次の方法で共有

オンデマンド マルウェア スキャン

  • [アーティクル]

オンデマンド マルウェア スキャンを Microsoft Defender for Storage で使用すると、必要に応じて Azure Storage 内の既存の BLOB をスキャンできます。 この機能により、進化するセキュリティ要件、コンプライアンス ニーズ、またはセキュリティ インシデントに対応して格納されたデータを柔軟にスキャンでき、データが継続的に保護されます。

オンデマンド スキャンでは、最新のマルウェア定義で Microsoft Defender ウイルス対策を使用することで、クラウドネイティブ ソリューションを提供しています。 それ以外のインフラストラクチャや運用時のオーバーヘッドは必要ありません。 この方法では、特にスキャンが有効化される前にアップロードされたデータについて、カバレッジのギャップに対処します。 また、新しい脅威が発生したときにも役立ち、保存されているファイルを事前にセキュリティで保護し、クラウド環境での潜在的な露出を減らすことができます。

オンデマンド マルウェア スキャンの一般的なユース ケース

Microsoft Defender for Storage でオンデマンド マルウェア スキャンを使用すると、次のメリットがあります。

  • セキュリティ イベントへの対応: セキュリティ アラートまたは疑わしいアクティビティが検出されたときにストレージ アカウントをすぐにスキャンします。
  • コンプライアンスの確保: データ保護と規制コンプライアンス要件を満たすために、スケジュールされたスキャンまたはオンデマンド スキャンを実行します。
  • プロアクティブなセキュリティ管理: 継続的にセキュリティで保護された環境を維持するために、定期的なスキャンを設定します。
  • セキュリティ ベースラインの作成: Defender for Storage を初めて有効にしたときに既存のデータをスキャンし、今後のセキュリティのベースラインを確立します。

クラウド ストレージ環境へのマルウェアの侵入は、組織に重大なリスクをもたらす可能性があります。 オンデマンド マルウェア スキャンでは、既存のデータに悪意のあるコンテンツがないかスキャンすることで、これらの脅威を検出して軽減するための組み込みのクラウドネイティブソリューションを提供しています。

アップロード時スキャンとの共通点

次のセクションは、オンデマンド マルウェア スキャンおよびアップロード時マルウェア スキャンの両方に適用されます。

これらのトピックの詳細については、「マルウェア スキャンの概要」ページを参照してください。

オンデマンド スキャンを開始する

オンデマンド スキャン プロセスを理解する

  • コスト見積もり: スキャンを開始する前に、Azure portal では BLOB 容量メトリックとデータ ボリュームに基づいて推定コストが提供され、潜在的なスキャン コストが可視化されます。
  • スキャン開始: スキャンを Azure portal から手動で開始するか、REST API を使用してプログラムでトリガーするか、Logic Apps、Automation Runbook、または PowerShell スクリプトを使用して自動化すると、さまざまなワークフローへの統合が可能になります。
  • スキャン用の BLOB の一覧表示と送信: スキャンが開始されると、システムではストレージ アカウントでサポートされているすべての BLOB が一覧表示され、並列スキャンのために送信されます。 BLOB の量とサイズによっては、このプロセスに数分から数時間かかる場合があります。
  • 監視の進行状況: スキャンの進行状況は、スキャンされた BLOB の数、スキップされたファイル、データ ボリューム、検出された悪意のあるファイル、スキャンの状態、期間の詳細と共に、Azure portal または API を介して追跡できます。
  • 完了と結果: すべての BLOB がスキャンされると、システムによってスキャンが完了としてマークされ、結果の概要が表示されます。 API を使用して、最後に行われたスキャンの詳細を照会することもできます。

重要な考慮事項

  • スキャンを 1 回のみに制限: ストレージ アカウントごとに一度に実行できるオンデマンド スキャンは 1 回のみです。
  • キャンセル: スキャンのキャンセルは、スキャンの初期段階でのみ可能です。

前提条件

  • アクセス許可: サブスクリプションまたはストレージ アカウントの所有者または共同作成者ロール、または必要なアクセス許可を持つ特定のロール。
  • Defender for Storage とマルウェア スキャン: サブスクリプションまたは個々のストレージ アカウントで有効にする必要があります。

Azure portal から

  1. Azure portal にサインインし、ストレージ アカウントに移動します。

  2. [セキュリティとネットワーク] の下にある [Microsoft Defender for Cloud] を選びます。

    ストレージ アカウントで Defender for Cloud を選択する方法のスクリーンショット。

  3. "オンデマンド マルウェア スキャン" セクションで、データ量に基づいて推定コストを評価します。

    オンデマンド マルウェア スキャンの推定コストのスクリーンショット。

  4. スキャンを開始するには、[BLOB をスキャンしてマルウェアを検出] を選択します。 メッセージが表示されたら、アクションを確認します。

    マルウェアのスキャンを開始する方法のスクリーンショット。

  5. 進行状況の監視:

    • スキャンの状態と結果は、20 秒から 30 秒ごとに更新されます。

    • スキャン状態、スキャンされた BLOB、スキャンされたデータ、見つかった悪意のある BLOB、スキャンの所要時間などの詳細を表示します。

  6. 結果の確認:

    • 脅威が見つかった場合は、"セキュリティ インシデントとアラート" セクションの詳細を確認します。

    • アラートがすぐに表示されない場合は、ページを更新します。

    オンデマンド マルウェア スキャンのスキャン結果のスクリーンショット。

Note

進行中のスキャンをキャンセルするには、[キャンセル] を選択します。 キャンセルは、スキャンの初期段階で、"WaitingForCompletion" 状態になる前のみ可能です。 スキャンがこの状態またはそれ以降になると、キャンセルはできません。

REST API を使用する

スキャンを開始する

REST API を使用してマルウェア スキャンを開始するには、次の手順に従います。

  • [Request URL]\(要求 URL\):

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview

  • 認証:

    • 有効なベアラー トークンを取得していることを確認します。 これは API アクセスに必要です。

  • 例:

    POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...

スキャンの状態と結果を確認する

スキャンが開始されたら、次のコマンドを使用して状態を確認し、結果を確認できます。

  • [Request URL]\(要求 URL\):

    GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview

  • 応答の例:

    {
  "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
  "scanStatus": "InProgress",
  "scanStartTime": "2024-10-03T12:34:56Z",
  "scanSummary": {
    "blobs": {
      "totalBlobsScanned": 150,
      "maliciousBlobsCount": 2,
      "skippedBlobsCount": 0,
      "scannedBlobsInGB": 10.5
    },
    "estimatedScanCostUSD": 1.575
  }
}

スキャンをキャンセルする

進行中のスキャンは、その初期段階でのみキャンセルすることができます。 スキャンが "WaitingForCompletion" 状態またはそれ以降になると、キャンセルはできません。 スキャンをキャンセルするには、次のキャンセル要求を送信します。

  • [Request URL]\(要求 URL\):

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview

コストに関する考慮事項

オンデマンド スキャンを開始する前に、Azure portal で、数時間ごとに更新される BLOB 容量メトリックに基づくコストの見積もりが確認できます。 見積もりは USD で表示され、1 GB あたりのスキャンのコストを反映しています。 アップロード時スキャンとは異なり、月額上限はありません。コストは使用状況に基づいています。

コスト管理のベスト プラクティス

  • コストの見積もりを確認する: スキャンを開始する前に、必ず Azure portal でコストの見積もりを確認してください。
  • スキャン頻度を賢く設定する: 不要なコストを回避するために優先度の高いデータに重点を置き、リスクに基づいてスキャンをスケジュールまたは自動化します。
  • 効率的に自動化する: 特定のイベントやアラートへの応答など、必要な場合にのみ自動化トリガー スキャンを行います。

ベスト プラクティス

Microsoft Defender for Storage でのオンデマンド マルウェア スキャンの効果を最大限に高めるために、次の推奨事項を検討してください。

  • インシデント対応と統合する: オンデマンド スキャンを使用して、セキュリティ侵害された可能性のあるファイルをアラートに応じてスキャンすることで、セキュリティ インシデントに迅速に対処します。
  • コンプライアンス スキャンの自動化: 自動化された定期的なスキャンを設定し、規制要件の継続的な遵守と監査準備を徹底します。 このプロセスを効率化するには、Logic Apps または Runbook を使用します。
  • スキャン結果に対する自動応答を設定する: 感染ファイルの検疫への移動や、クリーンなファイルの転送など、マルウェア スキャンの結果に応答する自動化されたワークフローを構成します。
  • コストを事前に管理する: 特に大規模なデータセットや頻繁なスキャンの場合は、スキャンを開始する前に、必ず Azure portal で提供されるコストの見積もりを確認します。
  • 結果を一貫して監視する: スキャンの結果とセキュリティ アラートを継続的に監視して、潜在的な脅威に関する情報を常に把握し、タイムリーなアクションを実行します。

関連するコンテンツ