Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A verificação de malware no Microsoft Defender para Armazenamento melhora a segurança de suas contas de Armazenamento do Microsoft Azure ao detectar e mitigar as ameaças de malware. Ele usa o Microsoft Defender Antivírus (MDAV) para verificar o conteúdo do armazenamento, ajudando a garantir a segurança e a conformidade dos dados.
O Defender para Armazenamento oferece dois tipos de verificação de malware:
Verificação de malware no upload: verifica os blobs automaticamente quando eles são carregados ou modificados, fornecendo detecção rápida. Esse tipo de verificação é ideal para aplicativos que envolvem uploads frequentes de usuários, como aplicativos Web ou plataformas colaborativas. A verificação do conteúdo como ele é carregado ajuda a reduzir o risco de arquivos mal-intencionados entrarem em seu ambiente de armazenamento e propagar downstream.
Verificação de malware sob demanda: permite que você examine manualmente os blobs existentes sempre que necessário. Esse tipo de verificação é usado para estabelecer uma linha de base de segurança para dados armazenados, responder a alertas de segurança durante a resposta a incidentes, dar suporte aos requisitos de conformidade e executar verificações de segurança proativas em todo o seu ambiente.
Esses modos de verificação ajudam você a proteger suas contas de armazenamento, atender às necessidades de conformidade e manter a integridade dos dados.
Note
As durações de verificação podem variar de acordo com o tamanho do arquivo, o tipo de arquivo, a carga de serviço e a latência de leitura da conta de armazenamento. Os aplicativos dependentes dos resultados da verificação devem considerar possíveis variações nos tempos de verificação.
Por que a verificação de malware é importante
O conteúdo carregado no armazenamento em nuvem pode introduzir malware e criar riscos de segurança. A verificação de malware ajuda a impedir que arquivos mal-intencionados insiram ou se espalhem em seu ambiente.
Entre os principais benefícios estão:
- Detectando conteúdo mal-intencionado: identifica e atenua malware.
- Aprimorar a postura de segurança: adiciona uma camada para evitar a propagação de malware.
- Suporte à conformidade: atende aos requisitos regulatórios.
- Simplificando o gerenciamento de segurança: fornece uma solução nativa de nuvem e de baixa manutenção configurável em escala.
Características principais
- Solução SaaS interna: Simples de habilitar sem manutenção de infraestrutura.
- Funcionalidades avançadas de antimalware: Usa o MDAV para detectar malware polimórfico e metamórfico em todos os tipos de arquivo.
- Detecção abrangente: verifica todos os tipos de arquivo, incluindo arquivos como arquivos ZIP e RAR, até 50 GB por blob.
- Opções de verificação flexíveis: Fornece verificação ao carregar e sob demanda.
- Alertas de segurança: Gera alertas detalhados no Microsoft Defender para Nuvem.
- Suporte à automação: integra-se com Aplicativos Lógicos, Aplicativos de Funcionalidades e Grade de Eventos para criar respostas automatizadas para os resultados da verificação.
- Conformidade e auditoria: Os logs verificam os resultados dos requisitos de auditoria e conformidade.
- Suporte a ponto de extremidade privado: Dá suporte a pontos de extremidade privados, reduzindo a exposição pública à Internet.
- Correção automatizada de malware: Exclui de forma lógica os arquivos maliciosos detectados por meio de varreduras de malware em tempo real e sob demanda.
Escolha a opção de digitalização correta
Use a verificação de malware no upload se você precisar de proteção contra uploads mal-intencionados , ideal para aplicativos Web, conteúdo gerado pelo usuário, integrações de parceiros ou pipelines de conteúdo compartilhado. Para obter mais informações, consulte a Verificação de malware no momento do envio.
Use a verificação de malware sob demanda quando precisar de flexibilidade de verificação para estabelecer linhas de base de segurança, responder a alertas, preparar para auditorias ou verificar dados armazenados antes do arquivamento ou da troca. Para obter mais informações, consulte a Verificação de malware sob demanda.
Resultados da verificação de malware
Os resultados da verificação de malware estão disponíveis por meio de quatro métodos. Após a instalação, você verá os resultados da verificação como marcas de índice de blob para cada arquivo verificado e como alertas de segurança do Microsoft Defender para Nuvem quando um arquivo é identificado como mal-intencionado. Você pode escolher desabilitar o uso das tags de índice de blob no portal do Azure ou pela API REST. Você também pode configurar métodos adicionais para resultados de verificação, como Event Grid e Log Analytics, que exigem configuração extra. As próximas seções descrevem cada método de resultado de varredura com mais detalhes.
Marcas de índice de blob
As marcas de índice de blob fornecem atributos de chave-valor pesquisáveis em blobs. Por padrão, o Defender para Armazenamento grava os resultados da varredura de malware em duas tags de índice em cada blob verificado.
-
Resultado da verificação:
No threats found,Malicious,ErrorouNot scanned - Tempo de verificação (UTC)
Você pode optar por desabilitar o uso de tags de índice de blob no portal do Azure ou pela API REST.
As marcas de índice de blob são projetadas para fornecer resultados de varredura concisos para cenários de filtragem e automação rápida. No entanto, as marcas de índice não são resistentes a adulterações. Usuários com permissões para modificar tags podem alterá-las, portanto, as tags não devem ser usadas como único controle de segurança. Para fluxos de trabalho sensíveis à segurança, use alertas, eventos da Grade de Eventos ou Log Analytics.
Note
O acesso a marcas de índice requer permissões apropriadas. Para obter detalhes, consulte Obter, definir e atualizar etiquetas de índice de blob.
Alertas de segurança no Defender para Nuvem
Quando um arquivo mal-intencionado é detectado, o Microsoft Defender para Nuvem gera um alerta de segurança. Esses alertas incluem detalhes sobre o arquivo, o tipo de malware detectado e as etapas recomendadas de investigação e correção.
Os alertas de segurança do Defender para Nuvem são úteis para investigação e resposta automatizada. É possível:
- Exiba alertas de segurança no portal do Azure navegando até Microsoft Defender para Nuvem>alertas de segurança.
- Configure automações de fluxo de trabalho para disparar ações de correção quando os alertas forem gerados.
- Exportar alertas de segurança para um sistema SIEM (Gerenciamento de Eventos e Informações de Segurança). Você pode exportar alertas continuamente para o Microsoft Sentinel usando o conector do Microsoft Sentinel ou para outro SIEM de sua escolha.
Saiba mais sobre como responder a alertas de segurança.
Eventos da Grade de Eventos
O Event Grid provisiona resultados de escaneamento de malware quase em tempo real para automação orientada a eventos. Esse método é opcional e requer configuração adicional, mas oferece a maneira mais rápida de disparar respostas automatizadas com base nos resultados da verificação.
A Grade de Eventos dá suporte a vários tipos de ponto de extremidade para processamento de eventos, incluindo:
Aplicativos de Funções – execute o código sem servidor para mover, excluir, colocar em quarentena ou processar arquivos verificados.
Webhooks – notificar aplicativos ou serviços externos.
Hubs de Eventos e filas do Barramento de Serviço – encaminhe eventos resultantes para consumidores posteriores ou pipelines de processamento.
A Grade de Eventos é recomendada quando você precisa de fluxos de trabalho automatizados de baixa latência que reagem imediatamente aos resultados da verificação de malware. Saiba mais sobre como configurar a Grade de Eventos para a verificação de malware.
Análise de Logs
O Log Analytics fornece um repositório centralizado e consultável para resultados de verificação de malware. Esse método é opcional e requer configuração adicional, mas é ideal para conformidade, auditoria e investigações históricas em que são necessários registros detalhados dos resultados da verificação.
Quando o Log Analytics está habilitado, cada resultado de verificação de malware é gravado na StorageMalwareScanningResults tabela no workspace configurado do Log Analytics. Você pode consultar essa tabela para examinar os resultados da verificação, investigar padrões ou gerar relatórios de conformidade.
O Log Analytics é recomendado para criar uma trilha de auditoria ou executar uma análise detalhada. Para automação de baixa latência, use marcas de índice de blob ou Event Grid. Saiba mais sobre como configurar o registro em log para a verificação de malware.
Tip
Explore a verificação de malware de ponta a ponta por meio do laboratório prático do Defender for Storage no treinamento Defender for Cloud Ninja.
Correção automatizada de malware
A verificação de malware dá suporte a respostas automatizadas para que você possa reagir aos resultados da verificação de forma imediata e consistente. Você pode criar automações com base em marcas de índice de blob, alertas de segurança do Defender para Nuvem ou eventos da Grade de Eventos, dependendo dos requisitos de fluxo de trabalho.
Os padrões de resposta comuns incluem:
Habilitar a exclusão reversível interna para arquivos mal-intencionados , portanto, o malware detectado é movido ou excluído automaticamente sem a necessidade de fluxos de trabalho personalizados.
Bloquear o acesso a arquivos não verificados ou mal-intencionados usando o ABAC (Controle de Acesso Attribute-Based).
Excluindo ou movendo arquivos mal-intencionados para um local de quarentena usando Aplicativos Lógicos disparados por alertas de segurança ou Aplicativos de Funções disparados por eventos da Grade de Eventos.
Encaminhando arquivos limpos para outro local de armazenamento usando a Grade de Eventos com Aplicativos de Funções.
Saiba mais sobre como configurar ações de resposta para verificação de malware.
Recursos utilizados pela verificação de malware
Quando a verificação de malware está habilitada, o Defender para Armazenamento implanta automaticamente vários recursos do Azure necessários para operações de verificação:
Tópico do sistema de grade de eventos: Criado no mesmo grupo de recursos que a conta de armazenamento. Este tópico do sistema escuta eventos de upload de blob e dispara a verificação de malware no carregamento. A remoção desse recurso impede o funcionamento da verificação de malware.
StorageDataScannerrecurso: um recurso de serviço gerenciado criado em sua assinatura com uma identidade gerenciada atribuída pelo sistema. Essa identidade recebe a função Proprietário de Dados de Blob de Armazenamento para que possa realizar a leitura dos dados do blob para verificação de malware e detecção de dados sensíveis. Ele também é adicionado às regras de ACL (lista de controle de acesso à rede) da conta de armazenamento para permitir a verificação quando o acesso à rede pública é restrito.DefenderForStorageSecurityOperatorrecurso (habilitação no nível da assinatura): criado quando a verificação de malware está habilitada no nível da assinatura. Essa identidade configura, repara e mantém configurações de verificação de malware em contas de armazenamento existentes e recém-criadas. Ele inclui as atribuições de função necessárias para executar essas operações.
Esses recursos são necessários para que a verificação de malware funcione. Se algum deles for excluído ou modificado, a verificação de malware poderá parar de funcionar.
Note
Se a verificação de malware se tornar não funcional devido a recursos ou permissões ausentes, desabilite e habilite novamente o recurso para recriar e restaurar seus componentes necessários.
Conteúdo com suporte e limitações
Conteúdo com suporte
Tipos de arquivo: Todos os tipos de arquivo têm suporte, incluindo arquivos compactados, como arquivos ZIP e RAR.
Tamanho do arquivo: Blobs de até 50 GB podem ser analisados.
Limitations
Contas de armazenamento sem suporte: Não há suporte para contas de armazenamento v1 herdadas.
Serviços sem suporte: Não há suporte para arquivos do Azure.
Tipos de blob sem suporte:blobs de acréscimo e blobs de página não têm suporte.
Criptografia do lado do cliente sem suporte: blobs criptografados do lado do cliente não podem ser verificados, pois o serviço não pode descriptografá-los. Há suporte para blobs criptografados em repouso com CMK (chave gerenciada pelo cliente).
Protocolos sem suporte: Os blobs carregados usando o protocolo NFS (Sistema de Arquivos de Rede) 3.0 não são verificados.
Marcas de índice de blob: as marcas de índice não são suportadas para contas de armazenamento com namespaces hierárquicos ativados (Azure Data Lake Storage Gen2).
Regiões sem suporte: No momento, nem todas as regiões dão suporte à verificação de malware. Para obter a lista mais recente, consulte a disponibilidade do Defender para Nuvem.
Grade de Eventos: não há suporte para tópicos da Grade de Eventos que não têm acesso à rede pública habilitado (por exemplo, aqueles que usam pontos de extremidade privados) para entrega de resultados de verificação.
Tempo de atualização de metadados: Se os metadados de um blob forem atualizados logo após o upload, a verificação no upload poderá falhar. Para evitar isso, é recomendável especificar metadados em
BlobOpenWriteOptions, ou atrasar as atualizações de metadados até que o escaneamento seja concluído.Limites de tempo de verificação: Blobs grandes ou complexos podem exceder a janela de tempo limite de verificação do Defender (de 30 minutos a 3 horas, dependendo do tamanho e da estrutura do blob). Por exemplo, arquivos ZIP com muitas entradas aninhadas normalmente levam mais tempo para serem digitalizados. Se uma verificação exceder o tempo alocado, o resultado será marcado como Tempo limite de verificação.
Considerações sobre desempenho e custo
Verificações de blob e impacto no IOPS
Cada verificação de malware executa uma operação de leitura adicional e atualiza marcas de índice de blob. Essas operações geram E/S extra, mas normalmente têm impacto mínimo no desempenho do armazenamento (IOPS). O acesso aos dados verificados permanece inalterado durante a verificação, e os aplicativos podem continuar lendo ou gravando no blob sem interrupção.
Você pode reduzir o impacto do IOPS desabilitando marcas de índice de blob para armazenamento de resultados de varredura.
Custos adicionais
A verificação de malware pode incorrer em custos adicionais de serviços dependentes do Azure, incluindo:
- Operações de leitura do Armazenamento do Microsoft Azure
- Indexação de blobs do Armazenamento do Azure, se marcas de índice forem usadas
- Eventos do Azure Event Grid
Use o painel de estimativa de preços do Microsoft Defender para Armazenamento para calcular os custos de ponta a ponta.
Cenários em que a verificação de malware é ineficaz
Embora a verificação de malware forneça amplos recursos de detecção, determinados padrões de dados ou cenários de upload impedem que o serviço identifique com precisão o malware. Considere esses casos antes de habilitar a verificação de malware em uma conta de armazenamento:
Dados em partes: A detecção pode falhar quando um arquivo é carregado em fragmentos. Os fragmentos somente de cabeçalho são marcados como corrompidos, enquanto os fragmentos somente de cauda podem parecer benignos. Examine os dados antes do agrupamento ou depois da remontagem para garantir a cobertura.
Dados criptografados: A verificação de malware não dá suporte a dados criptografados do lado do cliente. O serviço não pode descriptografar esses dados, portanto, qualquer malware dentro desses blobs criptografados não é detectado. Se a criptografia for necessária, examine os dados antes de criptografá-los ou use métodos de criptografia em repouso com suporte, como CMK (chaves gerenciadas pelo cliente), em que o Armazenamento do Azure manipula a descriptografia para acesso.
Dados de backup: Os arquivos de backup podem conter fragmentos de conteúdo verificado anteriormente ou mal-intencionado. Como o scanner avalia o fragmento em si em vez do contexto de arquivo original, os backups podem gerar alertas, mesmo que o arquivo de backup como um todo não seja mal-intencionado.
Avalie esses cenários como parte do seu modelo de ameaça, especialmente se conteúdo não confiável ou gerado pelo usuário puder ser carregado na conta de armazenamento.
Diferenças de detecção entre ambientes de armazenamento e endpoints
O Defender para Armazenamento usa as mesmas atualizações de assinatura e mecanismo antimalware que o Defender para Ponto de Extremidade. No entanto, quando os arquivos são verificados no Armazenamento do Azure, certos metadados contextuais disponíveis nos endpoints não estão presentes. Essa falta de contexto pode resultar em uma maior probabilidade de detecções perdidas (falsos negativos) em comparação com a verificação em um endpoint.
Exemplos de contexto ausente ou indisponível incluem:
Marca da Web (MOTW): O MOTW identifica arquivos originados da Internet, mas esses metadados não são preservados quando os arquivos são carregados no Armazenamento do Azure.
Contexto do caminho do arquivo: A varredura de endpoint examina o caminho do arquivo para determinar se um arquivo está interagindo com locais sensíveis do sistema (como
C:\Windows\System32). O armazenamento de blobs não fornece contexto equivalente baseado em caminho.Dados comportamentais: O Defender para Armazenamento executa análise estática e emulação limitada, mas não observa o comportamento de runtime. Alguns malwares só revelam comportamento mal-intencionado durante a execução e podem não ser detectados apenas por meio da inspeção estática.
Acesso e privacidade de dados
Requisitos de acesso aos dados
Para verificar dados de malware, o serviço requer acesso aos blobs em sua conta de armazenamento. Quando a verificação de malware está habilitada, o Azure implanta automaticamente um recurso nomeado StorageDataScanner em sua assinatura. Esse recurso usa uma identidade gerenciada atribuída pelo sistema e recebe a função Storage Blob Data Owner para ler e escanear dados.
Se sua conta de armazenamento estiver configurada para permitir o acesso à rede pública somente de redes virtuais selecionadas ou endereços IP, o StorageDataScanner recurso será adicionado à seção Instâncias de recurso da configuração de rede da conta de armazenamento. Isso garante que o verificador possa acessar seus dados mesmo quando o acesso à rede pública for restrito.
Privacidade de dados e processamento regional
Processamento regional: A verificação de malware é executada na mesma região do Azure que sua conta de armazenamento para dar suporte aos requisitos de conformidade e residência de dados.
Tratamento de dados: Os arquivos verificados não são armazenados pelo serviço. Em casos limitados, metadados de arquivo, como o hash SHA-256, podem ser compartilhados com o Microsoft Defender para Endpoint para análise posterior.
Lidar com falsos positivos e falsos negativos
Falsos positivos
Um falso positivo ocorre quando um arquivo benigno é identificado incorretamente como mal-intencionado. Se você acredita que um arquivo foi sinalizado incorretamente, você pode executar as seguintes ações:
Enviar o arquivo para reanálise
Use o Portal de Submissão de Amostras para reportar um falso positivo.
Ao enviar, selecione o Microsoft Defender para Armazenamento como a origem.Suprimir alertas repetidos
Crie regras de supressão de alerta no Defender para Nuvem para reduzir o ruído de alertas falsos positivos recorrentes em seu ambiente.
Endereçar malware não detectado (falsos negativos)
Um falso negativo ocorre quando um arquivo mal-intencionado não é detectado. Se você acredita que o malware não foi detectado, envie o arquivo para análise por meio do Portal de Envio de Amostra. Forneça o máximo de contexto possível para dar suporte ao motivo pelo qual você acredita que o arquivo é mal-intencionado.
Note
Relatar falsos positivos e falsos negativos ajuda a melhorar a precisão da detecção ao longo do tempo.