Delen via

Scannen van malware bij uploaden

  • Artikel

Bij het uploaden van malwarescans in Microsoft Defender voor Storage worden blobs automatisch gescand wanneer ze worden geüpload of gewijzigd, waardoor detectie in bijna realtime wordt geboden tegen schadelijke inhoud. Deze cloudeigen SaaS-oplossing maakt gebruik van Microsoft Defender Antivirus om uitgebreide malwarescans uit te voeren, zodat uw opslagaccounts veilig blijven zonder dat er extra infrastructuur of onderhoud nodig is.

Door scannen bij uploaden te integreren in uw opslagaccounts, kunt u het volgende doen:

  • Voorkom schadelijke uploads: voorkom dat malware uw opslagomgeving invoert op het moment van uploaden.
  • Vereenvoudig beveiligingsbeheer: profiteer van automatisch scannen zonder agents te implementeren of te beheren.
  • Naleving verbeteren: voldoen aan wettelijke vereisten door ervoor te zorgen dat alle geüploade gegevens worden gescand op malware.

Het uploaden van malware is een belangrijke bedreiging voor cloudopslag, omdat schadelijke bestanden binnen een organisatie kunnen worden ingevoerd en verspreid via cloudopslagservices. Microsoft Defender voor Storage biedt een ingebouwde oplossing om dit risico te beperken met uitgebreide antimalwaremogelijkheden.

Diagram waarin wordt getoond hoe malwarescans uw gegevens beschermen tegen schadelijke code.

Veelvoorkomende gebruiksvoorbeelden voor het scannen van malware bij het uploaden

  • Webtoepassingen: door de gebruiker gegenereerde inhoud uploaden in webtoepassingen, zoals belasting-apps, CV-uploadsites en ontvangstbevestigingen.

  • Inhoudsdistributie: Beveilig assets zoals afbeeldingen en video's die op schaal worden gedeeld via inhoudshubs of CDN's (Content Delivery Networks), wat algemene malwaredistributiepunten kan zijn.

  • Nalevingsvereisten: Voldoen aan regelgevingsstandaarden, zoals NIST, SWIFT en AVG, door niet-vertrouwde inhoud te scannen, met name voor gereguleerde branches.

  • Integratie van derden: zorg ervoor dat gegevens van derden, zoals inhoud van zakelijke partners of contractanten, worden gescand om beveiligingsrisico's te voorkomen.

  • Samenwerkingsplatforms: zorg voor veilige samenwerking tussen teams en organisaties door gedeelde inhoud te scannen.

  • Gegevenspijplijnen: behoud gegevensintegriteit in ETL-processen (extraheren, transformeren, laden) door ervoor te zorgen dat er geen malware via meerdere gegevensbronnen binnenkomt.

  • Machine learning-trainingsgegevens: bescherm de kwaliteit van trainingsgegevens door ervoor te zorgen dat gegevenssets schoon en veilig zijn, met name als ze door de gebruiker gegenereerde inhoud bevatten.

    GIF-animatie met door de gebruiker gegenereerde inhoud en gegevens uit externe bronnen.

Notitie

Scannen van malware is een bijna realtime service. Scantijden kunnen variëren, afhankelijk van de bestandsgrootte, het bestandstype, de belasting van de service en de activiteit van het opslagaccount.

Scannen op malware bij uploaden inschakelen

Vereisten

  • Machtigingen: de rol Eigenaar of Inzender voor het abonnement of het opslagaccount, of specifieke rollen met de benodigde machtigingen.
  • Defender voor Opslag: moet zijn ingeschakeld voor het abonnement of afzonderlijke opslagaccounts.

Als u malwarescans in uw abonnementen wilt inschakelen en configureren terwijl u gedetailleerde controle over afzonderlijke opslagaccounts behoudt, kunt u een van de volgende methoden gebruiken:

Wanneer scannen op malware is ingeschakeld, wordt automatisch een Event Grid System Topic-resource gemaakt in dezelfde resourcegroep als het opslagaccount. Dit wordt gebruikt door de scanservice voor malware om te luisteren naar blob-uploadtriggers.

Zie Microsoft Defender for Storage implementeren voor gedetailleerde instructies.

Kostenbeheer voor het scannen van malware bij het uploaden

Scannen van malware wordt gefactureerd per GB gescand. Om voorspelbaarheid van kosten te bieden, ondersteunt malwarescans het instellen van een limiet voor de hoeveelheid GB die in één maand per opslagaccount wordt gescand.

Belangrijk

Scannen van malware in Defender for Storage is niet inbegrepen in de eerste proefversie van 30 dagen en wordt vanaf de eerste dag in rekening gebracht volgens het prijsschema dat beschikbaar is op de Defender voor Cloud pagina met prijzen.

Met het beperkende mechanisme wordt voor elk opslagaccount een maandelijkse scanlimiet ingesteld, gemeten in gigabytes (GB). Dit fungeert als een effectieve kostenbeheersingsmaatregel. Als een vooraf gedefinieerde scanlimiet voor een opslagaccount binnen één kalendermaand is bereikt, wordt de scanbewerking automatisch gestopt. Deze stop vindt plaats zodra de drempelwaarde is bereikt, met een afwijking van maximaal 20 GB. Bestanden worden niet gescand op malware buiten dit punt. De limiet wordt aan het einde van elke maand om middernacht UTC opnieuw ingesteld. Het bijwerken van de limiet duurt doorgaans een uur.

Standaard wordt een limiet van 5 TB (5.000 GB) vastgesteld als er geen specifiek beperkingsmechanisme is gedefinieerd.

Tip

U kunt het limietmechanisme instellen voor afzonderlijke opslagaccounts of voor een volledig abonnement (elk opslagaccount in het abonnement wordt de limiet toegewezen die is gedefinieerd op abonnementsniveau).

Hoe malware scannen werkt

Scanstroom voor malware bij uploaden

Scans bij uploaden worden geactiveerd door een bewerking die resulteert in een BlobCreated gebeurtenis, zoals opgegeven in Azure Blob Storage als een Event Grid-brondocumentatie . Deze bewerkingen omvatten:

  • Nieuwe blobs uploaden: Wanneer een nieuwe blob wordt toegevoegd aan een container
  • Bestaande blobs overschrijven: wanneer een bestaande blob wordt vervangen door nieuwe inhoud
  • Wijzigingen in blobs voltooien: bewerkingen zoals PutBlockList of FlushWithClose die wijzigingen doorvoeren in een blob

Notitie

Incrementele bewerkingen, zoals AppendFile in Azure Data Lake Storage Gen2 en PutBlock in Azure BlockBlob, activeren geen malwarescan onafhankelijk. Een malwarescan vindt alleen plaats wanneer deze toevoegingen zijn voltooid via doorvoerbewerkingen zoals PutBlockList of FlushWithClose. Elke doorvoering kan een nieuwe scan initiëren, waardoor de kosten kunnen toenemen als dezelfde gegevens meerdere keren worden gescand vanwege incrementele updates.

Scanproces

  1. Gebeurtenisdetectie: Wanneer een BlobCreated gebeurtenis optreedt, detecteert de scanservice voor malware de wijziging.
  2. Blob ophalen: de service leest de blob-inhoud veilig in dezelfde regio als uw opslagaccount.
  3. Scannen in het geheugen: De inhoud wordt gescand in het geheugen met behulp van Microsoft Defender Antivirus met bijgewerkte malwaredefinities.
  4. Resultaat genereren: het scanresultaat wordt gegenereerd en de juiste acties worden uitgevoerd op basis van de bevindingen.
  5. Verwijdering van inhoud: gescande inhoud wordt niet bewaard en wordt onmiddellijk na het scannen verwijderd.

Doorvoer en capaciteit voor scannen op on-upload malware

Bij het scannen van malware bij uploaden gelden specifieke doorvoer- en capaciteitslimieten om prestaties en efficiëntie bij grootschalige bewerkingen te garanderen. Deze limieten helpen bij het beheren van het volume aan gegevens dat per minuut kan worden verwerkt, waardoor een balans wordt gegarandeerd tussen bijna realtime-beveiliging en systeembelasting.

  • Limiet voor scandoorvoer: scannen op malware bij uploaden kan maximaal 50 GB per minuut per opslagaccount verwerken. Als de snelheid van blobuploads deze drempelwaarde tijdelijk overschrijdt, worden de bestanden in de wachtrij geplaatst en wordt geprobeerd deze te scannen. Als de uploadsnelheid echter consistent de limiet overschrijdt, worden sommige blobs mogelijk niet gescand.

Gedeelde aspecten met scannen op aanvraag

De volgende secties zijn van toepassing op zowel on-demand als on-upload malwarescans.

  • Extra kosten , waaronder leesbewerkingen in Azure Storage, blobindexering en Event Grid-meldingen.
  • Scanresultaten weergeven en gebruiken: methoden zoals blobindextags, Defender voor Cloud beveiligingswaarschuwingen, Event Grid-gebeurtenissen en Log Analytics.
  • Automatisering van antwoorden: Automatiseer acties zoals blokkeren, verwijderen of verplaatsen van bestanden op basis van scanresultaten.
  • Ondersteunde inhoud en beperkingen: behandelt ondersteunde bestandstypen, grootten, versleuteling en regiobeperkingen.
  • Toegang en gegevensprivacy: details over hoe de service toegang heeft tot en uw gegevens verwerkt, inclusief privacyoverwegingen.
  • Fout-positieven en fout-negatieven verwerken: stappen voor het indienen van bestanden voor controle en het maken van onderdrukkingsregels.
  • Blobscans en impact op IOPS: leer hoe scans verdere leesbewerkingen activeren en blobindextags bijwerken.

Zie de pagina Inleiding tot het scannen van malware voor gedetailleerde informatie over deze onderwerpen.

Best practices en tips

  • Stel kostenbeheerlimieten in voor opslagaccounts, met name voor opslagaccounts met veel uploadverkeer, om kosten effectief te beheren en te optimaliseren.
  • Gebruik Log Analytics om de scangeschiedenis bij te houden voor nalevings- en controledoeleinden.
  • Als uw use-case een reactiemechanisme vereist, kunt u geautomatiseerde antwoorden (bijvoorbeeld quarantaine- of verwijderingsacties) instellen met Behulp van Event Grid en Logic Apps. Zie Antwoord instellen bij het scannen van malware voor gedetailleerde installatierichtlijnen.

Tip

We raden u aan om de functie voor het scannen van malware in Defender for Storage te verkennen via ons praktijklab. Volg de Ninja-trainingsinstructies voor een gedetailleerde handleiding over het instellen, testen en reageren van de configuratie.

Gerelateerde inhoud