Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A verificação de malware no Microsoft Defender for Storage melhora a segurança de suas contas de Armazenamento do Azure detetando e mitigando ameaças de malware. Utiliza o Microsoft Defender Antivirus (MDAV) para analisar o seu conteúdo de armazenamento, ajudando a garantir a segurança e conformidade dos dados.
O Defender for Storage oferece dois tipos de verificação de malware:
Varredura de malware no upload: Analisa os blobs automaticamente quando são carregados ou modificados, proporcionando deteção rápida. Este tipo de digitalização é ideal para aplicações que envolvem carregamentos frequentes de utilizadores, tais como aplicações Web ou plataformas colaborativas. Digitalizar o conteúdo à medida que é carregado ajuda a reduzir o risco de ficheiros maliciosos entrarem no seu ambiente de armazenamento e propagarem-se a jusante.
Análise de malware sob demanda: Permite-lhe analisar manualmente blobs existentes sempre que necessário. Este tipo de varrimento é utilizado para estabelecer uma linha de base de segurança para os dados armazenados, responder a alertas de segurança durante a resposta a incidentes, apoiar requisitos de conformidade e realizar verificações proativas de segurança em todo o seu ambiente.
Estes modos de análise ajudam-no a proteger as suas contas de armazenamento, satisfazer as necessidades de conformidade e manter a integridade dos dados.
Nota
A duração da varredura pode variar consoante o tamanho do ficheiro, tipo de ficheiro, carga de serviço e latência de leitura da conta de armazenamento. As aplicações dependentes dos resultados da varredura devem ter em conta possíveis variações nos tempos de varrimento.
Por que a verificação de malware é importante
Conteúdos carregados para armazenamento na nuvem podem introduzir malware e criar riscos de segurança. A análise de malware ajuda a evitar que ficheiros maliciosos entrem ou se espalhem pelo seu ambiente.
Os principais benefícios incluem:
- Deteção de conteúdo malicioso: identifica e atenua malware.
- Melhorar a postura de segurança: adiciona uma camada para evitar a propagação de malware.
- Suporte à conformidade: Atende aos requisitos regulamentares.
- Simplificando o gerenciamento de segurança: fornece uma solução nativa da nuvem e de baixa manutenção configurável em escala.
Funcionalidades principais
- Solução SaaS incorporada: Simples de ativar sem qualquer manutenção da infraestrutura.
- Capacidades avançadas antimalware: Utiliza MDAV para detetar malware polimórfico e metamórfico em todos os tipos de ficheiros.
- Deteção abrangente: Analisa todos os tipos de ficheiros, incluindo arquivos como ficheiros ZIP e RAR, até 50 GB por blob.
- Opções flexíveis de digitalização: Fornece verificação tanto durante o upload como a pedido.
- Alertas de segurança: Gera alertas detalhados no Microsoft Defender for Cloud.
- Suporte à automação: Integra-se com Logic Apps, Function Apps e Event Grid para criar respostas automáticas aos resultados da varredura.
- Conformidade e auditoria: Os registos analisam os resultados para requisitos de auditoria e conformidade.
- Suporte a endpoints privados:Suporta endpoints privados, reduzindo a exposição pública à internet.
- Remediação automática de malware: Elimina provisoriamente blobs maliciosos detetados durante o carregamento e sob demanda através de análise de malware.
Escolha a opção de digitalização certa
Use a análise de malware no on-upload se precisar de proteção contra uploads maliciosos — ideal para aplicações web, conteúdos gerados por utilizadores, integrações de parceiros ou pipelines de conteúdos partilhados. Para obter mais informações, consulte Verificação de malware ao carregar.
Use a análise de malware on-demand quando precisar de flexibilidade na análise — para estabelecer linhas de base de segurança, responder a alertas, preparar auditorias ou verificar dados armazenados antes do arquivamento ou troca. Para obter mais informações, consulte Verificação de malware sob demanda.
Resultados de análise de malware
Os resultados de análise de malware estão disponíveis através de quatro métodos. Após a configuração, verá os resultados da análise como etiquetas de índice blob para cada ficheiro digitalizado, e como alertas de segurança do Microsoft Defender para a Nuvem quando um ficheiro é identificado como malicioso. Pode optar por desativar o uso de etiquetas de índice blob no portal Azure ou através da API REST. Também pode configurar métodos adicionais de resultados de varrimento, como Event Grid e Log Analytics, que requerem configuração adicional. As secções seguintes descrevem cada método de resultado de análise em mais detalhe.
Tags de índice de Blob
As etiquetas de índice de blob fornecem atributos-chave-valor pesquisáveis nos blobs. Por padrão, o Defender for Storage grava resultados de análise de malware em duas tags de índice em cada blob digitalizado.
-
Resultado da varredura:
No threats found,Malicious,Error, ouNot scanned - Tempo de digitalização (UTC)
Pode optar por desativar o uso de etiquetas de índice blob no portal Azure ou através da API REST.
As etiquetas de blob index são concebidas para fornecer resultados de varrimento concisos para cenários rápidos de filtragem e automação. No entanto, as etiquetas de índice não são à prova de adulterações. Utilizadores com permissões para modificar etiquetas podem alterá-las, pelo que não devem ser usadas como controlo de segurança exclusivo. Para fluxos de trabalho sensíveis à segurança, utilize alertas, eventos do Event Grid ou Log Analytics.
Nota
O acesso às etiquetas de índice requer permissões adequadas. Para detalhes, veja Obter, definir e atualizar etiquetas de índice de blobs.
Alertas de segurança do Defender for Cloud
Quando um ficheiro malicioso é detetado, o Microsoft Defender for Cloud gera um alerta de segurança. Estes alertas incluem detalhes sobre o ficheiro, o tipo de malware detetado e passos recomendados para investigação e remediação.
Os alertas de segurança do Defender for Cloud são úteis para investigação e resposta automática. É possível:
- Veja alertas de segurança no portal do Azure navegando para Microsoft Defender for Cloud>alertas de segurança.
- Configure automações de workflow para desencadear ações de remediação quando os alertas forem gerados.
- Exportar alertas de segurança para um sistema de Gestão de Informação e Eventos de Segurança (SIEM). Pode exportar continuamente alertas para o Microsoft Sentinel usando o conector Microsoft Sentinel, ou para outro SIEM à sua escolha.
Saiba mais sobre como responder a alertas de segurança.
Eventos da Grade de Eventos
O Event Grid fornece entrega quase em tempo real dos resultados da análise de malware para automação orientada a eventos. Este método é opcional e requer configuração adicional, mas oferece a forma mais rápida de ativar respostas automáticas com base nos resultados da varrimento.
O Event Grid suporta vários tipos de endpoints para processar eventos, incluindo:
Function Apps – Executar código serverless para mover, eliminar, colocar em quarentena ou processar ficheiros digitalizados.
Webhooks – Notifique aplicações ou serviços externos.
Hubs de Eventos e Filas do Service Bus – Encaminhar os eventos dos resultados da análise para consumidores downstream ou pipelines de processamento.
O Event Grid é recomendado quando precisa de fluxos de trabalho automatizados e de baixa latência que reajam imediatamente aos resultados da análise de malware. Saiba mais sobre como configurar a Grade de Eventos para verificação de malware.
Análise de Registos
A Log Analytics fornece um repositório centralizado e consultável para resultados de análise de malware. Este método é opcional e requer configuração adicional, mas é ideal para conformidade, auditoria e investigações históricas onde são necessários registos detalhados dos resultados das varreduras.
Quando o Log Analytics está ativado, todos os resultados de análise de malware são escritos na StorageMalwareScanningResults tabela no espaço de trabalho configurado do Log Analytics. Pode consultar esta tabela para rever resultados de análise, investigar padrões ou gerar relatórios de conformidade.
A Análise de Registos é recomendada para criar um registo de auditoria ou realizar análises aprofundadas. Para automação de baixa latência, use em vez disso etiquetas de índice de blob ou Grade de Eventos. Saiba mais sobre a configuração de registos para a verificação de malware.
Gorjeta
Explore a análise de malware de ponta a ponta através do laboratório prático Defender for Storage no treino Defender for Cloud Ninja.
Remediação automática de malware
A análise de malware suporta respostas automáticas para que possa reagir aos resultados da análise de forma imediata e consistente. Pode criar automações baseadas em tags de índice de blobs, alertas de segurança do Defender for Cloud ou eventos do Event Grid, dependendo dos seus requisitos de fluxo de trabalho.
Padrões de resposta comuns incluem:
Permitir a eliminação suave integrada para ficheiros maliciosos, permitindo que malware detetado seja automaticamente movido ou eliminado sem necessidade de fluxos de trabalho personalizados.
Bloqueio de acesso a ficheiros não verificados ou maliciosos usando Controlo de Acesso Baseado em Atributos (ABAC).
Apagar ou mover ficheiros maliciosos para um local de quarentena usando Aplicações Lógicas acionadas por alertas de segurança, ou Aplicações de Funções ativadas por eventos da Grelha de Eventos.
Encaminhar ficheiros limpos para outro local de armazenamento usando o Event Grid com Function Apps.
Saiba mais sobre como configurar ações de resposta para análise de malware.
Recursos implementados por varredura de malware
Quando a análise de malware está ativada, o Defender for Storage implementa automaticamente os vários recursos do Azure necessários para as operações de verificação.
Tema do Sistema de Grelha de Eventos: Criado no mesmo grupo de recursos da conta de armazenamento. Este tópico do sistema escuta eventos de upload de blobs e inicia a análise de malware automaticamente durante o upload. Remover este recurso impede que a varredura de malware funcione.
StorageDataScannerRecurso: Um recurso de serviço gerido criado na sua subscrição com uma identidade gerida atribuída pelo sistema. Esta identidade recebe a função Proprietário de Dados do Blob de Armazenamento para poder ler dados de blob a fim de efetuar a varredura de malware e a Descoberta de Dados Sensíveis. Também foi adicionado às regras da lista de controlo de acesso à rede (ACL) da conta de armazenamento para permitir a varredura quando o acesso à rede pública está restringido.DefenderForStorageSecurityOperatorrecurso (ativação ao nível de subscrição): Criada quando a análise de malware está ativada ao nível da subscrição. Esta identidade configura, repara e mantém as definições de análise de malware entre contas de armazenamento existentes e recém-criadas. Inclui as atribuições de funções necessárias para realizar estas operações.
Estes recursos são necessários para que a varredura de malware funcione. Se algum deles for eliminado ou modificado, a análise de malware pode deixar de funcionar.
Nota
Se a análise de malware se tornar infuncional devido à falta de recursos ou permissões, desative e reative a funcionalidade para recriar e restaurar os seus componentes necessários.
Conteúdo suportado e limitações
Conteúdo suportado
Tipos de ficheiros: Todos os tipos de ficheiros são suportados, incluindo arquivos comprimidos como ficheiros ZIP e RAR.
Tamanho do ficheiro: Blobs até 50 GB podem ser digitalizados.
Limitações
Contas de armazenamento não suportadas: Contas de armazenamento legadas v1 não são suportadas.
Serviços não suportados: O Azure Files não é suportado.
Tipos de blob sem suporte:blobs de acréscimo e blobs de página não são suportados.
Encriptação do lado do cliente não suportada: Blobs encriptados do lado do cliente não podem ser digitalizados, pois o serviço não os consegue desencriptar. Há suporte para blobs criptografados em repouso com chaves gerenciadas pelo cliente (CMK).
Protocolos não suportados: Os blobs carregados usando o protocolo Network File System (NFS) 3.0 não são digitalizados.
Etiquetas de índice blob: Etiquetas de índice não são suportadas para contas de armazenamento com namespaces hierárquicos ativados (Azure Data Lake Storage Gen2).
Regiões não apoiadas: Nem todas as regiões suportam atualmente a análise de malware. Para a lista mais recente, consulte Defender para disponibilidade na Cloud.
Grelha de Eventos: Tópicos do Event Grid que não têm acesso à rede pública ativado (por exemplo, aqueles que usam endpoints privados) não são suportados para entrega de resultados de varrimento.
Momento da atualização dos metadados: Se os metadados de um blob forem atualizados pouco depois do upload, a varredura no upload pode falhar. Para evitar isto, recomenda-se especificar metadados em
BlobOpenWriteOptions, ou adiar as atualizações dos metadados até que a digitalização termine.Limites de tempo de varrimento: Blobs grandes ou complexos podem exceder a janela de tempo de varrimento do Defender (30 minutos a 3 horas, dependendo do tamanho e da estrutura do blob). Por exemplo, ficheiros ZIP com muitas entradas aninhadas normalmente demoram mais tempo a ser digitalizados. Se uma análise exceder o tempo estipulado, o resultado é marcado como Tempo esgotado.
Considerações de desempenho e custos
Varreduras de blob e impacto na IOPS
Cada varredura de malware realiza uma operação adicional de leitura e atualiza as etiquetas do índice de blobs. Estas operações geram E/S extra, mas normalmente têm impacto mínimo no desempenho de armazenamento (IOPS). O acesso aos dados digitalizados permanece inalterado durante a varredura, e as aplicações podem continuar a ler ou escrever no blob sem interrupção.
Pode reduzir o impacto do IOPS desativando as etiquetas de índice de blob para armazenamento dos resultados da varredura.
Custos adicionais
A análise de malware pode incorrer em custos adicionais devido a serviços dependentes do Azure, incluindo:
- Operações de leitura do Armazenamento do Azure
- Azure Storage blob indexing (se forem usadas etiquetas de índice)
- Eventos do Azure Event Grid
Utilize o painel de Estimativa de Preços do Microsoft Defender for Storage para estimar os custos de ponta a ponta.
Cenários em que a verificação de malware é ineficaz
Embora a análise de malware ofereça amplas capacidades de deteção, certos padrões de dados ou cenários de upload impedem o serviço de identificar o malware com precisão. Considere estes casos antes de ativar a análise de malware numa conta de armazenamento:
Dados fragmentados: A deteção pode falhar quando um ficheiro é carregado em fragmentos. Fragmentos apenas de cabeçalho são marcados como corrompidos, enquanto fragmentos apenas de cauda podem parecer benignos. Analisar os dados antes de fazer o chunking ou depois de reagrupá-los para garantir a cobertura.
Dados criptografados: a verificação de malware não suporta dados criptografados do lado do cliente. O serviço não pode desencriptar estes dados, pelo que qualquer malware dentro destes blobs encriptados passa despercebido. Se for necessária encriptação, analise os dados antes de os encriptar, ou utilize métodos suportados de encriptação em repouso, como chaves geridas pelo cliente (CMK), onde o Azure Storage trata da desencriptação para acesso.
Dados de backup: Os ficheiros de backup podem conter fragmentos de conteúdos previamente digitalizados ou maliciosos. Como o scanner avalia o fragmento em si e não o contexto original do ficheiro, as cópias de segurança podem gerar alertas mesmo que o ficheiro de backup como um todo não seja malicioso.
Avalie estes cenários como parte do seu modelo de ameaça, especialmente se conteúdos não confiáveis ou gerados pelos utilizadores puderem ser carregados para a conta de armazenamento.
Diferenças de deteção entre ambientes de armazenamento e endpoint
O Defender for Storage utiliza o mesmo motor anti-malware e atualizações de assinatura que o Defender for Endpoint. No entanto, quando os ficheiros são digitalizados no Azure Storage, certos metadados contextuais disponíveis nos endpoints não estão presentes. Esta falta de contexto pode resultar numa maior probabilidade de deteções falhadas (falsos negativos) em comparação com a verificação num ponto final.
Exemplos de contexto em falta ou indisponível incluem:
Mark of the Web (MOTW): O MOTW identifica ficheiros que tiveram origem na internet, mas esses metadados não são mantidos quando os ficheiros são carregados para o Azure Storage.
Contexto do caminho do ficheiro: A varredura de endpoint avalia o caminho do ficheiro para determinar se um ficheiro está a interagir com locais sensíveis do sistema (como
C:\Windows\System32). O armazenamento de blobs não fornece contexto equivalente baseado em caminhos.Dados comportamentais: O Defender for Storage realiza análise estática e emulação limitada, mas não observa o comportamento em tempo de execução. Alguns malwares só revelam comportamentos maliciosos durante a execução e podem não ser detetados apenas por inspeção estática.
Acesso e privacidade de dados
Requisitos de acesso aos dados
Para analisar dados à procura de malware, o serviço precisa de acesso aos blobs dentro da sua conta de armazenamento. Quando a análise de malware está ativada, o Azure implementa automaticamente um recurso nomeado StorageDataScanner na sua subscrição. Este recurso utiliza uma identidade gerida atribuída pelo sistema e recebe o papel de Proprietário de Dados do Blob de Armazenamento para ler e analisar dados.
Se a sua conta de armazenamento estiver configurada para permitir o acesso à rede pública apenas a partir de redes virtuais ou endereços IP selecionados, o StorageDataScanner recurso é adicionado à secção Instâncias de Recursos da configuração de rede da conta de armazenamento. Isto garante que o scanner pode aceder aos seus dados mesmo quando o acesso à rede pública está restringido.
Privacidade de dados e processamento regional
Processamento regional: A análise de malware é realizada na mesma região Azure da sua conta de armazenamento para suportar os requisitos de residência de dados e conformidade.
Tratamento de dados: Os ficheiros digitalizados não são armazenados pelo serviço. Em casos limitados, metadados de ficheiros como o hash SHA-256 podem ser partilhados com o Microsoft Defender for Endpoint para análise adicional.
Lidar com falsos positivos e falsos negativos
Falsos positivos
Um falso positivo ocorre quando um ficheiro benigno é incorretamente identificado como malicioso. Se acreditar que um ficheiro foi sinalizado incorretamente, pode tomar as seguintes ações:
Submeter o ficheiro para reanálise
Use o Portal de Submissão de Exemplos para reportar um falso positivo.
Ao submeter, selecione Microsoft Defender for Storage como fonte.Suprimir alertas repetidos
Crie regras de supressão de alertas no Defender for Cloud para reduzir o ruído causado por falsos positivos recorrentes no seu ambiente.
Abordar malware não detetado (falsos negativos)
Um falso negativo ocorre quando um ficheiro malicioso não é detetado. Se acredita que o malware foi ignorado, submeta o ficheiro para análise através do Portal de Submissão de Exemplos. Forneça o máximo de contexto possível para apoiar porque acredita que o ficheiro é malicioso.
Nota
Reportar falsos positivos e falsos negativos ajuda a melhorar a precisão da deteção ao longo do tempo.