Verificação de malware sob demanda

A verificação de malware sob demanda no Microsoft Defender para Armazenamento permite examinar blobs existentes em suas contas de Armazenamento do Microsoft Azure sempre que necessário. Essa funcionalidade fornece flexibilidade para verificar dados armazenados em resposta aos requisitos de segurança em evolução, necessidades de conformidade ou incidentes de segurança, garantindo que seus dados estejam continuamente protegidos.

Usando o Microsoft Defender Antivírus com as definições de malware mais recentes, a verificação sob demanda oferece uma solução nativa de nuvem. Ele não requer mais infraestrutura ou sobrecarga operacional. Essa abordagem aborda lacunas na cobertura, especialmente para dados carregados antes da verificação ser habilitada. Ele também ajuda quando novas ameaças surgem, permitindo proteger proativamente arquivos armazenados e reduzir a exposição potencial em ambientes de nuvem.

Casos de uso comuns para verificação de malware sob demanda

O uso de verificação de malware sob demanda no Microsoft Defender para Armazenamento oferece as seguintes vantagens:

• Responder a eventos de segurança: examine imediatamente as contas de armazenamento quando são detectados alertas de segurança ou atividades suspeitas.
• Garantir a conformidade: execute verificações agendadas ou sob demanda para atender aos requisitos de conformidade regulatória e de proteção de dados.
• Gerenciamento proativo de segurança: defina verificações recorrentes para manter um ambiente continuamente seguro.
• Criar uma linha de base de segurança: examine os dados existentes ao primeiro habilitar o Defender para Armazenamento para estabelecer uma linha de base para segurança futura.

O malware pode se infiltrar em ambientes de armazenamento em nuvem e representar riscos significativos para as organizações. A verificação de malware sob demanda fornece uma solução interna e nativa de nuvem para detectar e atenuar essas ameaças verificando seus dados existentes em busca de conteúdo mal-intencionado.

Aspectos compartilhados com a verificação no upload

As seções a seguir são aplicáveis ​​à verificação de malware sob demanda e durante o upload.

• Custos adicionais, incluindo operações de leitura do Armazenamento do Microsoft Azure, indexação de blobs e notificações da Grade de Eventos.
• Visualização e consumo de resultados de verificação: métodos como marcas de índice de Blob, alertas de segurança do Defender para Nuvem, eventos da Grade de Eventos e Log Analytics.
• Automação de resposta: automatize ações como bloquear, excluir ou mover arquivos com base nos resultados da verificação.
• Conteúdo com suporte e limitações: abrange tipos de arquivos com suporte, tamanhos, criptografia e limitações regionais.
• Acesso e privacidade de dados: detalhes sobre como o serviço acessa e processa seus dados, inclusive considerações de privacidade.
• Lidar com falsos positivos e falsos negativos: etapas para enviar arquivos para revisão e criar regras de supressão.
• Verificações de blobs e impacto no IOPS: saiba como as verificações disparam operações de leitura adicionais e atualizam marcas de índice de blobs.

Para saber mais sobre esses tópicos, confira a página Introdução à verificação de malware.

Iniciar verificações sob demanda

Entender o processo de verificação sob demanda

• Estimativa de custo: antes de iniciar uma verificação, o portal do Azure fornece um custo estimado com base na métrica de Capacidade de Blob e no volume de dados, oferecendo visibilidade do custo potencial de verificação.
• Iniciação da verificação: as verificações podem ser iniciadas manualmente no portal do Azure, disparadas programaticamente usando a API REST ou automatizadas por meio de Aplicativos Lógicos, runbooks de Automação ou scripts do PowerShell, permitindo a integração em vários fluxos de trabalho.
• Listar e enviar blobs para verificação: depois que uma verificação é iniciada, o sistema lista todos os blobs com suporte na conta de armazenamento e os envia para verificação em paralelo. Dependendo da quantidade e do tamanho do blob, esse processo pode levar de minutos a várias horas.
• Progresso do monitoramento: o progresso da verificação pode ser acompanhado por meio do portal do Azure ou da API, com detalhes sobre o número de blobs verificados, arquivos ignorados, volume de dados, arquivos mal-intencionados detectados, status de verificação e duração.
• Conclusão e resultados: depois que todos os blobs forem verificados, o sistema marcará a verificação como concluída e fornecerá um resumo das descobertas. A API também pode ser usada para consultar os detalhes da última verificação.

Principais considerações

• Limitação de verificação única: apenas uma verificação sob demanda pode ser executada por conta de armazenamento por vez.
• Cancelamento: as verificações só podem ser canceladas durante os estágios iniciais da verificação.

Pré-requisitos

• Permissões: função de proprietário ou colaborador na conta de armazenamento ou na assinatura ou funções específicas com as permissões necessárias.
• Defender para Armazenamento com verificação de malware: deve ser habilitado na assinatura ou contas de armazenamento individuais.

No portal do Azure

1. Entre no portal do Azure e navegue até a sua conta de armazenamento.

2. Em Segurança e rede, selecione Microsoft Defender para Nuvem.

   

3. Na seção de verificação de malware sob demanda, avalie o custo estimado com base no volume de dados.

   

4. Selecione Verificar blobs para malware para iniciar a verificação. Confirme a ação quando receber a solicitação.

   

5. Monitorar o progresso:

   • O status da verificação e as descobertas são atualizados a cada 20 a 30 segundos.

   • Exiba detalhes como status de verificação, blobs verificados, dados verificados, blobs mal-intencionados encontrados e duração da verificação.

6. Resultados da revisão:

   • Se forem encontradas ameaças, examine os detalhes na seçãoIncidentes de segurança e alertas.

   • Atualize a página se os alertas não estiverem imediatamente visíveis.

   

Observação

É possível cancelar uma verificação contínua selecionando Cancelar. O cancelamento só é possível durante os estágios iniciais da verificação, antes de atingir o estado Aguardando conclusão. Depois que a verificação entrar nesse estado ou posterior, não será possível cancelar.

Usar a API REST

Iniciar a verificação

Para iniciar uma verificação de malware usando a API REST, siga estas etapas:

• URL de solicitação:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Autenticação:

  • Verifique se você obteve um token de portador válido. Isso é necessário para acesso à API.

• Exemplo:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Verificar o status e os resultados da verificação

Depois que uma verificação for iniciada, você poderá verificar o status e examinar os resultados usando os seguintes comandos:

• URL de solicitação:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Exemplo de resposta:

  {
    "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
    "scanStatus": "InProgress",
    "scanStartTime": "2024-10-03T12:34:56Z",
    "scanSummary": {
      "blobs": {
        "totalBlobsScanned": 150,
        "maliciousBlobsCount": 2,
        "skippedBlobsCount": 0,
        "scannedBlobsInGB": 10.5
      },
      "estimatedScanCostUSD": 1.575
    }
  }
  

Cancelar uma verificação

Você só poderá cancelar uma verificação em andamento durante seus estágios iniciais. Depois que a verificação atingir o estado WaitingForCompletion ou posterior, o cancelamento não será possível. Para cancelar a verificação, envie a seguinte solicitação de cancelamento:

• URL de solicitação:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Considerações de custo

Antes de iniciar uma verificação sob demanda, o portal do Azure fornece uma estimativa de custo com base na métrica de Capacidade de Blobs, atualizada a cada poucas horas. A estimativa é mostrada em USD e reflete o custo por GB verificado. Ao contrário da verificação no carregamento, não há limite mensal, os custos são inteiramente baseados no uso.

Melhores práticas para controle de custos

• Examine as estimativas de custo: sempre verifique o custo estimado no portal do Azure antes de iniciar uma verificação.
• Defina a frequência de verificação com sabedoria: agende ou automatize verificações com base no risco, concentrando-se em dados de alta prioridade para evitar custos desnecessários.
• Automatizar com eficiência: verifique se a automação dispara verificações somente quando necessário, como em resposta a eventos ou alertas específicos.

Práticas recomendadas

Para maximizar a eficácia da verificação de malware sob demanda no Microsoft Defender para Armazenamento, considere as seguintes recomendações:

• Integre-se à resposta a incidentes: use a verificação sob demanda para lidar rapidamente com incidentes de segurança verificando arquivos potencialmente comprometidos em resposta a alertas.
• Automatizar verificações de conformidade: configure verificações automatizadas e regulares para garantir a conformidade contínua com os requisitos regulatórios e a preparação de auditoria. Use os Aplicativos Lógicos ou runbooks para simplificar esse processo.
• Configurar respostas automatizadas para verificar os resultados: configure fluxos de trabalho automatizados que respondem aos resultados da verificação de malware, como mover arquivos infectados para quarentena ou encaminhar arquivos limpos.
• Gerenciar custos proativamente: sempre examine as estimativas de custo fornecidas no portal do Azure antes de iniciar verificações, especialmente para grandes conjuntos de dados ou verificações frequentes.
• Monitore os resultados de forma consistente: monitore continuamente os resultados da verificação e os alertas de segurança para se manter informado sobre possíveis ameaças e tomar medidas oportunas.

Conteúdo relacionado

• Introdução à verificação de malware
• Verificação de malware durante o upload no Microsoft Defender para Armazenamento