Configurações avançadas para verificação de malware no Microsoft Defender for Storage
A verificação de malware pode ser configurada para enviar os resultados da verificação para o seguinte:
- Tópico personalizado da Grelha de Eventos - para uma resposta automática quase em tempo real com base em cada resultado da análise.
- Espaço de trabalho do Log Analytics - para armazenar cada verificação resulta em um repositório de logs centralizado para conformidade e auditoria.
Saiba mais sobre como configurar a resposta para resultados de verificação de malware.
Gorjeta
Recomendamos que você experimente as instruções de treinamento do Ninja, um laboratório prático, para experimentar a verificação de malware no Defender for Storage, usando instruções detalhadas passo a passo sobre como testar a verificação de malware de ponta a ponta com a configuração de respostas aos resultados da verificação. Isso faz parte do projeto 'labs' que ajuda os clientes a se familiarizarem com o Microsoft Defender for Cloud e fornece experiência prática com seus recursos.
Configurar o registo para análise de malware
Para cada conta de armazenamento habilitada com a verificação de malware, você pode definir um destino de espaço de trabalho do Log Analytics para armazenar cada resultado da verificação em um repositório de log centralizado que é fácil de consultar.
Antes de enviar os resultados da verificação para o Log Analytics, crie um espaço de trabalho do Log Analytics ou use um existente.
Para configurar o destino do Log Analytics, navegue até a conta de armazenamento relevante, abra a guia Microsoft Defender for Cloud e selecione as configurações a serem definidas.
Essa configuração também pode ser executada usando a API REST:
URL do Pedido:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Corpo do Pedido:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Nota
O portal do Azure lista espaços de trabalho do Log Analytics da mesma assinatura que a conta de armazenamento. A API REST pode ser usada para configurar um espaço de trabalho do Log Analytics a partir de uma assinatura diferente do mesmo locatário, conforme descrito anteriormente.
Os resultados da verificação serão registrados em uma tabela chamada StorageMalwareScanningResults
. Esta tabela é criada quando o primeiro resultado da verificação é registrado.
Configurar a Grade de Eventos para verificação de malware
Para cada conta de armazenamento habilitada com a verificação de malware, você pode configurar para enviar cada resultado da verificação usando um evento de Grade de Eventos para fins de automação.
Para configurar a Grade de Eventos para enviar resultados de verificação, primeiro você precisa criar um tópico personalizado com antecedência. Consulte a documentação da Grade de Eventos sobre a criação de tópicos personalizados para obter orientações. Certifique-se de que o tópico personalizado Grade de Eventos de destino seja criado na mesma região da conta de armazenamento a partir da qual você deseja enviar os resultados da verificação.
Para configurar o destino do tópico personalizado da Grade de Eventos, vá para a conta de armazenamento relevante, abra a guia Microsoft Defender for Cloud e selecione as configurações a serem definidas.
Nota
Ao definir um tópico personalizado da Grade de Eventos, você deve definir Substituir as configurações de nível de assinatura do Defender for Storage como Ativado para garantir que ele substitua as configurações de nível de assinatura.
Nota
O portal do Azure lista tópicos da Grade de Eventos da mesma assinatura que a conta de armazenamento. A API REST pode ser usada para configurar um tópico de Grade de Eventos a partir de uma assinatura diferente do mesmo locatário, conforme descrito na seção a seguir. Essa configuração também pode ser executada usando a API REST:
URL do Pedido:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Corpo do Pedido:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Substituir as configurações de nível de assinatura do Defender for Storage
As configurações de nível de assinatura herdam as configurações do Defender for Storage em cada conta de armazenamento na assinatura. Use Substituir configurações no nível de assinatura do Defender for Storage para definir configurações para contas de armazenamento individuais diferentes daquelas configuradas no nível de assinatura.
A substituição das configurações das assinaturas geralmente é usada para os seguintes cenários:
- Ative/desative a verificação de malware ou os recursos de deteção de ameaças de sensibilidade a dados.
- Configure configurações personalizadas para verificação de malware.
- Desative o Microsoft Defender for Storage em contas de armazenamento específicas.
Nota
Recomendamos que você habilite o Defender for Storage em toda a assinatura para proteger todas as contas de armazenamento existentes e futuras nela. No entanto, há alguns casos em que você gostaria de excluir contas de armazenamento específicas da proteção do Defender. Se você decidiu excluir, siga as etapas na seção a seguir para usar a configuração de substituição e, em seguida, desative a conta de armazenamento relevante. Se estiver a utilizar o Defender for Storage (clássico), também pode excluir contas de armazenamento.
Portal do Azure
Para definir as configurações de contas de armazenamento individuais diferentes daquelas configuradas no nível de assinatura usando o portal do Azure:
Inicie sessão no portal do Azure.
Navegue até à conta de armazenamento para a qual pretende configurar definições personalizadas.
No menu da conta de armazenamento, na seção Segurança + rede , selecione Microsoft Defender for Cloud.
Selecione Configurações no Microsoft Defender para armazenamento.
Defina o status de Substituir configurações de nível de assinatura do Defender for Storage (em Configurações avançadas) como Ativado. Isso garante que as configurações sejam salvas apenas para essa conta de armazenamento e não sejam invadidas pelas configurações de assinatura.
Configure as definições que pretende alterar:
Para habilitar a verificação de malware ou a deteção de ameaças de dados confidenciais, defina o status como Ativado.
Para modificar as definições da análise de malware:
Mude a verificação de malware ao carregar para Ativado se ainda não estiver ativada.
Para ajustar o limite mensal para verificação de malware em suas contas de armazenamento, você pode modificar o parâmetro chamado Definir limite de GB digitalizados por mês para o valor desejado. Este parâmetro determina a quantidade máxima de dados que podem ser analisados mensalmente quanto à existência de malware, especificamente para cada conta de armazenamento. Se pretender permitir uma análise ilimitada, pode desmarcar este parâmetro. Por predefinição, o limite é definido em 5.000 GB.
Para desativar o Defender for Storage nesta conta de armazenamento, defina o status do Microsoft Defender for Storage como Desativado.
Selecione Guardar.
API REST
Para definir as configurações de contas de armazenamento individuais diferentes daquelas configuradas no nível de assinatura usando a API REST:
Crie um pedido PUT com este ponto final. Substitua subscriptionId, resourceGroupName e accountName na URL do ponto de extremidade por sua própria ID de assinatura do Azure, grupo de recursos e nomes de conta de armazenamento de acordo.
URL do Pedido:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Corpo do Pedido:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Para habilitar a verificação de malware ou a deteção de ameaças de dados confidenciais, defina o valor de isEnabled como true nos recursos relevantes.
Para modificar as configurações de verificação de malware, edite os campos relevantes em onUpload, certifique-se de que o valor de isEnabled é true. Se você quiser permitir a verificação ilimitada, atribua o valor -1 ao parâmetro capGBPerMonth.
Para desativar o Defender para Armazenamento nestas contas de armazenamento, utilize o seguinte corpo do pedido:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Certifique-se de adicionar o parâmetro overrideSubscriptionLevelSettings
e seu valor está definido como true. Isso garante que as configurações sejam salvas apenas para essa conta de armazenamento e não sejam invadidas pelas configurações de assinatura.
Próximo passo
Saiba mais sobre as configurações de verificação de malware.