你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
按需恶意软件扫描
Microsoft Defender for Storage 中的按需恶意软件扫描让你能够根据需要扫描 Azure 存储帐户中的现有 Blob。 此功能可灵活地扫描存储的数据,以响应不断变化的安全要求、合规性需求或安全事件,确保数据持续受到保护。
通过将 Microsoft Defender 防病毒与最新的恶意软件定义配合使用,按需扫描提供了云原生的解决方案。 它不需要进一步的基础结构或操作开销。 此方法解决了覆盖范围方面的缺口,尤其是对于启用扫描之前上传的数据。 它还有助于应对出现新威胁的情况,使你能够主动保护存储的文件,并减少云环境中的潜在暴露。
按需恶意软件扫描的常见用例
在 Microsoft Defender for Storage 中使用按需恶意软件扫描具有以下优势:
- 响应安全事件:检测到安全警报或可疑活动时立即扫描存储帐户。
- 确保合规性:运行计划内或按需扫描以满足数据保护和法规合规性要求。
- 主动安全管理:设置定期扫描以维护持续安全的环境。
- 创建安全基线:在首次启用 Defender for Storage 时扫描现有数据,以建立未来安全性的基线。
恶意软件可能会渗透到云存储环境,给组织带来重大风险。 按需恶意软件扫描提供内置的云原生解决方案,通过扫描现有数据中的恶意内容来检测和缓解这些威胁。
与上传时扫描共享的方面
以下部分适用于按需和上传时恶意软件扫描。
- 其他成本包括 Azure 存储读取操作、Blob 索引和事件网格通知。
- 查看和使用扫描结果:Blob 索引标记、Defender for Cloud 安全警报、事件网格事件和 Log Analytics 等方法。
- 响应自动化:根据扫描结果自动执行阻止、删除或移动文件等操作。
- 支持的内容和限制:涵盖支持的文件类型、大小、加密和区域限制。
- 访问和数据隐私:有关服务如何访问和处理数据的详细信息,包括隐私注意事项。
- 处理误报和漏报:提交文件以供审阅和创建抑制规则的步骤。
- Blob 扫描和对 IOPS 的影响:了解扫描如何触发进一步读取操作并更新 Blob 索引标记。
有关这些主题的详细信息,请参阅恶意软件扫描简介页。
启动按需扫描
了解按需扫描过程
- 成本估算:在启动扫描之前,Azure 门户会根据 Blob 容量指标和数据量提供估计成本,从而提供潜在扫描成本的可见性。
- 扫描启动:可以从 Azure 门户手动启动扫描,使用 REST API 以编程方式触发,或通过逻辑应用、自动化 Runbook 或 PowerShell 脚本自动扫描,以便集成到各种工作流中。
- 列出和发送 Blob 以供扫描:启动扫描后,系统会列出存储帐户中所有支持的 Blob,并发送它们以并行扫描。 此过程可能需要几分钟到几个小时,具体取决于 Blob 数量和大小。
- 监视进度:可以通过 Azure 门户或 API 跟踪扫描进度,其中详细介绍了扫描的 Blob 数、跳过的文件数、数据量、检测到的恶意文件、扫描状态和持续时间。
- 完成和结果:扫描完所有 Blob 后,系统会将扫描标记为已完成,并提供发现摘要。 该 API 还可用于查询上次扫描的详细信息。
重要注意事项
- 单个扫描限制:每个存储帐户每次只能运行一个按需扫描。
- 取消:只能在扫描的初始阶段取消扫描。
先决条件
- 权限:订阅或存储帐户上的所有者或参与者角色,或具有必要权限的特定角色。
- 具有恶意软件扫描的 Defender for Storage:必须在订阅或单个存储帐户上启用。
通过 Azure 门户
登录 Azure 门户并导航到你的存储帐户。
在“安全性 + 网络”下,选择“Microsoft Defender for Cloud”。
在“按需恶意软件扫描”部分中,根据数据量评估估计成本。
选择“扫描 Blob 中的恶意软件”以启动扫描。 出现提示时,确认操作。
监视进度:
扫描状态和发现每 20-30 秒更新一次。
查看详细信息,例如扫描状态、扫描的 Blob、扫描的数据、找到的恶意 Blob 和扫描持续时间。
查看结果:
如果发现了威胁,请查看“安全事件和警报”部分下的详细信息。
如果警报不立即可见,请刷新页面。
注意
可以通过选择“取消”来取消正在进行的扫描。 仅在扫描的初始阶段(到达“等待完成”状态之前)才能取消。 扫描进入此状态或超出此状态后,无法取消。
使用 REST API
启动扫描
若要使用 REST API 启动恶意软件扫描,请执行以下步骤:
请求 URL:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
身份验证:
- 确保你已获取有效的持有者令牌。 这是 API 访问所必需的。
示例:
POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
检查扫描状态和结果
扫描启动后,可以使用以下命令检查状态并查看结果:
请求 URL:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
响应示例:
{ "scanId": "abcd1234-5678-90ab-cdef-1234567890ab", "scanStatus": "InProgress", "scanStartTime": "2024-10-03T12:34:56Z", "scanSummary": { "blobs": { "totalBlobsScanned": 150, "maliciousBlobsCount": 2, "skippedBlobsCount": 0, "scannedBlobsInGB": 10.5 }, "estimatedScanCostUSD": 1.575 } }
取消扫描
只能在初始阶段取消正在进行的扫描。 扫描达到 WaitingForCompletion 状态或超出此状态后,无法取消。 若要取消扫描,请发送以下取消请求:
请求 URL:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
成本注意事项
在开始按需扫描之前,Azure 门户会根据 Blob 容量指标提供成本估计,每隔几个小时更新一次。 估计值以美元显示,并反映扫描的每 GB 成本。 与上传时扫描不同,没有每月上限 - 成本完全基于使用情况。
成本控制最佳做法
- 查看成本估计:在启动扫描之前,始终检查 Azure 门户中的估计成本。
- 明智地设置扫描频率:根据风险计划或自动执行扫描,专注于高优先级数据以避免不必要的成本。
- 高效自动化:确保自动化触发器仅在需要时才进行扫描,例如响应特定事件或警报。
最佳做法
若要最大限度地提高 Microsoft Defender for Storage 中按需恶意软件扫描的有效性,请考虑以下建议:
- 与事件响应集成:使用按需扫描在响应警报时扫描可能泄露的文件来快速解决安全事件。
- 自动化合规性扫描:设置自动定期扫描,以确保持续符合法规要求并为审核做好准备。 使用逻辑应用或 Runbook 简化此过程。
- 设置自动响应以扫描结果:配置能够响应恶意软件扫描结果的自动化工作流,例如将受感染的文件移动到隔离区或转发干净文件。
- 主动管理成本:在启动扫描之前,始终查看 Azure 门户中提供的成本估计,尤其是对于大型数据集或频繁扫描。
- 持续监视结果:持续监视扫描结果和安全警报,以随时了解潜在威胁并及时采取措施。