Udostępnij za pośrednictwem


Skanowanie złośliwego oprogramowania na żądanie

Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage umożliwia skanowanie istniejących obiektów blob na kontach usługi Azure Storage w razie potrzeby. Ta funkcja zapewnia elastyczność skanowania przechowywanych danych w odpowiedzi na zmieniające się wymagania dotyczące zabezpieczeń, potrzeby zgodności lub zdarzenia zabezpieczeń, zapewniając ciągłą ochronę danych.

Korzystając z Program antywirusowy Microsoft Defender z najnowszymi definicjami złośliwego oprogramowania, skanowanie na żądanie oferuje rozwiązanie natywne dla chmury. Nie wymaga to dodatkowej infrastruktury ani nakładu pracy operacyjnej. Takie podejście eliminuje luki w zasięgu, szczególnie w przypadku danych przekazanych przed włączeniem skanowania. Pomaga również w pojawieniu się nowych zagrożeń, co pozwala aktywnie zabezpieczyć przechowywane pliki i zmniejszyć potencjalne narażenie na zagrożenia w środowiskach chmury.

Typowe przypadki użycia skanowania złośliwego oprogramowania na żądanie

Korzystanie ze skanowania złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage zapewnia następujące korzyści:

  • Reagowanie na zdarzenia zabezpieczeń: natychmiast skanuj konta magazynu po wykryciu alertów zabezpieczeń lub podejrzanych działań.
  • Zapewnianie zgodności: Uruchom zaplanowane lub na żądanie skanowania, aby spełnić wymagania dotyczące ochrony danych i zgodności z przepisami.
  • Proaktywne zarządzanie zabezpieczeniami: ustaw cykliczne skanowania, aby zachować stale bezpieczne środowisko.
  • Utwórz punkt odniesienia zabezpieczeń: skanuj istniejące dane po pierwszym włączeniu usługi Defender for Storage, aby ustanowić punkt odniesienia dla przyszłych zabezpieczeń.

Złośliwe oprogramowanie może przeniknąć do środowisk magazynu w chmurze i stanowić poważne zagrożenie dla organizacji. Skanowanie złośliwego oprogramowania na żądanie zapewnia wbudowane, natywne dla chmury rozwiązanie do wykrywania i eliminowania tych zagrożeń przez skanowanie istniejących danych pod kątem złośliwej zawartości.

Udostępnione aspekty skanowania podczas przekazywania

Poniższe sekcje dotyczą zarówno skanowania złośliwego oprogramowania na żądanie, jak i skanowania w ramach przekazywania złośliwego oprogramowania.

Aby uzyskać szczegółowe informacje na temat tych tematów, zobacz stronę Wprowadzenie do skanowania złośliwego oprogramowania.

Inicjowanie skanowania na żądanie

Omówienie procesu skanowania na żądanie

  • Szacowanie kosztów: przed zainicjowaniem skanowania witryna Azure Portal udostępnia szacowany koszt na podstawie metryki pojemności obiektów blob i ilości danych, oferując wgląd w potencjalne koszty skanowania.
  • Inicjowanie skanowania: skanowanie można uruchamiać ręcznie z poziomu witryny Azure Portal, wyzwalane programowo przy użyciu interfejsu API REST lub zautomatyzowane za pomocą usługi Logic Apps, elementów Runbook usługi Automation lub skryptów programu PowerShell, umożliwiając integrację z różnymi przepływami pracy.
  • Wyświetlanie listy i wysyłanie obiektów blob do skanowania: po zainicjowaniu skanowania system wyświetla listę wszystkich obsługiwanych obiektów blob na koncie magazynu i wysyła je do skanowania równolegle. W zależności od ilości i rozmiaru obiektu blob ten proces może potrwać od kilku minut do kilku godzin.
  • Postęp monitorowania: postęp skanowania można śledzić za pośrednictwem witryny Azure Portal lub interfejsu API ze szczegółowymi informacjami na temat liczby skanowanych obiektów blob, pominiętych plików, ilości danych, wykrytych złośliwych plików, stanu skanowania i czasu trwania.
  • Ukończenie i wyniki: po skanowaniu wszystkich obiektów blob system oznacza skanowanie jako ukończone i zawiera podsumowanie wyników. Interfejs API może również służyć do wykonywania zapytań dotyczących szczegółów ostatniego skanowania.

Najważniejsze zagadnienia

  • Ograniczenie pojedynczego skanowania: na jednym koncie magazynu może być uruchamiane tylko jedno skanowanie na żądanie.
  • Anulowanie: skanowanie można anulować tylko podczas początkowych etapów skanowania.

Wymagania wstępne

  • Uprawnienia: rola właściciela lub współautora w subskrypcji lub koncie magazynu albo określone role z niezbędnymi uprawnieniami.
  • Usługa Defender for Storage ze skanowaniem złośliwego oprogramowania: musi być włączona na subskrypcjach lub na poszczególnych kontach magazynu.

Z witryny Azure Portal

  1. Zaloguj się do witryny Azure Portal i przejdź do swojego konta magazynu.

  2. W obszarze Zabezpieczenia i sieć wybierz pozycję Microsoft Defender dla Chmury.

    Zrzut ekranu przedstawiający sposób wybierania Defender dla Chmury na koncie magazynu.

  3. W sekcji Skanowanie złośliwego oprogramowania na żądanie oceń szacowany koszt na podstawie ilości danych.

    Zrzut ekranu przedstawiający szacowany koszt skanowania złośliwego oprogramowania na żądanie.

  4. Wybierz pozycję Skanuj obiekty blob pod kątem złośliwego oprogramowania , aby zainicjować skanowanie. Po wyświetleniu monitu potwierdź działanie.

    Zrzut ekranu przedstawiający sposób inicjowania skanowania pod kątem złośliwego oprogramowania.

  5. Monitorowanie postępu:

    • Stan skanowania i wyniki są aktualizowane co 20–30 sekund.

    • Wyświetlanie szczegółów, takich jak stan skanowania, skanowane obiekty blob, skanowanie danych, znalezione złośliwe obiekty blob i czas trwania skanowania.

  6. Przejrzyj wyniki:

    • Jeśli zostaną znalezione zagrożenia, zapoznaj się ze szczegółami w sekcji Zdarzenia zabezpieczeń i alerty .

    • Odśwież stronę, jeśli alerty nie są natychmiast widoczne.

    Zrzut ekranu przedstawiający wyniki skanowania pod kątem skanowania złośliwego oprogramowania na żądanie.

Uwaga

Możesz anulować trwające skanowanie, wybierając pozycję Anuluj. Anulowanie jest możliwe tylko podczas początkowych etapów skanowania, zanim osiągnie stan oczekiwania na ukończenie . Po przejściu skanowania do tego stanu lub poza nim nie można anulować.

Korzystanie z interfejsu API REST

Inicjowanie skanowania

Aby rozpocząć skanowanie w poszukiwaniu złośliwego oprogramowania przy użyciu interfejsu API REST, wykonaj następujące kroki:

  • Adres URL żądania:

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
    
  • Authentication (Uwierzytelnianie):

    • Upewnij się, że uzyskano prawidłowy token elementu nośnego. Jest to wymagane w przypadku dostępu do interfejsu API.
  • Przykład:

    POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
    Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
    

Sprawdzanie stanu skanowania i wyników

Po uruchomieniu skanowania możesz sprawdzić stan i przejrzeć wyniki przy użyciu następujących poleceń:

  • Adres URL żądania:

    GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
    
  • Przykład odpowiedzi:

    {
      "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
      "scanStatus": "InProgress",
      "scanStartTime": "2024-10-03T12:34:56Z",
      "scanSummary": {
        "blobs": {
          "totalBlobsScanned": 150,
          "maliciousBlobsCount": 2,
          "skippedBlobsCount": 0,
          "scannedBlobsInGB": 10.5
        },
        "estimatedScanCostUSD": 1.575
      }
    }
    

Anulowanie skanowania

Skanowanie w toku można anulować tylko podczas jego początkowych etapów. Gdy skanowanie osiągnie stan OczekiwanieForCompletion lub poza nią, anulowanie nie jest możliwe. Aby anulować skanowanie, wyślij następujące żądanie anulowania:

  • Adres URL żądania:

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
    

Kwestie związane z kosztami

Przed rozpoczęciem skanowania na żądanie witryna Azure Portal udostępnia oszacowanie kosztów na podstawie metryki Pojemność obiektu blob, aktualizowane co kilka godzin. Szacowanie jest wyświetlane w USD i odzwierciedla koszt skanowania za GB. W przeciwieństwie do skanowania podczas przekazywania nie ma miesięcznego limitu — koszty są całkowicie oparte na użyciu.

Najlepsze rozwiązania dotyczące kontroli kosztów

  • Przejrzyj szacowane koszty: przed zainicjowaniem skanowania zawsze sprawdź szacowany koszt w witrynie Azure Portal.
  • Ustaw częstotliwość skanowania mądrze: Zaplanuj lub automatyzuj skanowania na podstawie ryzyka, koncentrując się na danych o wysokim priorytcie, aby uniknąć niepotrzebnych kosztów.
  • Automatyzacja wydajnie: upewnij się, że wyzwalacze automatyzacji są skanowane tylko w razie potrzeby, na przykład w odpowiedzi na określone zdarzenia lub alerty.

Najlepsze rozwiązania

Aby zmaksymalizować skuteczność skanowania złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage, należy wziąć pod uwagę następujące zalecenia:

  • Integracja z reagowaniem na zdarzenia: skanowanie na żądanie umożliwia szybkie reagowanie na zdarzenia zabezpieczeń przez skanowanie potencjalnie naruszonych plików w odpowiedzi na alerty.
  • Automatyzowanie skanowania zgodności: skonfiguruj automatyczne, regularne skanowania, aby zapewnić ciągłą zgodność z wymaganiami prawnymi i gotowość inspekcji. Użyj usługi Logic Apps lub elementów Runbook, aby usprawnić ten proces.
  • Konfigurowanie automatycznych odpowiedzi na wyniki skanowania: skonfiguruj zautomatyzowane przepływy pracy, które reagują na wyniki skanowania złośliwego oprogramowania, takie jak przenoszenie zainfekowanych plików do kwarantanny lub przekazywanie czystych plików.
  • Proaktywne zarządzanie kosztami: przed zainicjowaniem skanowania w witrynie Azure Portal należy zawsze przeglądać oszacowania kosztów, szczególnie w przypadku dużych zestawów danych lub częstych skanowań.
  • Spójne monitorowanie wyników: stale monitoruj wyniki skanowania i alerty zabezpieczeń, aby być na bieżąco z potencjalnymi zagrożeniami i podejmować aktualne działania.