Verificação de malware sob demanda

A verificação de malware sob demanda no Microsoft Defender for Storage permite que você verifique blobs existentes em suas contas de Armazenamento do Azure sempre que necessário. Esse recurso oferece flexibilidade para verificar dados armazenados em resposta à evolução dos requisitos de segurança, necessidades de conformidade ou incidentes de segurança, garantindo que seus dados estejam continuamente protegidos.

Ao usar o Microsoft Defender Antivírus com as definições de malware mais recentes, a verificação por solicitação oferece uma solução nativa da nuvem. Não requer mais infraestrutura ou sobrecarga operacional. Essa abordagem aborda lacunas na cobertura, especialmente para dados carregados antes da habilitação da digitalização. Também ajuda quando surgem novas ameaças, permitindo-lhe proteger proativamente os ficheiros armazenados e reduzir a exposição potencial em ambientes de nuvem.

Casos de uso comuns para verificação de malware sob demanda

O uso da verificação de malware sob demanda no Microsoft Defender for Storage oferece as seguintes vantagens:

• Responda a eventos de segurança: analise imediatamente as contas de armazenamento quando forem detetados alertas de segurança ou atividades suspeitas.
• Garanta a conformidade: execute verificações agendadas ou sob demanda para atender aos requisitos de proteção de dados e conformidade regulamentar.
• Gerenciamento de segurança proativo: defina verificações recorrentes para manter um ambiente continuamente seguro.
• Criar uma linha de base de segurança: verifique os dados existentes ao permitir que o Defender for Storage estabeleça uma linha de base para segurança futura.

O malware pode infiltrar-se em ambientes de armazenamento na nuvem e representar riscos significativos para as organizações. A verificação de malware sob demanda fornece uma solução integrada nativa da nuvem para detetar e mitigar essas ameaças, verificando seus dados existentes em busca de conteúdo mal-intencionado.

Aspetos compartilhados com a varredura ao carregar

As seções a seguir são aplicáveis à verificação de malware sob demanda e ao upload.

• Custos adicionais Incluindo operações de leitura do Armazenamento do Azure, indexação de blob e notificações de Grade de Eventos.
• Visualizar e consumir resultados de verificação: métodos como tags de índice de Blob, alertas de segurança do Defender for Cloud, eventos de grade de eventos e análise de log.
• Automação de resposta: automatize ações como bloquear, excluir ou mover arquivos com base nos resultados da verificação.
• Conteúdo suportado e limitações: Abrange tipos de ficheiros, tamanhos, encriptação e limitações de região suportados.
• Acesso e privacidade de dados: detalhes sobre como o serviço acessa e processa seus dados, incluindo considerações de privacidade.
• Tratamento de falsos positivos e falsos negativos: etapas para enviar arquivos para revisão e criar regras de supressão.
• Varreduras de blob e impacto no IOPS: saiba como as verificações acionam operações de leitura adicionais e atualizam tags de índice de blob.

Para obter informações detalhadas sobre esses tópicos, consulte a página Introdução à verificação de malware.

Iniciar varreduras por solicitação

Compreender o processo de varredura por solicitação

• Estimativa de custo: antes de iniciar uma verificação, o portal do Azure fornece um custo estimado com base na métrica de Capacidade de Blob e no volume de dados, oferecendo visibilidade sobre o custo potencial de digitalização.
• Início da verificação: as verificações podem ser iniciadas manualmente a partir do portal do Azure, acionadas programaticamente usando a API REST ou automatizadas por meio de aplicativos lógicos, runbooks de automação ou scripts do PowerShell, permitindo a integração em vários fluxos de trabalho.
• Listando e enviando blobs para digitalização: Assim que uma verificação é iniciada, o sistema lista todos os blobs suportados na conta de armazenamento e os envia para verificação em paralelo. Dependendo da quantidade e tamanho do blob, esse processo pode levar de minutos a várias horas.
• Monitorando o progresso: o progresso da verificação pode ser rastreado por meio do portal ou da API do Azure, com detalhes sobre o número de blobs verificados, arquivos ignorados, volume de dados, arquivos mal-intencionados detetados, status da verificação e duração.
• Conclusão e resultados: Depois que todos os blobs são verificados, o sistema marca a verificação como concluída e fornece um resumo das descobertas. A API também pode ser usada para consultar os detalhes da última verificação.

Considerações principais

• Limitação de varredura única: apenas uma varredura por solicitação pode ser executada por conta de armazenamento de cada vez.
• Cancelamento: As verificações só podem ser canceladas durante os estágios iniciais da verificação.

Pré-requisitos

• Permissões: função de Proprietário ou Colaborador na conta de assinatura ou armazenamento, ou funções específicas com as permissões necessárias.
• Defender for Storage com verificação de malware: Deve estar habilitado na assinatura ou em contas de armazenamento individuais.

No portal do Azure

1. Entre no portal do Azure e navegue até sua conta de armazenamento.

2. Em Segurança + rede, selecione Microsoft Defender for Cloud.

   

3. Na seção Verificação de malware sob demanda, avalie o custo estimado com base no volume de dados.

   

4. Selecione Verificar blobs em busca de malware para iniciar a verificação. Confirme a ação quando lhe for pedido.

   

5. Monitorize o progresso:

   • O status e as descobertas da varredura são atualizados a cada 20-30 segundos.

   • Veja detalhes como o estado da análise, os blobs analisados, os dados analisados, os blobs maliciosos encontrados e a duração da análise.

6. Resultados da revisão:

   • Se forem encontradas ameaças, reveja os detalhes na secção Incidentes e alertas de segurança.

   • Atualize a página se os alertas não estiverem imediatamente visíveis.

   

Nota

Você pode cancelar uma verificação em andamento selecionando Cancelar. O cancelamento só é possível durante os estágios iniciais da verificação, antes que ela atinja o estado Aguardando conclusão . Uma vez que a verificação entra neste estado ou além, não é possível cancelar.

Utilizar a API REST

Iniciar a verificação

Para iniciar uma verificação de malware usando a API REST, siga estas etapas:

• URL de Pedido:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Authentication: (Autenticação)

  • Certifique-se de que obteve um token de portador válido. Isso é necessário para o acesso à API.

• Exemplo:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Verificar o estado e os resultados da análise

Quando uma verificação é iniciada, você pode verificar o status e revisar os resultados usando os seguintes comandos:

• URL de Pedido:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Exemplo de resposta:

  {
    "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
    "scanStatus": "InProgress",
    "scanStartTime": "2024-10-03T12:34:56Z",
    "scanSummary": {
      "blobs": {
        "totalBlobsScanned": 150,
        "maliciousBlobsCount": 2,
        "skippedBlobsCount": 0,
        "scannedBlobsInGB": 10.5
      },
      "estimatedScanCostUSD": 1.575
    }
  }
  

Cancelar uma verificação

Você só pode cancelar uma verificação em andamento durante seus estágios iniciais. Quando a verificação atingir o estado WaitingForCompletion ou além, o cancelamento não será possível. Para cancelar a digitalização, envie o seguinte pedido de cancelamento:

• URL de Pedido:

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Considerações de custos

Antes de iniciar uma verificação por solicitação, o portal do Azure fornece uma estimativa de custo com base na métrica Capacidade de Blob, atualizada a cada poucas horas. A estimativa é mostrada em USD e reflete o custo por GB digitalizado. Ao contrário da verificação ao fazer upload, não há limite mensal — os custos são totalmente baseados no uso.

Melhores práticas para o controlo de custos

• Rever estimativas de custos: verifique sempre o custo estimado no portal do Azure antes de iniciar uma análise.
• Defina a frequência de varredura com sabedoria: agende ou automatize verificações com base no risco, concentrando-se em dados de alta prioridade para evitar custos desnecessários.
• Automatize de forma eficiente: garanta que a automação acione verificações somente quando necessário, como em resposta a eventos ou alertas específicos.

Melhores práticas

Para maximizar a eficácia da verificação de malware sob demanda no Microsoft Defender for Storage, considere as seguintes recomendações:

• Integração com resposta a incidentes: use a varredura por solicitação para resolver rapidamente incidentes de segurança, verificando arquivos potencialmente comprometidos em resposta a alertas.
• Automatize verificações de conformidade: configure verificações automatizadas e regulares para garantir a conformidade contínua com os requisitos normativos e a prontidão para auditorias. Use aplicativos lógicos ou runbooks para simplificar esse processo.
• Configurar respostas automatizadas aos resultados da verificação: configure fluxos de trabalho automatizados que respondam aos resultados da verificação de malware, como mover arquivos infetados para a quarentena ou encaminhar arquivos limpos.
• Gerencie os custos de forma proativa: sempre revise as estimativas de custos fornecidas no portal do Azure antes de iniciar as verificações, especialmente para grandes conjuntos de dados ou verificações frequentes.
• Monitore os resultados de forma consistente: monitore continuamente os resultados da verificação e os alertas de segurança para se manter informado sobre ameaças potenciais e tomar medidas oportunas.

Conteúdos relacionados

• Introdução à verificação de malware
• Verificação de malware ao carregar no Microsoft Defender for Storage