Verificação de malware durante o upload

A verificação de malware durante o upload no Microsoft Defender para Armazenamento examina automaticamente os blobs quando são carregados ou modificados, proporcionando uma detecção rápida de conteúdo malicioso. Essa solução nativa da nuvem e baseada em SaaS usa o Microsoft Defender Antivírus para executar verificações abrangentes de malware, garantindo que as contas de armazenamento permaneçam seguras sem a necessidade de infraestruturas ou manutenções adicionais.

Ao integrar a verificação durante o upload às contas de armazenamento, o seguinte é possível:

Evitar uploads maliciosos: impeça a entrada de malware no ambiente de armazenamento a partir do ponto de upload.
Simplifique o gerenciamento da segurança: aproveite a verificação automática sem implantar ou gerenciar agentes.
Melhorar a conformidade: atenda aos requisitos regulatórios para garantir que todos os dados carregados sejam verificados em busca de malware.

O upload de malware é uma das principais ameaças ao armazenamento em nuvem, porque arquivos maliciosos podem entrar e se espalhar em uma organização por meio de serviços de armazenamento em nuvem. O Microsoft Defender para Armazenamento fornece uma solução integrada para minimizar esse risco com recursos antimalware abrangentes.

Casos de uso comuns para a verificação de malware durante o upload

Aplicativos da Web: uploads seguros de conteúdos gerados pelo usuário em aplicativos da Web, como aplicativos de impostos, sites de upload de currículos e uploads de recibos.
Distribuição de conteúdo: proteja ativos como imagens e vídeos compartilhados em grande escala por meio de hubs de conteúdo ou CDNs (redes de entrega de conteúdo), que podem ser pontos comuns de distribuição de malware.
Requisitos de conformidade: Atenda aos padrões regulatórios, como NIST, SWIFT, HIPAA e DORA, verificando conteúdo não confiável, especialmente para setores regulamentados.
Integração de terceiros: faça a verificação de dados de terceiros, como conteúdos de parceiros comerciais ou prestadores de serviço, para evitar riscos de segurança.
Plataformas colaborativas: garanta uma colaboração segura entre equipes e organizações verificando os conteúdos compartilhados.
Pipelines de dados: mantenha a integridade dos dados nos processos de ETL (extração, transformação e carregamento) e garanta que nenhum malware entre por meio de diversas fontes de dados.
Dados de treinamento de machine learning: proteja a qualidade dos dados de treinamento e garanta que os conjuntos de dados sejam limpos e seguros, em especial quando contêm conteúdos gerados pelo usuário.

Note

As durações de verificação de malware podem variar com base na variedade de métricas, como tamanho do arquivo, tipo de arquivo, carga de serviço e latência de leitura da conta de armazenamento. Os aplicativos que dependem dos resultados de verificação de malware devem considerar essas possíveis variações nos tempos de verificação.

Habilitar a verificação de malware no upload

Prerequisites

Permissões: função de proprietário ou colaborador na conta de armazenamento ou na assinatura ou funções específicas com as permissões necessárias.
Defender para Armazenamento: deve estar habilitado em contas de armazenamento individuais ou assinaturas.

Para habilitar e configurar a verificação de malware em suas assinaturas, mantendo o controle detalhado sobre contas de armazenamento individuais, você pode usar um dos seguintes métodos:

Usar a política interna do Azure = usar programaticamente modelos de infraestrutura como código, incluindo modelos do Terraform, do Bicep e do ARM
Usando o Portal do Azure
Usando o PowerShell
Usar diretamente a API REST

Quando a verificação de malware está habilitada, um recurso de tópico do sistema da Grade de Eventos é criado automaticamente no mesmo grupo de recursos da conta de armazenamento. Ele é usado pelo serviço de verificação de malware para detectar gatilhos de upload de blobs.

Para obter instruções detalhadas, confira Implantar o Microsoft Defender para Armazenamento.

Controle de custos para verificação de malware no upload

A verificação de malware é cobrada por GB verificado. Para garantir a previsibilidade de custos, a verificação de malware dá suporte à definição de um limite para a quantidade de GB verificados em um único mês por conta de armazenamento.

O mecanismo de limitação define um limite de verificação mensal, medido em GB (gigabytes), para cada conta de armazenamento. Esse valor serve como uma medida eficaz de controle de custos. Se um limite de verificação predefinido for atingido para uma conta de armazenamento em um único mês, a operação de verificação será interrompida automaticamente. Essa interrupção ocorre quando o limite é atingido, com um desvio de até 20 GB. Nenhum arquivo é verificado em busca de malware depois de atingir esse limite. O limite é redefinido no final de cada mês à meia-noite (UTC). A atualização da tampa normalmente leva até uma hora para surtir efeito.

Por padrão, um limite de 10 TB (10.000 GB) será estabelecido se nenhum mecanismo de limitação específico for definido.

Tip

Você pode definir o mecanismo de limitação em contas de armazenamento individuais ou em uma assinatura inteira (cada conta de armazenamento na assinatura será alocada o limite definido no nível da assinatura).

Filtros de verificação de malware personalizáveis no upload

A verificação de malware durante o upload oferece suporte a filtros personalizáveis, permitindo que os usuários definam regras de exclusão com base nos prefixos e sufixos dos caminhos dos blobs, além do tamanho dos blobs. Excluindo caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.

Os filtros podem ser configurados na guia Microsoft Defender para Configurações de Nuvem da conta de armazenamento no portal do Azure ou por meio da API REST.

Pontos principais:

Filtros baseados em exclusão: até 24 valores de filtro podem ser usados para excluir blobs da verificação de malware.
Lógica OR: um blob será excluído se atender a qualquer um dos critérios especificados.

Tipos de Filtros:

Excluir Blobs (ou contêineres) com Prefixo: defina uma lista separada por vírgulas de prefixos.
- Formato: container-name/blob-name (comece com o nome do contêiner; não inclua o nome da conta de armazenamento).
- Para excluir contêineres inteiros, use o prefixo de nomes de contêiner sem um /no final.
- Para excluir um único contêiner, adicione uma barra à direita / após o nome do contêiner para evitar a exclusão de outros contêineres com prefixos semelhantes.
Excluir Blobs com sufixo: defina uma lista separada por vírgulas de sufixos.
- Os sufixos correspondem apenas ao final dos nomes dos blobs.
- Deve ser usado apenas para extensões de arquivo ou terminações de nomes de blobs.
Excluir Blobs maiores que: especifica o tamanho máximo em bytes para que os blobs sejam verificados. Blobs maiores que esse valor serão excluídos da verificação.

Como funciona a verificação de malware

Fluxo de verificação de malware durante o upload

As verificações durante o carregamento são disparadas por qualquer operação que resulte em um evento BlobCreated ou BlobRenamed, conforme especificado na documentação Armazenamento de Blobs do Azure como uma fonte da Grade de Eventos. Essas operações incluem:

Carregamento de novos blobs: Quando um novo blob é adicionado a um contêiner
Substituição de blobs atuais: quando um blob atual é substituído por um novo conteúdo
Conclusão de alterações em blobs: operações como PutBlockList ou FlushWithClose que confirmam alterações em um blob

Note

Operações incrementais, como AppendFile no Azure Data Lake Storage Gen2 e PutBlock no Azure BlockBlob, não disparam uma verificação de malware de maneira independente. A verificação de malware só ocorre quando essas adições são finalizadas por meio de operações de confirmação como PutBlockList ou FlushWithClose. Cada confirmação pode iniciar uma nova verificação, o que pode aumentar os custos quando os mesmos dados são verificados diversas vezes devido a atualizações incrementais.

Processo de digitalização

Detecção de eventos: Quando ocorre um BlobCreated ou um BlobRenamed evento, o serviço de verificação de malware detecta a alteração.
Recuperação de blobs: o serviço lê com segurança o conteúdo do blob na mesma região da conta de armazenamento.
Verificação na memória: o conteúdo é verificado na memória usando o Microsoft Defender Antivírus com definições de malware atualizadas.
Geração de resultados: o resultado da verificação é gerado e as ações apropriadas são tomadas com base nas descobertas.
Descarte de conteúdo: o conteúdo verificado não é retido e é excluído imediatamente após a verificação.

Taxa de transferência e capacidade de verificação de malware no upload

A verificação de malware durante o upload tem limites específicos de capacidade e taxa de transferência para garantir desempenho e eficiência em operações de larga escala. Esses limites ajudam a controlar o volume de dados que podem ser processados por minuto, garantindo um equilíbrio entre a proteção e a carga do sistema.

Limite de taxa de transferência da verificação: A verificação de malware no upload pode processar até 50 GB por minuto por conta de armazenamento. Quando a taxa de upload de blobs excede esse limite momentaneamente, o sistema enfileira os arquivos e tenta escaneá-los. No entanto, se a taxa de upload ultrapassar consistentemente o limite, alguns blobs poderão não ser verificados.

Aspectos compartilhados com a verificação sob demanda

As seções a seguir são aplicáveis à verificação de malware sob demanda e durante o upload.

Custos adicionais, incluindo operações de leitura do Armazenamento do Microsoft Azure, indexação de blobs e notificações da Grade de Eventos.
Exibição e consumo dos resultados da verificação: métodos como marcas de índice de blob, alertas de segurança do Defender para Nuvem, eventos da Grade de Eventos e Log Analytics.
Automação de correção de malware: automatizar ações como bloquear, excluir ou mover arquivos com base nos resultados da verificação.
Conteúdo com suporte e limitações: abrange tipos de arquivos com suporte, tamanhos, criptografia e limitações regionais.
Acesso e privacidade de dados: detalhes sobre como o serviço acessa e processa seus dados, inclusive considerações de privacidade.
Lidar com falsos positivos e falsos negativos: etapas para enviar arquivos para revisão e criar regras de supressão.
Verificações de blobs e impacto no IOPS: saiba como as verificações disparam operações de leitura adicionais e atualizam marcas de índice de blobs.

Para saber mais sobre esses tópicos, confira a página Introdução à verificação de malware.

Práticas recomendadas e dicas

Defina limites de controle de custos para contas de armazenamento, em especial aquelas com alto tráfego de upload, para gerenciar e otimizar as despesas de maneira eficaz.
Use o Log Analytics para rastrear o histórico de verificações para fins de conformidade e auditoria.
Se o caso de uso necessitar de um mecanismo de remediação de malware, considere usar o recurso interno de exclusão reversível de blobs maliciosos ou configurar a remediação automatizada (por exemplo, ações de quarentena ou exclusão) usando Event Grid e Logic Apps. Para obter diretrizes detalhadas de configuração, consulte Configuração de remediação na verificação de malware.

Tip

Recomendamos que você explore o recurso de verificação de malware no Defender para Armazenamento por meio do nosso laboratório prático. Siga as instruções de treinamento do Ninja para obter um guia detalhado sobre configuração, teste e configuração de respostas.

Comentários

Esta página foi útil?

Last updated on 2025-09-16