Проверка вредоносных программ при отправке

При отправке вредоносных программ в Microsoft Defender для хранилища автоматически проверяет большие двоичные объекты при их отправке или изменении, обеспечивая обнаружение практически в режиме реального времени для вредоносного содержимого. Это облачное решение на основе SaaS использует антивирусная программа в Microsoft Defender для выполнения комплексных проверок вредоносных программ, обеспечивая безопасность учетных записей хранения без необходимости дополнительной инфраструктуры или обслуживания.

Интеграция проверки при отправке в учетные записи хранения позволяет:

• Предотвратить вредоносные отправки: остановите ввод вредоносных программ в среду хранения в точке отправки.
• Упрощение управления безопасностью: преимущество автоматического сканирования без развертывания или управления агентами.
• Повышение соответствия требованиям. Соблюдайте нормативные требования, гарантируя, что все отправленные данные сканируются для вредоносных программ.

Отправка вредоносных программ является основной угрозой для облачного хранилища, так как вредоносные файлы могут входить и распространяться в организации через облачные службы хранилища. Microsoft Defender для хранилища предоставляет встроенное решение для устранения этого риска с помощью комплексных возможностей защиты от вредоносных программ.

Распространенные варианты использования для проверки вредоносных программ при отправке

• Веб-приложения: безопасные отправки содержимого, созданного пользователем, в веб-приложениях, таких как налоговые приложения, сайты отправки CV и отправки квитанций.

• Распространение содержимого: защита ресурсов, таких как изображения и видео, совместно используемых в масштабе с помощью центров содержимого или CDN (сеть доставки содержимого), которые могут быть общими точками распространения вредоносных программ.

• Требования к соответствию требованиям: соответствие нормативным стандартам, таким как NIST, SWIFT и GDPR, путем сканирования ненадежного содержимого, особенно для регулируемых отраслей.

• Интеграция сторонних производителей: убедитесь, что сторонние данные, такие как содержимое от деловых партнеров или подрядчиков, проверяются, чтобы предотвратить риски безопасности.

• Платформы совместной работы. Обеспечение безопасной совместной работы между командами и организациями путем сканирования общего содержимого.

• Конвейеры данных: обеспечение целостности данных в процессах ETL (извлечение, преобразование, загрузка), обеспечивая отсутствие вредоносных программ в нескольких источниках данных.

• Данные обучения машинного обучения: защитите качество обучающих данных, гарантируя, что наборы данных являются чистыми и безопасными, особенно если они содержат содержимое, созданное пользователем.

  

Примечание.

Сканирование вредоносных программ — это служба почти в режиме реального времени. Время сканирования может отличаться в зависимости от размера файла, типа файла, загрузки службы и действия учетной записи хранения.

Включение проверки вредоносных программ при отправке

Необходимые компоненты

• Разрешения: роль владельца или участника в подписке или учетной записи хранения или определенные роли с необходимыми разрешениями.
• Defender для хранилища: необходимо включить подписку или отдельные учетные записи хранения.

Чтобы включить и настроить сканирование вредоносных программ в подписках при сохранении подробного контроля над отдельными учетными записями хранения, можно использовать один из следующих методов:

• Использование встроенной политики Azure = программное использование шаблонов инфраструктуры в качестве кода, включая Terraform, Bicep и шаблоны ARM
• с помощью портала Azure;
• с помощью PowerShell.
• Непосредственно с помощью REST API

При включении сканирования вредоносных программ ресурс system Topic сетки событий автоматически создается в той же группе ресурсов, что и учетная запись хранения. Это используется службой сканирования вредоносных программ для прослушивания триггеров отправки BLOB-объектов.

Подробные инструкции см. в разделе "Развертывание Microsoft Defender для хранилища".

Управление затратами для проверки вредоносных программ при отправке

За проверку вредоносных программ взимается плата за сканированную в ГБ. Чтобы обеспечить прогнозируемость затрат, сканирование вредоносных программ поддерживает установку ограничения на количество отсканированных ГБ в течение одного месяца в учетной записи хранения.

Внимание

Сканирование вредоносных программ в Defender для хранилища не входит в первую 30-дневную пробную версию бесплатно и будет взиматься с первого дня в соответствии с схемой ценообразования, доступной на странице ценообразования Defender для облака.

Механизм ограничения устанавливает ежемесячное ограничение сканирования, измеряемое в гигабайтах (ГБ) для каждой учетной записи хранения. Это служит эффективной мерой контроля затрат. Если предопределенное ограничение сканирования достигается для учетной записи хранения в течение одного календарного месяца, операция сканирования автоматически останавливается. Эта остановка возникает после достижения порогового значения до 20 ГБ отклонения. Файлы не сканируются для вредоносных программ за пределами этой точки. Крышка сбрасывается в конце каждого месяца в полночь в формате UTC. Обновление крышки обычно занимает до часа, чтобы ввести в силу.

По умолчанию устанавливается ограничение в 5 ТБ (5000 ГБ), если определенный механизм ограничения не определен.

Совет

Можно задать механизм ограничения для отдельных учетных записей хранения или всей подписки (каждая учетная запись хранения в подписке будет выделена ограничение, определенное на уровне подписки).

Как работает сканирование вредоносных программ

Поток сканирования вредоносных программ при отправке

Проверки при отправке активируются любой операцией, которая приводит к BlobCreated событию, как указано в Хранилище BLOB-объектов Azure в качестве исходной документации по сетке событий. например:

• Отправка новых BLOB-объектов: при добавлении нового большого двоичного объекта в контейнер
• Перезапись существующих больших двоичных объектов: при замене существующего большого двоичного объекта новым содержимым
• Завершение изменений больших двоичных объектов: операции, такие PutBlockList как или FlushWithClose которые фиксируют изменения в большом двоичном объекте

Примечание.

Добавочные операции, такие как AppendFile Azure Data Lake Storage 2-го поколения и PutBlock в Azure BlockBlob, не запускают проверку вредоносных программ независимо. Сканирование вредоносных программ происходит только в том случае, если эти дополнения завершены с помощью операций фиксации, например PutBlockList или FlushWithClose. Каждая фиксация может инициировать новую проверку, что может увеличить затраты, если одни и те же данные сканируются несколько раз из-за добавочных обновлений.

Процесс сканирования

1. Обнаружение событий. При BlobCreated возникновении события служба сканирования вредоносных программ обнаруживает изменение.
2. Извлечение BLOB-объектов. Служба безопасно считывает содержимое БОЛЬШОго двоичного объекта в том же регионе, что и учетная запись хранения.
3. Сканирование в памяти: содержимое сканируется в памяти с помощью антивирусная программа в Microsoft Defender с актуальными определениями вредоносных программ.
4. Создание результатов: результат сканирования создается, и соответствующие действия выполняются на основе результатов.
5. Удаление содержимого: сканированное содержимое не сохраняется и удаляется сразу после сканирования.

Пропускная способность и емкость для сканирования вредоносных программ при отправке

Проверка вредоносных программ при отправке имеет определенные ограничения пропускной способности и емкости, чтобы обеспечить производительность и эффективность в крупномасштабных операциях. Эти ограничения помогают контролировать объем данных, которые могут обрабатываться в минуту, обеспечивая баланс между защитой почти в режиме реального времени и системной нагрузкой.

• Ограничение пропускной способности сканирования: сканирование вредоносных программ при отправке может обрабатывать до 50 ГБ в минуту на учетную запись хранения. Если скорость отправки BLOB-объектов превышает это пороговое значение, система очереди файлов и пытается проверить их. Однако если скорость отправки постоянно превышает ограничение, некоторые большие двоичные объекты могут не проверяться.

Общие аспекты с сканированием по запросу

Следующие разделы применимы как к проверке вредоносных программ по запросу, так и по запросу.

• Дополнительные затраты, включая служба хранилища Azure операции чтения, индексирование BLOB-объектов и уведомления сетки событий.
• Просмотр и использование результатов сканирования: такие методы, как теги индекса BLOB-объектов, Defender для облака оповещения системы безопасности, события сетки событий и Log Analytics.
• Автоматизация ответов: автоматизация таких действий, как блокировка, удаление или перемещение файлов на основе результатов сканирования.
• Поддерживаемые ограничения и содержимое. Охватывает поддерживаемые типы файлов, размеры, шифрование и ограничения региона.
• Доступ и конфиденциальность данных. Сведения о том, как служба обращается к данным и обрабатывает ваши данные, включая рекомендации по конфиденциальности.
• Обработка ложных срабатываний и ложных отрицательных значений. Действия по отправке файлов для проверки и создания правил подавления.
• Сканирование BLOB-объектов и влияние на операции ввода-вывода в секунду. Узнайте, как сканирование активирует дальнейшие операции чтения и обновляет теги индекса BLOB-объектов.

Подробные сведения об этих разделах см. на странице "Введение в сканирование вредоносных программ".

Советы и рекомендации

• Задайте ограничения управления затратами для учетных записей хранения, особенно с высоким трафиком отправки, для эффективного управления затратами и оптимизации затрат.
• Используйте Log Analytics для отслеживания журнала сканирования для целей соответствия требованиям и аудита.
• Если вашему варианту использования требуется механизм ответа, рекомендуется настроить автоматические ответы (например, действия по карантину или удалению) с помощью Сетки событий и Logic Apps. Подробные инструкции по настройке см. в разделе "Настройка ответа" при проверке вредоносных программ.

Совет

Мы рекомендуем вам изучить функцию сканирования вредоносных программ в Defender для хранилища с помощью нашей практической лаборатории. Следуйте инструкциям по обучению Ninja для подробного руководства по настройке, тестированию и настройке ответа.

Связанный контент

• Общие сведения о сканировании вредоносных программ
• Сканирование вредоносных программ по запросу