Introdução à verificação de malware

A verificação de malware no Microsoft Defender for Storage melhora a segurança de suas contas de Armazenamento do Azure detetando e mitigando ameaças de malware. Ele usa o Microsoft Defender Antivírus para verificar seu conteúdo de armazenamento, garantindo segurança e conformidade.

O Defender for Storage oferece dois tipos de verificação de malware:

• Verificação de malware ao carregar: verifica blobs automaticamente quando eles são carregados ou modificados, fornecendo deteção quase em tempo real. Este tipo de digitalização é ideal para aplicações que envolvem carregamentos frequentes de utilizadores, tais como aplicações Web ou plataformas colaborativas. A verificação do conteúdo à medida que ele é carregado ajuda a evitar que arquivos mal-intencionados entrem em seu ambiente de armazenamento e se propaguem downstream.

• Verificação de malware sob demanda: Permite verificar blobs existentes sempre que necessário, tornando-o ideal para resposta a incidentes, conformidade e segurança proativa. Esse tipo de verificação é ideal para estabelecer uma linha de base de segurança verificando todos os dados existentes, reagindo a alertas de segurança ou preparando-se para auditorias.

Essas opções ajudam a proteger suas contas de armazenamento, atender às necessidades de conformidade e manter a integridade dos dados.

Por que a verificação de malware é importante

O conteúdo carregado para o armazenamento em nuvem pode introduzir malware, representando riscos para a sua organização. A verificação de conteúdo em busca de malware ajuda a impedir que arquivos mal-intencionados entrem ou se espalhem em seu ambiente.

A verificação de malware no Defender for Storage ajuda a:

• Deteção de conteúdo malicioso: identifica e atenua ameaças de malware.

• Melhorar a postura de segurança: adiciona uma camada de segurança para evitar a propagação de malware.

• Suporte à conformidade: ajuda a atender aos requisitos regulamentares.

• Simplificando o gerenciamento de segurança: oferece uma solução nativa da nuvem e de baixa manutenção configurável em escala.

Funcionalidades principais

• Uma solução SaaS integrada: permite uma ativação simples em escala com manutenção zero.

• Recursos antimalware abrangentes: Verificação com o Microsoft Defender Antivirus (MDAV), capturando malware polimórfico e metamórfico.

• Deteção abrangente: Analisa todos os tipos de ficheiros, incluindo arquivos como ficheiros ZIP e RAR, até 2 GB por blob (até 50 GB na pré-visualização).

• Opções flexíveis de digitalização: Oferece digitalização on-upload e on-demand com base nas suas necessidades.

• Integração com alertas de segurança: gera alertas detalhados no Microsoft Defender for Cloud.

• Suporte para automação: permite respostas automatizadas usando serviços do Azure, como Aplicativos Lógicos e Aplicativos de Função.

• Conformidade e auditoria: registra os resultados da verificação de conformidade e auditoria.

• Suporte a terminais privados: a verificação de malware suporta terminais privados, garantindo a privacidade dos dados ao eliminar a exposição pública à Internet.

Que tipo de verificação de malware funciona para suas necessidades?

Se você quiser proteção imediata para uploads frequentes, a verificação de malware ao carregar é a escolha certa. Ele funciona melhor para verificar o conteúdo carregado pelo usuário em aplicativos da Web, proteger ativos multimídia compartilhados e garantir a conformidade em setores regulamentados. A varredura ao carregar também é eficaz se você precisar integrar dados de terceiros, proteger plataformas colaborativas ou proteger pipelines de dados e conjuntos de dados de aprendizado de máquina. Para obter mais informações, consulte Verificação de malware ao carregar.

Se você quiser estabelecer linhas de base de segurança, a verificação de malware sob demanda é uma ótima escolha. Ele também oferece flexibilidade para executar varreduras com base em necessidades específicas. A varredura por solicitação se encaixa bem na resposta a incidentes, conformidade e práticas proativas de segurança. Você pode usá-lo para automatizar verificações em resposta a gatilhos de segurança, preparar-se para auditorias com verificações agendadas ou verificar proativamente os dados armazenados em busca de malware. Além disso, a varredura por solicitação ajuda a fornecer garantia ao cliente e verificar os dados antes de arquivar ou trocar. Para obter mais informações, consulte Verificação de malware sob demanda.

Fornecer resultados de verificação

Os resultados da verificação de malware estão disponíveis através de quatro métodos. Após a configuração, você verá os resultados da verificação como tags de índice de blob para cada arquivo digitalizado na conta de armazenamento e como alertas de segurança do Microsoft Defender for Cloud quando um arquivo for identificado como malicioso. Você pode optar por configurar métodos de resultado de verificação extra, como Grade de Eventos e Análise de Log, esses métodos exigem configuração extra. Na próxima seção, você aprenderá sobre os diferentes métodos de resultados da verificação.

Resultados da análise

Tags de índice de Blob

As tags de índice de blob são campos de metadados em um blob. Eles categorizam os dados em sua conta de armazenamento usando atributos de tag chave-valor. Essas tags são automaticamente indexadas e expostas como um índice multidimensional pesquisável para encontrar dados facilmente. Os resultados da verificação são concisos, exibindo o resultado da verificação de malware e o tempo de verificação de malware UTC nos metadados de blob. Outros tipos de resultados (alertas, eventos, logs) fornecem mais informações.

Os aplicativos podem usar tags de índice de blob para automatizar fluxos de trabalho, mas não são resistentes a violações. Leia mais sobre como configurar a resposta.

Nota

O acesso às tags de índice requer permissões. Para obter mais informações, consulte Obter, definir e atualizar tags de índice de blob.

Alertas de segurança do Defender for Cloud

Quando um arquivo mal-intencionado é detetado, o Microsoft Defender for Cloud gera um alerta de segurança do Microsoft Defender for Cloud. Para ver o alerta, vá para Alertas de segurança do Microsoft Defender for Cloud . O alerta de segurança contém detalhes e contexto sobre o arquivo, o tipo de malware e as etapas recomendadas de investigação e correção. Para usar esses alertas para correção, você pode:

• Exiba alertas de segurança no portal do Azure navegando até alertas do Microsoft Defender for Cloud>Security.
• Configure automações com base nesses alertas.
• Exporte alertas de segurança para um SIEM. Você pode exportar continuamente alertas de segurança Microsoft Sentinel (SIEM da Microsoft) usando o conector Microsoft Sentinel ou outro SIEM de sua escolha.

Saiba mais sobre como responder a alertas de segurança.

Evento Grade de Eventos

A Grade de Eventos é útil para automação orientada a eventos. É o método mais rápido para obter resultados com latência mínima em uma forma de eventos que você pode usar para automatizar a resposta.

Os eventos dos tópicos personalizados da Grade de Eventos podem ser consumidos por vários tipos de ponto final. Os mais úteis para cenários de verificação de malware são:

• Aplicativo de função (anteriormente chamado de Função do Azure) – use uma função sem servidor para executar código para resposta automatizada, como mover, excluir ou colocar em quarentena.
• Webhook – para conectar um aplicativo.
• Hubs de Eventos & Fila do Barramento de Serviço – para notificar os consumidores a jusante. Saiba como configurar a verificação de malware para que cada resultado da verificação seja enviado automaticamente para um tópico da Grade de Eventos para fins de automação.

Análise de logs

Talvez você queira registrar os resultados da verificação para obter evidências de conformidade ou investigar os resultados da verificação. Ao configurar um destino de espaço de trabalho do Log Analytics, você pode armazenar todos os resultados da verificação em um repositório de log centralizado que é fácil de consultar. Você pode visualizar os resultados navegando até o espaço de trabalho de destino do Log Analytics e procurando a StorageMalwareScanningResults tabela. Saiba mais sobre como configurar o registro para verificação de malware.

Gorjeta

Convidamos você a explorar o recurso de verificação de malware no Defender for Storage através do nosso laboratório prático. Siga as instruções de treinamento do Ninja para obter um guia detalhado e passo a passo sobre como configurar e testar a verificação de malware de ponta a ponta, incluindo a configuração de respostas aos resultados da verificação. Isso faz parte do projeto 'labs' que ajuda os clientes a se familiarizarem com o Microsoft Defender for Cloud e fornecer experiência prática com seus recursos.

Automação de respostas

A verificação de malware suporta respostas automatizadas, como excluir ou colocar em quarentena arquivos suspeitos. Isso pode ser gerenciado usando tags de índice de blobs ou configurando eventos de grade de eventos para fins de automação. Você pode automatizar as respostas das seguintes maneiras:

• Bloqueie o acesso a arquivos não verificados ou mal-intencionados usando o ABAC (Controle de Acesso Baseado em Atributos).
• Exclua ou mova automaticamente arquivos mal-intencionados para a quarentena usando Aplicativos lógicos (com base em alertas de segurança) ou Grade de eventos com aplicativos de função (com base nos resultados da verificação).
• Encaminhe arquivos limpos para um local diferente usando a Grade de Eventos com Aplicativos de Função.

Saiba mais sobre como configurar a resposta para resultados de verificação de malware.

Configuração de verificação de malware

Quando a verificação de malware está ativada, as seguintes ações ocorrem automaticamente no seu ambiente:

• Para cada conta de armazenamento na qual você habilita a verificação de malware, um recurso de Tópico do Sistema de Grade de Eventos é criado no mesmo grupo de recursos da conta de armazenamento - usado pelo serviço de verificação de malware para ouvir os gatilhos de upload de blob. A remoção deste recurso quebra a funcionalidade de verificação de malware.
• Para analisar os seus dados, o serviço de verificação de malware requer acesso aos seus dados. Durante a ativação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado em sua assinatura do Azure e atribuído com uma identidade gerenciada atribuída ao sistema. Este recurso é concedido com a atribuição da função Proprietário de Dados de Blob de Armazenamento, permitindo que ele acesse seus dados para fins de verificação de malware e Descoberta de Dados Confidenciais. Se a configuração de rede da sua conta de armazenamento estiver definida como Habilitar acesso à rede pública a partir de redes virtuais selecionadas e endereçado por IP, o StorageDataScanner recurso será adicionado à seção Instâncias de recurso em Configuração de rede da conta de armazenamento para permitir o acesso para verificar seus dados. Se você estiver habilitando a verificação de malware no nível da assinatura, um novo recurso chamado StorageAccounts/securityOperators/DefenderForStorageSecurityOperator será criado em sua assinatura do Azure. Este recurso recebe uma identidade gerenciada pelo sistema. Ele é usado para habilitar e reparar o Defender for Storage e configurações de verificação de malware em contas de armazenamento existentes. Além disso, verifica se há novas contas de armazenamento criadas na assinatura para habilitar a verificação de malware. Este recurso tem atribuições de função específicas com as permissões necessárias para habilitar a verificação de malware.

Nota

A verificação de malware depende de determinados recursos, identidades e configurações de rede para funcionar corretamente. Se você modificar ou excluir qualquer um destes, a verificação de malware deixará de funcionar. Para restaurar o seu funcionamento normal, pode desligá-lo e ligá-lo novamente.

Conteúdo suportado e limitações

Conteúdo suportado

• Tipos de ficheiros: Todos os tipos de ficheiros, incluindo arquivos como ficheiros ZIP.

• Tamanho do ficheiro: Blobs até 2 GB de tamanho (até 50 GB na pré-visualização).

Limitações

• Contas de armazenamento sem suporte: contas de armazenamento v1 herdadas não são suportadas.

• Serviço sem suporte: a verificação de malware não oferece suporte aos Arquivos do Azure.

• Tipos de blob sem suporte: blobs de acréscimo e blobs de página não são suportados.

• Criptografia não suportada: blobs criptografados do lado do cliente não podem ser verificados, pois o serviço não pode descriptografá-los. Há suporte para blobs criptografados em repouso com chaves gerenciadas pelo cliente (CMK).

• Protocolos não suportados: os Blobs carregados através do protocolo NFS (Network File System) 3.0 não são verificados.

• Tags de índice de blob: as tags de índice não são suportadas para contas de armazenamento com namespace hierárquico habilitado (Azure Data Lake Storage Gen2).

• Regiões sem suporte: algumas regiões ainda não são suportadas para verificação de malware. O serviço está em constante expansão para novas regiões. Para obter a lista mais recente de regiões suportadas, consulte Defender for Cloud Availability.

Outros custos

Serviços do Azure: a verificação de malware usa outros serviços do Azure, que podem incorrer em custos adicionais:

• Operações de leitura do Armazenamento do Azure
• Indexação de blob de armazenamento do Azure
• Eventos da Grade de Eventos do Azure

Varreduras de blob e impacto na IOPS

Cada vez que o serviço de verificação de malware verifica um arquivo, ele aciona outra operação de leitura e atualiza a tag de índice. Isso se aplica tanto à varredura ao carregar, que ocorre depois que o blob é carregado ou modificado, quanto à varredura por solicitação. Apesar destas operações, o acesso aos dados digitalizados permanece inalterado. O impacto nas IOPS (Input/Output Operations Per Second) de armazenamento é mínimo, garantindo que essas operações normalmente não introduzam carga significativa.

Cenários em que a verificação de malware é ineficaz

Embora a verificação de malware forneça recursos de deteção abrangentes, há cenários específicos em que ela se torna ineficaz devido a limitações inerentes. É importante avaliar esses cenários cuidadosamente antes de decidir habilitar a verificação de malware em uma conta de armazenamento:

• Dados fragmentados: a verificação de malware não deteta efetivamente malware em blobs que contêm dados fragmentados, por exemplo, arquivos divididos em partes menores. Esse problema é comum em serviços de backup que carregam dados de backup em partes para contas de armazenamento. O processo de verificação pode perder conteúdo malicioso ou sinalizar incorretamente conteúdo limpo, levando a falsos negativos e falsos positivos. Para reduzir esse risco, considere a implementação de outras medidas de segurança, como a verificação de dados, antes que eles sejam fragmentados ou depois de serem totalmente remontados.
• Dados criptografados: a verificação de malware não suporta dados criptografados do lado do cliente. Esses dados não podem ser descriptografados pelo serviço, o que significa que qualquer malware dentro desses blobs criptografados não é detetado. Se a criptografia for necessária, certifique-se de que a verificação ocorra antes do processo de criptografia ou use métodos de criptografia suportados, como CMK (Customer Managed Keys), para criptografia em repouso. Ao decidir ativar a verificação de malware, considere se outros arquivos suportados estão sendo carregados para a conta de armazenamento. Além disso, avalie se os invasores podem explorar esse fluxo de upload para introduzir malware.

Diferenças na deteção de malware entre o Armazenamento do Azure e ambientes de ponto de extremidade

O Defender for Storage utiliza o mesmo mecanismo antimalware e assinaturas atualizadas do Defender for Endpoint para verificar se há malware. No entanto, quando os arquivos são carregados no Armazenamento do Azure, eles não têm determinados metadados dos quais o mecanismo antimalware depende. Essa falta de metadados pode levar a uma taxa maior de deteções perdidas, conhecidas como "falsos negativos", no Armazenamento do Azure em comparação com as deteções identificadas pelo Defender for Endpoint.

Seguem-se alguns exemplos de metadados em falta:

• Marca da Web (MOTW): MOTW é um recurso de segurança do Windows que rastreia arquivos baixados da internet. No entanto, quando os arquivos são carregados no Armazenamento do Azure, esses metadados não são preservados.

• Contexto do caminho do arquivo: em sistemas operacionais padrão, o caminho do arquivo pode fornecer mais contexto para a deteção de ameaças. Por exemplo, um ficheiro que tente modificar localizações do sistema (por exemplo, C:\Windows\System32) seria sinalizado como suspeito e estaria sujeito a uma análise mais aprofundada. No Armazenamento do Azure, o contexto de caminhos de arquivo específicos dentro do blob não pode ser utilizado da mesma maneira.

• Dados comportamentais: o Defender for Storage analisa o conteúdo dos arquivos sem executá-los. Inspeciona os ficheiros e pode emular a sua execução para verificar a existência de malware. No entanto, essa abordagem pode não detetar certos tipos de malware que revelam sua natureza maliciosa apenas durante a execução.

Acesso e privacidade de dados

Requisitos de acesso aos dados

O serviço de verificação de malware requer acesso aos seus dados para verificar se há malware. Durante a ativação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado em sua assinatura do Azure. Este recurso recebe uma identidade gerenciada atribuída ao sistema e recebe a atribuição da função Proprietário de Dados do Blob de Armazenamento para acessar e verificar seus dados.

Se a configuração de rede da conta de armazenamento estiver definida como Habilitar acesso à rede pública a partir de redes virtuais e endereços IP selecionados, o StorageDataScanner recurso será adicionado à seção Instâncias de recurso na configuração de rede da conta de armazenamento para permitir o acesso à verificação.

Privacidade de dados e processamento regional

• Processamento regional: a verificação ocorre na mesma região do Azure que sua conta de armazenamento para cumprir os requisitos de residência de dados.

• Tratamento de dados: os ficheiros digitalizados não são armazenados. Em alguns casos, os metadados do arquivo (por exemplo, hash SHA-256) podem ser compartilhados com o Microsoft Defender for Endpoint para análise adicional.

Lidar com possíveis falsos positivos e falsos negativos

Falsos positivos

Os falsos positivos ocorrem quando o sistema identifica incorretamente um ficheiro benigno como malicioso. Para resolver estas questões:

1. Submeter para análise

   • Use o Portal de envio de amostras para relatar falsos positivos.

   • Selecione "Microsoft Defender for Storage" como a fonte ao enviar.

2. Suprimir alertas

   • Crie regras de supressão no Defender for Cloud para evitar alertas falsos positivos recorrentes específicos.

Abordar malware não detetado (falsos negativos)

Os falsos negativos ocorrem quando o sistema não consegue detetar um ficheiro malicioso. Se suspeitar que isso aconteceu, pode denunciar o malware não detetado enviando o arquivo para análise através do Portal de Envio de Amostras. Certifique-se de incluir o máximo de contexto possível para explicar por que você acredita que o arquivo é malicioso.

Nota

Relatar regularmente falsos positivos e negativos ajuda a melhorar a precisão do sistema de deteção de malware ao longo do tempo.

Conteúdos relacionados

• Verificação de malware ao carregar no Microsoft Defender for Storage
• Verificação de malware sob demanda no Microsoft Defender for Storage