Scannen op malware op aanvraag
Met malwarescans op aanvraag in Microsoft Defender voor Storage kunt u bestaande blobs in uw Azure Storage-accounts scannen wanneer dat nodig is. Deze mogelijkheid biedt flexibiliteit om opgeslagen gegevens te scannen als reactie op veranderende beveiligingsvereisten, nalevingsbehoeften of beveiligingsincidenten, zodat uw gegevens continu worden beveiligd.
Door Microsoft Defender Antivirus te gebruiken met de nieuwste malwaredefinities, biedt scannen op aanvraag een cloudeigen oplossing. Hiervoor is geen verdere infrastructuur of operationele overhead vereist. Met deze aanpak worden hiaten in dekking aangepakt, met name voor gegevens die zijn geüpload voordat scannen werd ingeschakeld. Het helpt ook wanneer er nieuwe bedreigingen ontstaan, zodat u proactief opgeslagen bestanden kunt beveiligen en potentiële blootstelling in cloudomgevingen kunt verminderen.
Veelvoorkomende gebruiksvoorbeelden voor scannen op malware op aanvraag
Het gebruik van malwarescans op aanvraag in Microsoft Defender voor Storage biedt de volgende voordelen:
- Reageren op beveiligingsincidenten: scan opslagaccounts onmiddellijk wanneer er beveiligingswaarschuwingen of verdachte activiteiten worden gedetecteerd.
- Naleving garanderen: voer geplande scans of scans op aanvraag uit om te voldoen aan vereisten voor gegevensbescherming en naleving van regelgeving.
- Proactief beveiligingsbeheer: stel terugkerende scans in om een continu beveiligde omgeving te onderhouden.
- Een beveiligingsbasislijn maken: bestaande gegevens scannen wanneer Defender for Storage eerst een basislijn voor toekomstige beveiliging tot stand brengt.
Malware kan cloudopslagomgevingen infiltreren en aanzienlijke risico's voor organisaties vormen. Scannen op malware op aanvraag biedt een ingebouwde, cloudeigen oplossing om deze bedreigingen te detecteren en te beperken door uw bestaande gegevens te scannen op schadelijke inhoud.
Gedeelde aspecten met scannen bij uploaden
De volgende secties zijn van toepassing op zowel on-demand als on-upload malwarescans.
- Extra kosten , waaronder leesbewerkingen in Azure Storage, blobindexering en Event Grid-meldingen.
- Scanresultaten weergeven en gebruiken: methoden zoals blobindextags, Defender voor Cloud beveiligingswaarschuwingen, Event Grid-gebeurtenissen en Log Analytics.
- Automatisering van antwoorden: Automatiseer acties zoals blokkeren, verwijderen of verplaatsen van bestanden op basis van scanresultaten.
- Ondersteunde inhoud en beperkingen: behandelt ondersteunde bestandstypen, grootten, versleuteling en regiobeperkingen.
- Toegang en gegevensprivacy: details over hoe de service toegang heeft tot en uw gegevens verwerkt, inclusief privacyoverwegingen.
- Fout-positieven en fout-negatieven verwerken: stappen voor het indienen van bestanden voor controle en het maken van onderdrukkingsregels.
- Blobscans en impact op IOPS: leer hoe scans verdere leesbewerkingen activeren en blobindextags bijwerken.
Zie de pagina Inleiding tot het scannen van malware voor gedetailleerde informatie over deze onderwerpen.
Scans op aanvraag initiëren
Inzicht in het scanproces op aanvraag
- Kostenraming: Voordat u een scan start, biedt Azure Portal een geschatte kosten op basis van de metrische gegevens en het gegevensvolume van de blobcapaciteit, zodat u inzicht krijgt in mogelijke scankosten.
- Scaninitiatie: Scans kunnen handmatig vanuit Azure Portal worden gestart, programmatisch worden geactiveerd met behulp van de REST API of geautomatiseerd via Logic Apps, Automation-runbooks of PowerShell-scripts, waardoor integratie in verschillende werkstromen mogelijk is.
- Blobs vermelden en verzenden voor scannen: Zodra een scan is gestart, worden alle ondersteunde blobs in het opslagaccount weergegeven en verzonden voor het parallel scannen. Afhankelijk van de hoeveelheid en grootte van de blob kan dit proces van enkele minuten tot enkele uren duren.
- Voortgang bewaken: de voortgang van de scan kan worden bijgehouden via de Azure-portal of API, met details over het aantal gescande blobs, overgeslagen bestanden, gegevensvolume, gedetecteerde schadelijke bestanden, scanstatus en duur.
- Voltooiing en resultaten: Nadat alle blobs zijn gescand, markeert het systeem de scan als voltooid en geeft het een samenvatting van de bevindingen. De API kan ook worden gebruikt om de details van de laatste scan op te vragen.
Belangrijkste overwegingen
- Beperking van één scan: slechts één scan op aanvraag kan per opslagaccount tegelijk worden uitgevoerd.
- Annulering: scans kunnen alleen worden geannuleerd tijdens de eerste fasen van de scan.
Vereisten
- Machtigingen: de rol Eigenaar of Inzender voor het abonnement of het opslagaccount, of specifieke rollen met de benodigde machtigingen.
- Defender for Storage met malwarescans: moet zijn ingeschakeld voor het abonnement of afzonderlijke opslagaccounts.
Vanuit Azure Portal
Meld u aan bij Azure Portal en navigeer naar uw opslagaccount.
Selecteer Microsoft Defender voor Cloud onder Beveiliging en netwerken.
Evalueer in de sectie Malware scannen op aanvraag de geschatte kosten op basis van het gegevensvolume.
Selecteer Scan-blobs voor malware om de scan te starten. Bevestig de actie als u hierom wordt gevraagd.
Voortgang bewaken:
De scanstatus en bevindingen worden elke 20-30 seconden bijgewerkt.
Bekijk details zoals scanstatus, gescande blobs, gescande gegevens, schadelijke blobs gevonden en scanduur.
Resultaten bekijken:
Als er bedreigingen worden gevonden, raadpleegt u de details in de sectie Beveiligingsincidenten en waarschuwingen .
Vernieuw de pagina als waarschuwingen niet direct zichtbaar zijn.
Notitie
U kunt een doorlopende scan annuleren door Annuleren te selecteren. Annulering is alleen mogelijk tijdens de eerste fasen van de scan, voordat de voltooiingsstatus wordt bereikt. Zodra de scan deze status of verder invoert, is het niet mogelijk om te annuleren.
REST-API gebruiken
De scan initiëren
Volg deze stappen om een malwarescan te starten met behulp van de REST API:
Aanvraag-URL:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-previewVerificatie:
- Zorg ervoor dat u een geldig bearer-token hebt verkregen. Dit is vereist voor API-toegang.
Voorbeeld:
POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
Scanstatus en resultaten controleren
Zodra een scan is gestart, kunt u de status controleren en de resultaten bekijken met behulp van de volgende opdrachten:
Aanvraag-URL:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-previewVoorbeeldrespons:
{ "scanId": "abcd1234-5678-90ab-cdef-1234567890ab", "scanStatus": "InProgress", "scanStartTime": "2024-10-03T12:34:56Z", "scanSummary": { "blobs": { "totalBlobsScanned": 150, "maliciousBlobsCount": 2, "skippedBlobsCount": 0, "scannedBlobsInGB": 10.5 }, "estimatedScanCostUSD": 1.575 } }
Een scan annuleren
U kunt een scan die wordt uitgevoerd alleen annuleren tijdens de eerste fasen. Zodra de scan de status WaitingForCompletion of hoger heeft bereikt, is annulering niet mogelijk. Als u de scan wilt annuleren, verzendt u de volgende annuleringsaanvraag:
Aanvraag-URL:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
Kostenoverwegingen
Voordat u een scan op aanvraag start, biedt Azure Portal een kostenraming op basis van de metrische blobcapaciteit, die om de paar uur wordt bijgewerkt. De schatting wordt weergegeven in USD en weerspiegelt de kosten per GESCANDE GB. In tegenstelling tot scannen bij uploaden, zijn er geen maandelijkse limieten: de kosten zijn volledig gebaseerd op gebruik.
Best practices voor kostenbeheer
- Kostenramingen bekijken: Controleer altijd de geschatte kosten in Azure Portal voordat u een scan start.
- Scanfrequentie verstandig instellen: scans plannen of automatiseren op basis van risico's, waarbij u zich richt op gegevens met hoge prioriteit om onnodige kosten te voorkomen.
- Efficiënt automatiseren: Zorg ervoor dat automatiseringstriggers alleen scannen wanneer dat nodig is, zoals in reactie op specifieke gebeurtenissen of waarschuwingen.
Aanbevolen procedures
Als u de effectiviteit van het scannen op malware op aanvraag in Microsoft Defender voor Storage wilt maximaliseren, kunt u de volgende aanbevelingen overwegen:
- Integreren met incidentrespons: gebruik scannen op aanvraag om snel beveiligingsincidenten aan te pakken door mogelijk aangetaste bestanden te scannen als reactie op waarschuwingen.
- Automatiseer nalevingsscans: geautomatiseerde, regelmatige scans instellen om ervoor te zorgen dat de naleving van wettelijke vereisten en controlegereedheid voortdurend wordt nageleefd. Gebruik Logic Apps of runbooks om dit proces te stroomlijnen.
- Geautomatiseerde antwoorden instellen voor scanresultaten: geautomatiseerde werkstromen configureren die reageren op scanresultaten van malware, zoals het verplaatsen van geïnfecteerde bestanden naar quarantaine of het doorsturen van schone bestanden.
- Kosten proactief beheren: Bekijk altijd kostenschattingen die zijn opgegeven in Azure Portal voordat u scans start, met name voor grote gegevenssets of frequente scans.
- Resultaten consistent bewaken: bewaak continu scanresultaten en beveiligingswaarschuwingen om op de hoogte te blijven van mogelijke bedreigingen en tijdig actie te ondernemen.