Introducción al examen de malware

El examen de malware en Microsoft Defender for Storage mejora la seguridad de las cuentas de Azure Storage mediante la detección y mitigación de amenazas de malware. Usa Antivirus de Microsoft Defender (MDAV) para examinar el contenido de almacenamiento, lo que ayuda a garantizar la seguridad y el cumplimiento de los datos.

Defender for Storage ofrece dos tipos de examen de malware:

• Examen de malware al cargar: examina los blobs automáticamente cuando se cargan o modifican, lo que proporciona una detección rápida. Este tipo de examen es ideal para aplicaciones que implican cargas frecuentes por parte de los usuarios, como aplicaciones web o plataformas colaborativas. El examen del contenido a medida que se carga ayuda a reducir el riesgo de que los archivos malintencionados entren en el entorno de almacenamiento y se propague hacia abajo.

• Examen de malware a petición: permite examinar manualmente los blobs existentes siempre que sea necesario. Este tipo de examen se usa para establecer una línea base de seguridad para los datos almacenados, responder a las alertas de seguridad durante la respuesta a incidentes, admitir los requisitos de cumplimiento y realizar comprobaciones proactivas de seguridad en todo el entorno.

Estos modos de examen le ayudan a proteger las cuentas de almacenamiento, a satisfacer las necesidades de cumplimiento y a mantener la integridad de los datos.

¿Por qué es importante el examen de malware?

El contenido cargado en el almacenamiento en la nube puede introducir malware y crear riesgos de seguridad. El análisis de malware ayuda a evitar que los archivos malintencionados entren o se propaguen dentro de su entorno.

Entre las ventajas clave se incluyen las siguientes:

• Detección de contenido malintencionado: identifica y mitiga el malware.
• Mejora de la posición de seguridad: agrega una capa para evitar la propagación de malware.
• Apoyo al cumplimiento: cumple los requisitos normativos.
• Simplificación de la administración de seguridad: proporciona una solución nativa de nube y de bajo mantenimiento configurable a escala.

Características clave

• Solución SaaS integrada: Fácil de habilitar con mantenimiento de infraestructura cero.
• Funcionalidades avanzadas de antimalware: Usa MDAV para detectar malware polimórfico y metamórfico en todos los tipos de archivo.
• Detección completa: examina todos los tipos de archivos, incluidos archivos como archivos ZIP y RAR, hasta 50 GB por blob.
• Opciones de escaneo flexibles: Proporciona análisis tanto al cargar como a petición.
• Alertas de seguridad: Genera alertas detalladas en Microsoft Defender for Cloud.
• Compatibilidad con automatización: Se integra con Logic Apps, Function Apps y Event Grid para crear respuestas automatizadas para examinar los resultados.
• Cumplimiento y auditoría: Registra los resultados del examen de los requisitos de auditoría y cumplimiento.
• Compatibilidad con puntos de conexión privados: Admite puntos de conexión privados, lo que reduce la exposición pública a Internet.
• Corrección automatizada de malware: Borra suavemente los blobs malintencionados detectados a través del análisis de malware en la subida y a petición.

Elige la opción de escaneo correcta

Utilice el escaneo de malware en el momento de la carga si necesita protección contra subidas maliciosas, ideal para aplicaciones web, contenido generado por usuarios, integraciones con socios o flujos de contenido compartido. Para obtener más información, consulte Examen de malware al cargar.

Use el examen de malware a petición cuando necesite flexibilidad de examen, para establecer líneas base de seguridad, responder a alertas, preparar auditorías o comprobar los datos almacenados antes de archivar o intercambiar. Para obtener más información, consulte examen de malware a petición.

Resultados del examen de malware

Los resultados del examen de malware están disponibles a través de cuatro métodos. Después de la configuración, verá los resultados del análisis como etiquetas de índice de blobs para cada archivo escaneado y como alertas de seguridad de Microsoft Defender for Cloud cuando se identifique un archivo como malicioso. Puede optar por deshabilitar el uso de etiquetas de índice de blobs en Azure Portal o a través de la API REST. También puede configurar métodos de resultado de examen adicionales, como Event Grid y Log Analytics, que requieren una configuración adicional. En las secciones siguientes se describe cada método de resultado del análisis con más detalle.

Etiquetas de índice de blobs

Las etiquetas de índice de blobs proporcionan atributos clave-valor que se pueden buscar en blobs. De forma predeterminada, Defender for Storage escribe los resultados del examen de malware en dos etiquetas de índice en cada blob examinado:

• Resultado del examen:No threats found, Malicious, Error, o Not scanned
• Hora de escaneo (UTC)

Puede optar por deshabilitar el uso de etiquetas de índice de blobs en Azure Portal o a través de la API REST.

Las etiquetas de índice de blobs están diseñadas para proporcionar resultados de examen concisos para escenarios rápidos de filtrado y automatización. Sin embargo, las etiquetas de índice no son resistentes a alteraciones. Los usuarios con permisos para modificar etiquetas pueden modificarlas, por lo que no deben usarse como un único control de seguridad. En el caso de flujos de trabajo sensibles a la seguridad, use alertas, eventos de Event Grid o Log Analytics en su lugar.

Alertas de seguridad de Defender for Cloud

Cuando se detecta un archivo malintencionado, Microsoft Defender for Cloud genera una alerta de seguridad. Estas alertas incluyen detalles sobre el archivo, el tipo de malware detectado y los pasos de investigación y corrección recomendados.

Las alertas de seguridad de Defender for Cloud son útiles para la investigación y la respuesta automatizada. Ustedes pueden:

• Para ver las alertas de seguridad en el portal de Azure, vaya a Microsoft Defender for Cloud>Alertas de seguridad.
• Configure las automatizaciones de flujo de trabajo para desencadenar acciones de corrección cuando se generan alertas.
• Exporte alertas de seguridad a un sistema de administración de eventos e información de seguridad (SIEM). Puede exportar continuamente alertas a Microsoft Sentinel mediante el conector de Microsoft Sentinel o a otro SIEM de su elección.

Obtenga más información sobre cómo responder a las alertas de seguridad.

Eventos de Event Grid

Event Grid proporciona una entrega casi en tiempo real de los resultados del examen de malware para la automatización controlada por eventos. Este método es opcional y requiere configuración adicional, pero ofrece la manera más rápida de desencadenar respuestas automatizadas en función de los resultados del examen.

Event Grid admite varios tipos de punto de conexión para procesar eventos, entre los que se incluyen:

• Aplicaciones de funciones : ejecute código sin servidor para mover, eliminar, poner en cuarentena o procesar archivos examinados.

• Webhooks : notificar aplicaciones o servicios externos.

• Colas de Event Hubs y Service Bus: reenvío de eventos de resultados de análisis a consumidores de nivel inferior o canalizaciones de procesamiento.

Se recomienda Event Grid cuando se necesitan flujos de trabajo automatizados y de baja latencia que reaccionan inmediatamente a los resultados del examen de malware. Obtenga más información acerca de cómo configurar Event Grid para el examen de malware.

Log Analytics

Log Analytics proporciona un repositorio centralizado y consultable para los resultados del examen de malware. Este método es opcional y requiere configuración adicional, pero es ideal para el cumplimiento normativo, la auditoría y las investigaciones históricas en las que se necesitan registros detallados de los resultados de análisis.

Cuando Log Analytics está habilitado, cada resultado del examen de malware se escribe en la StorageMalwareScanningResults tabla del área de trabajo de Log Analytics configurada. Puede consultar esta tabla para revisar los resultados del examen, investigar patrones o generar informes de cumplimiento.

Se recomienda Log Analytics para crear una pista de auditoría o realizar análisis detallados. Para la automatización de baja latencia, es mejor usar etiquetas de índice de blobs o Event Grid. Obtenga más información sobre cómo configurar el registro para el examen de malware.

Corrección automatizada de malware

El análisis de malware admite respuestas automatizadas para que pueda reaccionar a los resultados de análisis de forma inmediata y coherente. Puede crear automatizaciones basadas en etiquetas de índice de blobs, alertas de seguridad de Defender for Cloud o eventos de Event Grid, en función de los requisitos de flujo de trabajo.

Entre los patrones de respuesta comunes se incluyen:

• Habilitación de la eliminación temporal integrada para archivos malintencionados, por lo que el malware detectado se mueve o elimina automáticamente sin necesidad de flujos de trabajo personalizados.

• Bloquear el acceso a archivos no escaneados o malintencionados mediante control de acceso basado en atributos (ABAC).

• Eliminar o mover archivos malintencionados a una ubicación de cuarentena empleando Logic Apps desencadenadas por alertas de seguridad o Function Apps desencadenadas por eventos de Event Grid.

• Reenvío de archivos limpios a otra ubicación de almacenamiento mediante Event Grid con Function Apps.

Obtenga más información sobre cómo configurar acciones de respuesta para el examen de malware.

Recursos desplegados por el análisis de malware

Cuando el examen de malware está habilitado, Defender for Storage implementa automáticamente varios recursos de Azure necesarios para las operaciones de examen:

• Tema del sistema de Event Grid: Creado en el mismo grupo de recursos que la cuenta de almacenamiento. Este tema del sistema escucha eventos de carga de blobs y activa el escaneo de malware al producirse la carga de blobs. Al quitar este recurso, el examen de malware deja de funcionar.

• StorageDataScanner resource: un recurso de servicio administrado creado en la suscripción con una identidad administrada asignada por el sistema. Esta identidad recibe el rol Propietario de datos de blobs de almacenamiento para que pueda leer datos de blobs para el análisis de malware y la detección de datos sensibles. También se agrega a las reglas de la lista de control de acceso de red (ACL) de la cuenta de almacenamiento para permitir el escaneo cuando el acceso a la red pública está restringido.

• DefenderForStorageSecurityOperator recurso (habilitación de nivel de suscripción): se crea cuando el examen de malware está habilitado en el nivel de suscripción. Esta identidad configura, repara y mantiene la configuración de análisis de malware en las cuentas de almacenamiento existentes y recién creadas. Incluye las asignaciones de roles necesarias para realizar estas operaciones.

Estos recursos son necesarios para que el examen de malware funcione. Si alguno de ellos se elimina o modifica, es posible que el análisis de malware deje de funcionar.

Contenido y limitaciones admitidos

Contenido admitido

• Tipos de archivo: Se admiten todos los tipos de archivo, incluidos archivos comprimidos como archivos ZIP y RAR.

• Tamaño del archivo: Se pueden examinar blobs de hasta 50 GB.

Limitations

• Cuentas de almacenamiento no admitidas: No se admiten las cuentas de almacenamiento heredadas v1.

• Servicios no admitidos: Azure Files no se admite.

• Tipos de blobs no admitidos:no se admite anexar blobs y página de blobs .

• Cifrado del lado cliente no admitido: los blobs cifrados del lado cliente no se pueden analizar, ya que el servicio no puede descifrarlos. Se admiten blobs cifrados en reposo con claves administradas por el cliente (CMK).

• Protocolos no admitidos: Los blobs cargados mediante el protocolo Network File System (NFS) 3.0 no se examinan.

• Etiquetas de índice de blobs: Las etiquetas de índice no se admiten para las cuentas de almacenamiento con espacios de nombres jerárquicos habilitados (Azure Data Lake Storage Gen2).

• Regiones no admitidas: Actualmente, no todas las regiones admiten el examen de malware. Para obtener la lista más reciente, consulte Disponibilidad de Defender for Cloud.

• Event Grid: Los temas de Event Grid que no tienen habilitado el acceso a la red pública (por ejemplo, los que usan puntos de conexión privados) no se admiten para el envío de resultados del análisis.

• Tiempo de actualización de metadatos: Si los metadatos de un blob se actualizan poco después de la carga, es posible que se produzca un error en el examen de carga. Para evitar esto, se recomienda especificar metadatos en BlobOpenWriteOptionso retrasar las actualizaciones de metadatos hasta que se complete el examen.

• Límites de tiempo de examen: Los blobs grandes o complejos pueden superar la ventana de tiempo de espera de examen de Defender (de 30 minutos a 3 horas, según el tamaño y la estructura del blob). Por ejemplo, los archivos ZIP con muchas entradas anidadas suelen tardar más tiempo en examinarse. Si un análisis supera el tiempo asignado, el resultado se marca como El análisis ha superado el tiempo de espera.

Consideraciones sobre el rendimiento y los costos

Examen de blobs e impacto en IOPS

Cada examen de malware realiza una operación de lectura adicional y actualiza las etiquetas del índice de blobs. Estas operaciones generan E/S adicionales, pero normalmente tienen un impacto mínimo en el rendimiento del almacenamiento (IOPS). El acceso a los datos escaneados sigue sin verse afectado durante el examen y las aplicaciones pueden seguir leyendo o escribiendo en el blob sin interrupción.

Puede reducir el impacto de IOPS deshabilitando las etiquetas de índice de blobs para el almacenamiento de los resultados del escaneo.

Costes adicionales

El análisis de malware puede suponer costos adicionales de los servicios de Azure dependientes, entre los que se incluyen:

• Operaciones de lectura de Azure Storage
• Indexación de blobs de Azure Storage (si se usan etiquetas de índice)
• Eventos de Azure Event Grid

Utilice el panel de estimación de precios de Microsoft Defender para Storage para calcular los costos de extremo a extremo.

Escenarios en los que el examen de malware es ineficaz

Aunque el examen de malware proporciona funcionalidades de detección amplias, determinados patrones de datos o escenarios de carga impiden que el servicio identifique con precisión el malware. Tenga en cuenta estos casos antes de habilitar el examen de malware en una cuenta de almacenamiento:

• Datos fragmentados: Es posible que se produzca un error en la detección cuando se carga un archivo en fragmentos. Los fragmentos que solo tienen encabezado se marcan como dañados, mientras que los fragmentos que solo tienen cola podrían parecer inofensivos. Examine los datos antes de fragmentar o después de volver a ensamblar para garantizar la cobertura.

• Datos cifrados: El análisis de malware no admite datos cifrados del lado cliente. El servicio no puede descifrar estos datos, por lo que no se detecta ningún malware dentro de estos blobs cifrados. Si se requiere cifrado, examine los datos antes de cifrarlos o use métodos de cifrado en reposo admitidos, como claves administradas por el cliente (CMK), donde Azure Storage controla el descifrado para el acceso.

• Datos de copia de seguridad: Los archivos de copia de seguridad pueden contener fragmentos de contenido previamente escaneado o malintencionado. Dado que el analizador evalúa el propio fragmento en lugar del contexto del archivo original, las copias de seguridad podrían generar alertas aunque el archivo de copia de seguridad en su conjunto no sea malintencionado.

Evalúe estos escenarios como parte del modelo de amenazas, especialmente si se puede cargar contenido generado por el usuario o que no es de confianza en la cuenta de almacenamiento.

Diferencias de detección entre entornos de almacenamiento y punto de conexión

Defender para Storage usa el mismo motor antimalware y las actualizaciones de firma que Defender para Endpoint. Sin embargo, cuando los archivos se examinan en Azure Storage, algunos metadatos contextuales disponibles en los puntos de conexión no están presentes. Esta falta de contexto puede dar lugar a una mayor probabilidad de detección fallida (falsos negativos) en comparación con el análisis en un punto de conexión.

Entre los ejemplos de contexto que faltan o no están disponibles se incluyen los siguientes:

• Marca de la Web (MOTW): MOTW identifica los archivos que se originaron desde Internet, pero estos metadatos no se conservan cuando los archivos se cargan en Azure Storage.

• Contexto de ruta de acceso del archivo: El examen de puntos de conexión evalúa la ruta de acceso del archivo para determinar si un archivo interactúa con ubicaciones del sistema confidenciales (como C:\Windows\System32). Blob Storage no proporciona un contexto equivalente en función de la ruta de acceso.

• Datos de comportamiento: Defender para Storage realiza análisis estáticos y emulación limitada, pero no observa el comportamiento en tiempo de ejecución. Algunos malware solo revelan un comportamiento malintencionado durante la ejecución y es posible que no se detecten solo a través de la inspección estática.

Acceso y privacidad de datos

Requisitos de acceso a datos

Para examinar datos de malware, el servicio requiere acceso a los blobs de la cuenta de almacenamiento. Cuando el examen de malware está habilitado, Azure implementa automáticamente un recurso denominado StorageDataScanner en la suscripción. Este recurso usa una identidad administrada asignada por el sistema y se le concede el rol Propietario de datos de Storage Blob para leer y examinar datos.

Si la cuenta de almacenamiento está configurada para permitir el acceso a la red pública solo desde redes virtuales o direcciones IP seleccionadas, el StorageDataScanner recurso se agrega a la sección Instancias de recursos de la configuración de red de la cuenta de almacenamiento. Esto garantiza que el analizador pueda acceder a los datos incluso cuando el acceso a la red pública está restringido.

Privacidad de datos y procesamiento regional

• Procesamiento regional: el análisis de malware se realiza en la misma región de Azure que la cuenta de almacenamiento para admitir los requisitos de residencia de datos y cumplimiento.

• Control de datos: El servicio no almacena los archivos escaneados. En casos limitados, los metadatos de archivo como el hash SHA-256 podrían compartirse con Microsoft Defender para Endpoint para su posterior análisis.

Gestión de falsos positivos y falsos negativos

Falsos positivos

Un falso positivo se produce cuando un archivo benigno se identifica incorrectamente como malintencionado. Si cree que un archivo se marcó incorrectamente, puede realizar las siguientes acciones:

1. Enviar el archivo para volver a analizar

   Usa el Portal de envío de muestras para notificar un falso positivo.
   Al enviar, seleccione Microsoft Defender para Storage como origen.

2. Suprimir alertas repetidas

   Cree reglas de supresión de alertas en Defender for Cloud para reducir el ruido de las alertas de falsos positivos recurrentes en su entorno.

Solucionar malware no detectado (falsos negativos)

Se produce un falso negativo cuando no se detecta un archivo malintencionado. Si cree que el malware no fue detectado, envíe el archivo para su análisis a través del Portal de envío de muestras. Proporcione tanto contexto como sea posible para admitir por qué cree que el archivo es malintencionado.

Contenido relacionado

• Examen de malware en Microsoft Defender para Storage

• Examen de malware a petición en Microsoft Defender for Storage