • Actualice la página si las alertas no están visibles inmediatamente.

   

Nota:

Para cancelar un examen en curso, seleccione Cancelar. La cancelación solo es posible durante las fases iniciales del examen, antes de alcanzar el estado Esperando finalización. Una vez que el examen entra en este estado o lo supere, no es posible cancelarlo.

Uso de la API de REST

Inicio del examen

Para iniciar un examen de malware mediante la API REST, siga estos pasos:

• URL de la solicitud:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Autenticación:

  • Asegúrese de que obtuvo un token de portador válido. Esto es necesario para el acceso a la API.

• Ejemplo:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Comprobación del estado y los resultados del examen

Cuando se inicia un examen, puede comprobar el estado y revisar los resultados mediante los siguientes comandos:

• URL de la solicitud:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Ejemplo de respuesta:

  {
    "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
    "scanStatus": "InProgress",
    "scanStartTime": "2024-10-03T12:34:56Z",
    "scanSummary": {
      "blobs": {
        "totalBlobsScanned": 150,
        "maliciousBlobsCount": 2,
        "skippedBlobsCount": 0,
        "scannedBlobsInGB": 10.5
      },
      "estimatedScanCostUSD": 1.575
    }
  }
  

Cancelación de un examen

Solo puede cancelar un examen en curso durante sus fases iniciales. Cuando el examen alcanza el estado Esperando finalización o lo supera, la cancelación no es posible. Para cancelar el examen, envíe la siguiente solicitud de cancelación:

• URL de la solicitud:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Consideraciones sobre los costos

Antes de iniciar un examen a petición, Azure Portal proporciona una estimación de costos basada en la métrica Capacidad de blobs, que se actualiza cada pocas horas. La estimación se muestra en USD y refleja el costo por GB examinado. A diferencia del examen de carga, no hay límite mensual; los costos se basan completamente en el uso.

Procedimientos recomendados para el control de costos

• Revisar las estimaciones de costos: compruebe siempre el costo estimado en Azure Portal antes de iniciar un examen.
• Establecer la frecuencia de examen de forma inteligente: programe o automatice los exámenes en función del riesgo, centrándose en datos de alta prioridad para evitar costos innecesarios.
• Automatizar de forma eficaz: asegúrese de que la automatización desencadene los exámenes solo cuando sea necesario, como en respuesta a eventos o alertas específicos.

procedimientos recomendados

Para maximizar la eficacia del examen de malware a petición en Microsoft Defender para Storage, tenga en cuenta las siguientes recomendaciones:

• Integración con la respuesta a incidentes: use el examen a petición para abordar rápidamente los incidentes de seguridad mediante el examen de archivos potencialmente comprometidos en respuesta a las alertas.
• Automatizar exámenes de cumplimiento: configure exámenes automatizados y regulares para garantizar el cumplimiento continuo de los requisitos normativos y la preparación de la auditoría. Use Logic Apps o runbooks para simplificar este proceso.
• Configurar respuestas automatizadas para examinar los resultados: configure flujos de trabajo automatizados que respondan a los resultados del examen de malware, como mover archivos infectados a la cuarentena o reenviar archivos limpios.
• Administrar de forma proactiva los costos: revise siempre las estimaciones de costos proporcionadas en Azure Portal antes de iniciar exámenes, especialmente para conjuntos de datos grandes o exámenes frecuentes.
• Supervisar los resultados de forma coherente: supervise continuamente los resultados del examen y las alertas de seguridad para mantenerse al día sobre las posibles amenazas y tomar medidas oportunas.

Contenido relacionado

• Introducción al examen de malware
• Examen de malware en Microsoft Defender para Storage