Skanowanie złośliwego oprogramowania na żądanie
Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage umożliwia skanowanie istniejących obiektów blob na kontach usługi Azure Storage w razie potrzeby. Ta funkcja zapewnia elastyczność skanowania przechowywanych danych w odpowiedzi na zmieniające się wymagania dotyczące zabezpieczeń, potrzeby zgodności lub zdarzenia zabezpieczeń, zapewniając ciągłą ochronę danych.
Korzystając z Program antywirusowy Microsoft Defender z najnowszymi definicjami złośliwego oprogramowania, skanowanie na żądanie oferuje rozwiązanie natywne dla chmury. Nie wymaga to dodatkowej infrastruktury ani nakładu pracy operacyjnej. Takie podejście eliminuje luki w zasięgu, szczególnie w przypadku danych przekazanych przed włączeniem skanowania. Pomaga również w pojawieniu się nowych zagrożeń, co pozwala aktywnie zabezpieczyć przechowywane pliki i zmniejszyć potencjalne narażenie na zagrożenia w środowiskach chmury.
Typowe przypadki użycia skanowania złośliwego oprogramowania na żądanie
Korzystanie ze skanowania złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage zapewnia następujące korzyści:
- Reagowanie na zdarzenia zabezpieczeń: natychmiast skanuj konta magazynu po wykryciu alertów zabezpieczeń lub podejrzanych działań.
- Zapewnianie zgodności: Uruchom zaplanowane lub na żądanie skanowania, aby spełnić wymagania dotyczące ochrony danych i zgodności z przepisami.
- Proaktywne zarządzanie zabezpieczeniami: ustaw cykliczne skanowania, aby zachować stale bezpieczne środowisko.
- Utwórz punkt odniesienia zabezpieczeń: skanuj istniejące dane po pierwszym włączeniu usługi Defender for Storage, aby ustanowić punkt odniesienia dla przyszłych zabezpieczeń.
Złośliwe oprogramowanie może przeniknąć do środowisk magazynu w chmurze i stanowić poważne zagrożenie dla organizacji. Skanowanie złośliwego oprogramowania na żądanie zapewnia wbudowane, natywne dla chmury rozwiązanie do wykrywania i eliminowania tych zagrożeń przez skanowanie istniejących danych pod kątem złośliwej zawartości.
Udostępnione aspekty skanowania podczas przekazywania
Poniższe sekcje dotyczą zarówno skanowania złośliwego oprogramowania na żądanie, jak i skanowania w ramach przekazywania złośliwego oprogramowania.
- Dodatkowe koszty , w tym operacje odczytu usługi Azure Storage, indeksowanie obiektów blob i powiadomienia usługi Event Grid.
- Wyświetlanie i korzystanie z wyników skanowania: metody, takie jak tagi indeksu obiektów blob, Defender dla Chmury alerty zabezpieczeń, zdarzenia usługi Event Grid i usługa Log Analytics.
- Automatyzacja odpowiedzi: automatyzowanie akcji, takich jak blokowanie, usuwanie lub przenoszenie plików na podstawie wyników skanowania.
- Obsługiwana zawartość i ograniczenia: obejmuje obsługiwane typy plików, rozmiary, szyfrowanie i ograniczenia regionów.
- Dostęp i prywatność danych: szczegółowe informacje na temat sposobu uzyskiwania dostępu do danych i przetwarzania ich przez usługę, w tym kwestii dotyczących prywatności.
- Obsługa wyników fałszywie dodatnich i fałszywie ujemnych: kroki przesyłania plików do przeglądu i tworzenia reguł pomijania.
- Skanowanie obiektów blob i wpływ na liczbę operacji we/wy na sekundę: dowiedz się, jak skanowania wyzwalają dalsze operacje odczytu i aktualizują tagi indeksu obiektów blob.
Aby uzyskać szczegółowe informacje na temat tych tematów, zobacz stronę Wprowadzenie do skanowania złośliwego oprogramowania.
Inicjowanie skanowania na żądanie
Omówienie procesu skanowania na żądanie
- Szacowanie kosztów: przed zainicjowaniem skanowania witryna Azure Portal udostępnia szacowany koszt na podstawie metryki pojemności obiektów blob i ilości danych, oferując wgląd w potencjalne koszty skanowania.
- Inicjowanie skanowania: skanowanie można uruchamiać ręcznie z poziomu witryny Azure Portal, wyzwalane programowo przy użyciu interfejsu API REST lub zautomatyzowane za pomocą usługi Logic Apps, elementów Runbook usługi Automation lub skryptów programu PowerShell, umożliwiając integrację z różnymi przepływami pracy.
- Wyświetlanie listy i wysyłanie obiektów blob do skanowania: po zainicjowaniu skanowania system wyświetla listę wszystkich obsługiwanych obiektów blob na koncie magazynu i wysyła je do skanowania równolegle. W zależności od ilości i rozmiaru obiektu blob ten proces może potrwać od kilku minut do kilku godzin.
- Postęp monitorowania: postęp skanowania można śledzić za pośrednictwem witryny Azure Portal lub interfejsu API ze szczegółowymi informacjami na temat liczby skanowanych obiektów blob, pominiętych plików, ilości danych, wykrytych złośliwych plików, stanu skanowania i czasu trwania.
- Ukończenie i wyniki: po skanowaniu wszystkich obiektów blob system oznacza skanowanie jako ukończone i zawiera podsumowanie wyników. Interfejs API może również służyć do wykonywania zapytań dotyczących szczegółów ostatniego skanowania.
Najważniejsze zagadnienia
- Ograniczenie pojedynczego skanowania: na jednym koncie magazynu może być uruchamiane tylko jedno skanowanie na żądanie.
- Anulowanie: skanowanie można anulować tylko podczas początkowych etapów skanowania.
Wymagania wstępne
- Uprawnienia: rola właściciela lub współautora w subskrypcji lub koncie magazynu albo określone role z niezbędnymi uprawnieniami.
- Usługa Defender for Storage ze skanowaniem złośliwego oprogramowania: musi być włączona na subskrypcjach lub na poszczególnych kontach magazynu.
Z witryny Azure Portal
Zaloguj się do witryny Azure Portal i przejdź do swojego konta magazynu.
W obszarze Zabezpieczenia i sieć wybierz pozycję Microsoft Defender dla Chmury.
W sekcji Skanowanie złośliwego oprogramowania na żądanie oceń szacowany koszt na podstawie ilości danych.
Wybierz pozycję Skanuj obiekty blob pod kątem złośliwego oprogramowania , aby zainicjować skanowanie. Po wyświetleniu monitu potwierdź działanie.
Monitorowanie postępu:
Stan skanowania i wyniki są aktualizowane co 20–30 sekund.
Wyświetlanie szczegółów, takich jak stan skanowania, skanowane obiekty blob, skanowanie danych, znalezione złośliwe obiekty blob i czas trwania skanowania.
Przejrzyj wyniki:
Jeśli zostaną znalezione zagrożenia, zapoznaj się ze szczegółami w sekcji Zdarzenia zabezpieczeń i alerty .
Odśwież stronę, jeśli alerty nie są natychmiast widoczne.
Uwaga
Możesz anulować trwające skanowanie, wybierając pozycję Anuluj. Anulowanie jest możliwe tylko podczas początkowych etapów skanowania, zanim osiągnie stan oczekiwania na ukończenie . Po przejściu skanowania do tego stanu lub poza nim nie można anulować.
Korzystanie z interfejsu API REST
Inicjowanie skanowania
Aby rozpocząć skanowanie w poszukiwaniu złośliwego oprogramowania przy użyciu interfejsu API REST, wykonaj następujące kroki:
Adres URL żądania:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
Authentication (Uwierzytelnianie):
- Upewnij się, że uzyskano prawidłowy token elementu nośnego. Jest to wymagane w przypadku dostępu do interfejsu API.
Przykład:
POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
Sprawdzanie stanu skanowania i wyników
Po uruchomieniu skanowania możesz sprawdzić stan i przejrzeć wyniki przy użyciu następujących poleceń:
Adres URL żądania:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
Przykład odpowiedzi:
{ "scanId": "abcd1234-5678-90ab-cdef-1234567890ab", "scanStatus": "InProgress", "scanStartTime": "2024-10-03T12:34:56Z", "scanSummary": { "blobs": { "totalBlobsScanned": 150, "maliciousBlobsCount": 2, "skippedBlobsCount": 0, "scannedBlobsInGB": 10.5 }, "estimatedScanCostUSD": 1.575 } }
Anulowanie skanowania
Skanowanie w toku można anulować tylko podczas jego początkowych etapów. Gdy skanowanie osiągnie stan OczekiwanieForCompletion lub poza nią, anulowanie nie jest możliwe. Aby anulować skanowanie, wyślij następujące żądanie anulowania:
Adres URL żądania:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
Kwestie związane z kosztami
Przed rozpoczęciem skanowania na żądanie witryna Azure Portal udostępnia oszacowanie kosztów na podstawie metryki Pojemność obiektu blob, aktualizowane co kilka godzin. Szacowanie jest wyświetlane w USD i odzwierciedla koszt skanowania za GB. W przeciwieństwie do skanowania podczas przekazywania nie ma miesięcznego limitu — koszty są całkowicie oparte na użyciu.
Najlepsze rozwiązania dotyczące kontroli kosztów
- Przejrzyj szacowane koszty: przed zainicjowaniem skanowania zawsze sprawdź szacowany koszt w witrynie Azure Portal.
- Ustaw częstotliwość skanowania mądrze: Zaplanuj lub automatyzuj skanowania na podstawie ryzyka, koncentrując się na danych o wysokim priorytcie, aby uniknąć niepotrzebnych kosztów.
- Automatyzacja wydajnie: upewnij się, że wyzwalacze automatyzacji są skanowane tylko w razie potrzeby, na przykład w odpowiedzi na określone zdarzenia lub alerty.
Najlepsze rozwiązania
Aby zmaksymalizować skuteczność skanowania złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage, należy wziąć pod uwagę następujące zalecenia:
- Integracja z reagowaniem na zdarzenia: skanowanie na żądanie umożliwia szybkie reagowanie na zdarzenia zabezpieczeń przez skanowanie potencjalnie naruszonych plików w odpowiedzi na alerty.
- Automatyzowanie skanowania zgodności: skonfiguruj automatyczne, regularne skanowania, aby zapewnić ciągłą zgodność z wymaganiami prawnymi i gotowość inspekcji. Użyj usługi Logic Apps lub elementów Runbook, aby usprawnić ten proces.
- Konfigurowanie automatycznych odpowiedzi na wyniki skanowania: skonfiguruj zautomatyzowane przepływy pracy, które reagują na wyniki skanowania złośliwego oprogramowania, takie jak przenoszenie zainfekowanych plików do kwarantanny lub przekazywanie czystych plików.
- Proaktywne zarządzanie kosztami: przed zainicjowaniem skanowania w witrynie Azure Portal należy zawsze przeglądać oszacowania kosztów, szczególnie w przypadku dużych zestawów danych lub częstych skanowań.
- Spójne monitorowanie wyników: stale monitoruj wyniki skanowania i alerty zabezpieczeń, aby być na bieżąco z potencjalnymi zagrożeniami i podejmować aktualne działania.