Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El análisis de malware en la carga en Microsoft Defender for Storage analiza automáticamente los blobs cuando se cargan o se modifican, lo que permite detectar contenido malicioso de forma rápida. Esta solución basada en SaaS nativa de nube usa antivirus de Microsoft Defender para realizar exámenes completos de malware, lo que garantiza que las cuentas de almacenamiento permanezcan seguras sin necesidad de infraestructura o mantenimiento adicionales.
Al integrar el escaneo durante la carga en sus cuentas de almacenamiento, puede hacer lo siguiente:
- Impedir cargas malintencionadas: impedir que el malware entre en el entorno de almacenamiento en el punto de carga.
- Simplificar la administración de seguridad: beneficiarse del examen automático sin implementar ni administrar agentes.
- Mejorar el cumplimiento: cumplir los requisitos normativos asegurándose de que todos los datos cargados se examinan para el malware.
La carga de malware es una amenaza principal para el almacenamiento en la nube, ya que los archivos malintencionados pueden entrar y distribuirse dentro de una organización a través de servicios de almacenamiento en la nube. Microsoft Defender for Storage proporciona una solución integrada para mitigar este riesgo con funcionalidades completas contra malware.
Casos de uso comunes para el escaneo de malware durante la carga
Aplicaciones web: proteger la carga de contenidos generados por el usuario en aplicaciones web como aplicaciones fiscales, sitios de carga de CV y carga de recibos.
Distribución de contenido: proteger recursos como imágenes y vídeos compartidos a escala a través de centros de contenido o CDN (redes de entrega de contenido), que pueden ser puntos de distribución de malware comunes.
Requisitos de cumplimiento: Cumpla los estándares normativos, como NIST, SWIFT, HIPAA y DORA, mediante el análisis de contenido que no es de confianza, especialmente para sectores regulados.
Integración de terceros: garantizar que los datos de terceros, como los contenidos de socios comerciales o contratistas, se examinan para evitar riesgos de seguridad.
Plataformas colaborativas: garantizar la colaboración segura entre equipos y organizaciones mediante el examen del contenido compartido.
Canalizaciones de datos: mantener la integridad de los datos en los procesos ETL (extracción, transformación, carga) asegurándose de que ningún malware entre en varios orígenes de datos.
Datos de aprendizaje automático: proteger la calidad de los datos de entrenamiento al garantizar que los conjuntos de datos sean limpios y seguros, especialmente si contienen contenido generado por el usuario.
Note
Las duraciones de análisis de malware pueden variar en función de la variedad de métricas, como el tamaño del archivo, el tipo de archivo, la carga del servicio y la latencia de lectura de la cuenta de almacenamiento. Las aplicaciones que dependen de los resultados del examen de malware deben tener en cuenta estas posibles variaciones en los tiempos de examen.
Habilitar el examen de malware de carga
Prerequisites
- Permisos: rol de propietario o colaborador en la suscripción o cuenta de almacenamiento, o roles específicos con los permisos necesarios.
- Defender para Storage: debe estar habilitado en la suscripción o en las cuentas de almacenamiento individuales.
Para habilitar y configurar el examen de malware en todas las suscripciones mientras conserva el control detallado sobre las cuentas de almacenamiento individuales, puede usar uno de los métodos siguientes:
- Uso de directiva integrada de Azure = Uso programático de Infraestructura como Código utilizando plantillas, incluidas Terraform, Bicep y ARM templates
- Mediante Azure Portal
- Con PowerShell
- Directamente con la API de REST
Cuando se habilita el examen de malware, se crea automáticamente un recurso de tema del sistema de Event Grid en el mismo grupo de recursos que la cuenta de almacenamiento. El servicio de análisis de malware lo usa para escuchar los desencadenadores de carga de blobs.
Para obtener instrucciones detalladas, consulte Implementación de Microsoft Defender for Storage.
Control de costos para el examen de malware de carga
El examen de malware se factura por GB examinado. Para proporcionar previsibilidad de costos, el análisis de malware admite la configuración de un límite en la cantidad de GB escaneados en un solo mes por cuenta de almacenamiento.
El mecanismo de limitación establece un límite de exploración mensual, medido en gigabytes (GB), para cada cuenta de almacenamiento. Esto sirve como medida de control de costos eficaz. Si se alcanza un límite de examen predefinido para una cuenta de almacenamiento dentro de un mismo mes natural, la operación de examen se detiene automáticamente. Esta detención se produce una vez alcanzado el umbral, con una desviación de hasta 20 GB. Los archivos no se examinan para malware más allá de este punto. El límite se restablece al final de cada mes a medianoche UTC. La actualización del límite suele tardar hasta una hora en surtir efecto.
De forma predeterminada, se establece un límite de 10 TB (10 000 GB) si no se define ningún mecanismo de límite específico.
Tip
Se puede establecer el mecanismo de límite en cuentas de almacenamiento individuales o en toda una suscripción (a cada cuenta de almacenamiento de la suscripción se le asignará el límite definido en el nivel de suscripción).
Filtros personalizables para análisis de malware al subir archivos
El escaneo de malware durante la carga admite filtros personalizables, lo que permite a los usuarios establecer reglas de exclusión basadas en prefijos y sufijos de ruta de blobs, así como en el tamaño de los blobs. Al excluir rutas de acceso y tipos de blobs específicos, como registros o archivos temporales, puede evitar exámenes innecesarios y reducir los costos.
Los filtros se pueden configurar en la pestaña Configuración de Microsoft Defender for Cloud de la cuenta de almacenamiento en Azure Portal o a través de la API REST.
Puntos clave:
Filtros basados en exclusión: se pueden usar hasta 24 valores de filtro para excluir blobs del examen de malware.
OR Logic: se excluye un blob si cumple alguno de los criterios especificados.
Tipos de filtro:
Excluir blobs (o contenedores) con prefijos: defina una lista de prefijos separados por comas.
Formato:
container-name/blob-name(comience con el nombre del contenedor; no incluya el nombre de la cuenta de almacenamiento).Para excluir contenedores completos, use el prefijo de nombres de contenedor sin un
/final.Para excluir un único contenedor, agregue una barra diagonal
/final después del nombre del contenedor para evitar excluir otros contenedores con prefijos similares.
Excluir blobs con sufijo: defina una lista de sufijos separados por comas.
Los sufijos coinciden solo con el final de los nombres de blob.
Solo se debe usar para extensiones de archivo o finales de nombre de blob.
Excluir blobs mayores que: especifique el tamaño máximo en bytes de los blobs que se deben examinar. Los blobs mayores que este valor se excluirán del examen.
Funcionamiento del examen de malware
Flujo de examen de malware al cargar
Los escaneos al cargar se desencadenan por cualquier operación que resulte en un evento BlobCreated o BlobRenamed, tal y como se especifica en la documentación Azure Blob Storage como origen de Event Grid. Entre las operaciones se incluyen:
- Carga de nuevos blobs: cuando se agrega un nuevo blob a un contenedor
- Sobrescribir blobs existentes: cuando se reemplaza un blob existente por nuevo contenido
-
Finalización de cambios en blobs: operaciones como
PutBlockListoFlushWithCloseque aplican cambios a un blob
Note
Las operaciones incrementales, como AppendFile en Azure Data Lake Storage Gen2 y PutBlock en Azure BlockBlob, no desencadenan un examen de malware de forma independiente. Un examen de malware solo se produce cuando estas adiciones se finalizan mediante operaciones de confirmación como PutBlockList o FlushWithClose. Cada confirmación puede iniciar un nuevo examen, lo que puede aumentar los costos si los mismos datos se examinan varias veces debido a actualizaciones incrementales.
Proceso de examen
-
Detección de eventos: Cuando se produce un
BlobCreatedevento oBlobRenamed, el servicio de examen de malware detecta el cambio. - Recuperación de blobs: el servicio lee de forma segura el contenido del blob dentro de la misma región que la cuenta de almacenamiento.
- Examen en memoria: el contenido se examina en memoria mediante el Antivirus de Microsoft Defender con definiciones de malware actualizadas.
- Generación de resultados: se genera el resultado del examen y se realizan las acciones adecuadas en función de los resultados.
- Eliminación de contenido: contenido escaneado no se conserva y se elimina inmediatamente después del examen.
Rendimiento y capacidad para el escaneo de malware durante la carga
El análisis de malware al subir tiene límites específicos de capacidad y rendimiento para garantizar la eficiencia y efectividad en operaciones a gran escala. Estos límites ayudan a controlar el volumen de datos que se pueden procesar por minuto, lo que garantiza un equilibrio entre la protección y la carga del sistema.
- Límite de velocidad de rendimiento del examen: análisis de malware de carga puede procesar hasta 50 GB por minuto por cuenta de almacenamiento. Si la tasa de cargas de blobs supera este umbral momentáneamente, el sistema pone en cola los archivos e intenta examinarlos. Sin embargo, si la tasa de carga supera constantemente el límite, es posible que algunos blobs no se examinen.
Aspectos compartidos con el escaneo a demanda
Las siguientes secciones son aplicables tanto al examen de malware a petición como al de carga.
- Costos adicionales, incluidas las operaciones de lectura de Azure Storage, la indexación de blobs y las notificaciones de Event Grid.
- Visualización y consumo de resultados de escaneo: métodos como etiquetas de índice Blob, alertas de seguridad de Defender for Cloud, eventos de Event Grid y Log Analytics.
- Automatización de la remediación de malware: Automatice acciones como bloquear, eliminar o mover archivos en función de los resultados del escaneo.
- Contenido y limitaciones admitidos: cubre los tipos de archivo, los tamaños, el cifrado y las limitaciones de región admitidos.
- Acceso y privacidad de datos: detalles sobre cómo accede el servicio y procesa los datos, incluidas las consideraciones de privacidad.
- Control de falsos positivos y falsos negativos: pasos para enviar archivos para revisar y crear reglas de supresión.
- Exploración de blobs e impacto en IOPS: descubre cómo las exploraciones desencadenan operaciones adicionales de lectura y actualizan etiquetas de índice de blobs.
Para obtener información detallada sobre estos temas, consulte la página Introducción al examen de malware.
Procedimientos recomendados y consejos
- Establezca límites de control de costos para las cuentas de almacenamiento, especialmente las que tienen un tráfico elevado de carga, para administrar y optimizar los gastos de forma eficaz.
- Utiliza Log Analytics para realizar seguimiento del historial de escaneos con fines de cumplimiento y auditoría.
- Si el caso de uso requiere un mecanismo de corrección de malware, considere la posibilidad de usar la característica de eliminación temporal integrada de blobs malintencionados o configurar la corrección automatizada (por ejemplo, acciones de cuarentena o eliminación) mediante Event Grid y Logic Apps. Para obtener instrucciones detalladas sobre la configuración, consulte Configurar remediación en el análisis de malware.
Tip
Le animamos a explorar la característica de análisis de malware en Defender for Storage a través de nuestro laboratorio práctico. Siga las instrucciones de entrenamiento Ninja para obtener una guía detallada sobre la instalación, las pruebas y la configuración de la respuesta.