Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A varredura de malware no upload no Microsoft Defender for Storage analisa automaticamente os blobs quando são carregados ou modificados, proporcionando uma deteção rápida de conteúdos maliciosos. Esta solução nativa da nuvem, baseada em SaaS, usa o Microsoft Defender Antivirus para executar verificações abrangentes de malware, garantindo que suas contas de armazenamento permaneçam seguras sem a necessidade de infraestrutura ou manutenção extra.
Ao integrar a varredura ao carregar em suas contas de armazenamento, você pode:
- Impeça carregamentos maliciosos: impeça que malware entre no seu ambiente de armazenamento no ponto de carregamento.
- Simplifique o gerenciamento de segurança: beneficie-se da verificação automática sem implantar ou gerenciar agentes.
- Melhore a conformidade: Cumpra os requisitos regulamentares, garantindo que todos os dados carregados são verificados em busca de malware.
O upload de malware é uma das principais ameaças para o armazenamento em nuvem, pois arquivos mal-intencionados podem entrar e se espalhar dentro de uma organização por meio de serviços de armazenamento em nuvem. O Microsoft Defender for Storage fornece uma solução interna para reduzir esse risco com recursos antimalware abrangentes.
Casos de uso comuns para análise de malware durante o carregamento
Aplicações Web: Carregamento seguro de conteúdo gerado pelo utilizador em aplicações Web, tais como aplicações fiscais, sites de carregamento de CV e carregamentos de recibos.
Distribuição de conteúdos: Proteja ativos como imagens e vídeos compartilhados em escala por meio de hubs de conteúdo ou CDNs (Content Delivery Networks), que podem ser pontos comuns de distribuição de malware.
Requisitos de conformidade: Cumprir normas regulatórias, como NIST, SWIFT, HIPAA e DORA, analisando conteúdos não confiáveis, especialmente para indústrias reguladas.
Integração com terceiros: Certifique-se de que os dados de terceiros, como conteúdo de parceiros de negócios ou contratados, sejam verificados para evitar riscos à segurança.
Plataformas colaborativas: Garanta a colaboração segura entre equipes e organizações verificando o conteúdo compartilhado.
Pipelines de dados: Mantenha a integridade dos dados nos processos ETL (Extrair, Transformar, Carregar), garantindo que nenhum malware entre através de várias fontes de dados.
Dados de treinamento de aprendizado de máquina: proteja a qualidade dos dados de treinamento garantindo que os conjuntos de dados sejam limpos e seguros, especialmente se contiverem conteúdo gerado pelo usuário.
Note
A duração da análise de malware pode variar consoante vários indicadores, como tamanho do ficheiro, tipo de ficheiro, carga de serviço e latência de leitura da conta de armazenamento. Os aplicativos que dependem dos resultados da verificação de malware devem levar em conta essas variações potenciais nos tempos de verificação.
Habilite a verificação de malware ao carregar
Prerequisites
- Permissões: Função de Proprietário ou Colaborador na conta de assinatura ou armazenamento, ou funções específicas com as permissões necessárias.
- Defender for Storage: Deve estar habilitado na assinatura ou em contas de armazenamento individuais.
Para habilitar e configurar a verificação de malware em suas assinaturas, mantendo o controle detalhado sobre contas de armazenamento individuais, você pode usar um dos seguintes métodos:
- Usando a política pré-definida do Azure = Programáticamente usando modelos de Infraestrutura como Código, incluindo Terraform, Bicep e ARM templates
- Usando o portal do Azure
- Usando o PowerShell
- Diretamente com a API REST
Quando a verificação de malware está habilitada, um recurso de Tópico do Sistema de Grade de Eventos é criado automaticamente no mesmo grupo de recursos que a conta de armazenamento. Isso é usado pelo serviço de verificação de malware para ouvir os gatilhos de upload de blob.
Para obter instruções detalhadas, consulte Implantar o Microsoft Defender para armazenamento.
Controle de custos para verificação de malware durante o upload
A verificação de malware é cobrada por GB verificado. Para fornecer previsibilidade de custos, a verificação de malware suporta a definição de um limite para a quantidade de GB digitalizados em um único mês por conta de armazenamento.
O mecanismo de limitação define um limite de verificação mensal, medido em gigabytes (GB), para cada conta de armazenamento. Isso serve como uma medida eficaz de controle de custos. Se um limite de verificação predefinido for atingido para uma conta de armazenamento dentro de um único mês de calendário, a operação de verificação será interrompida automaticamente. Essa parada ocorre quando o limite é atingido, com um desvio de até 20 GB. Os ficheiros não são verificados em busca de malware para além deste ponto. O limite é reposto no final de cada mês, à meia-noite UTC. A atualização do limite normalmente leva até uma hora para entrar em vigor.
Por padrão, um limite de 10 TB (10.000 GB) é estabelecido se nenhum mecanismo de limite específico for definido.
Tip
Você pode definir o mecanismo de limite em contas de armazenamento individuais ou em uma assinatura inteira (cada conta de armazenamento na assinatura receberá o limite definido no nível de assinatura).
Filtros personalizáveis de verificação de malware no momento do carregamento
O varrimento de malware durante o carregamento suporta filtros personalizáveis, permitindo que os utilizadores definam regras de exclusão com base em prefixos e sufixos de caminho e no tamanho do blob. Ao excluir caminhos e tipos de blob específicos, como logs ou arquivos temporários, você pode evitar verificações desnecessárias e reduzir custos.
Os filtros podem ser configurados na guia Configurações do Microsoft Defender for Cloud da conta de armazenamento no portal do Azure ou por meio da API REST.
Pontos Principais:
Filtros baseados em exclusão: até 24 valores de filtro podem ser usados para excluir blobs da verificação de malware.
Lógica de OU: Um blob é excluído se satisfizer qualquer um dos critérios especificados.
Tipos de filtro:
Excluir Blobs (ou contêineres) com Prefixo: defina uma lista de prefixos separados por vírgula.
Formato:
container-name/blob-name(comece com o nome do contêiner; não inclua o nome da conta de armazenamento).Para excluir contentores inteiros, utilize o prefixo dos nomes de contentores sem um sufixo
/.Para excluir um único contêiner, adicione uma barra
/à direita após o nome do contêiner para evitar excluir outros contêineres com prefixos semelhantes.
Excluir Blobs com Sufixo: Defina uma lista de sufixos separados por vírgula.
Os sufixos correspondem apenas ao final dos nomes dos blobs.
Deve ser usado apenas para extensões de arquivo ou terminações de nome de blob.
Excluir blobs maiores que: especifica o tamanho máximo em bytes para blobs que serão analisados. Blobs maiores que esse valor serão excluídos da verificação.
Como funciona a verificação de malware
Fluxo de verificação de malware ao carregar
As varreduras durante o upload são desencadeadas por qualquer operação que resulte num BlobCreated ou num BlobRenamed evento, conforme especificado na documentação de origem do Azure Blob Storage como Grade de Eventos . Estas operações incluem:
- Carregando novos blobs: quando um novo blob é adicionado a um contêiner
- Substituindo blobs existentes: quando um blob existente é substituído por conteúdo novo
-
Finalizando alterações em blobs: operações como
PutBlockListouFlushWithCloseque confirmam alterações em um blob
Note
Operações incrementais, como AppendFile no Azure Data Lake Storage Gen2 e PutBlock no Azure BlockBlob, não acionam uma verificação de malware independentemente. Uma verificação de malware ocorre somente quando essas adições são finalizadas por meio de operações de confirmação como PutBlockList ou FlushWithClose. Cada confirmação pode iniciar uma nova verificação, o que pode aumentar os custos se os mesmos dados forem verificados várias vezes devido a atualizações incrementais.
Processo de digitalização
-
Deteção de eventos: Quando ocorre um
BlobCreatedou umBlobRenamedevento, o serviço de análise de malware deteta a alteração. - Recuperação de Blob: O serviço lê com segurança o conteúdo do blob na mesma região da sua conta de armazenamento.
- Varredura na memória: O conteúdo é verificado na memória usando o Microsoft Defender Antivirus com definições de malware de data up-to.
- Geração de resultados: O resultado da verificação é gerado e ações apropriadas são tomadas com base nos resultados.
- Eliminação de conteúdos: O conteúdo digitalizado não é retido e é excluído imediatamente após a digitalização.
Taxa de transferência e capacidade para verificação de malware durante o carregamento
A verificação de malware durante o carregamento tem limites específicos de largura de banda e capacidade para garantir o desempenho e a eficiência em operações de grande escala. Estes limites ajudam a controlar o volume de dados que pode ser processado por minuto, garantindo um equilíbrio entre proteção e carga do sistema.
- Limite de taxa de transferência de varredura: a verificação de malware durante o carregamento pode processar até 50 GB por minuto por conta de armazenamento. Se a taxa de uploads de blobs exceder esse limite momentaneamente, o sistema enfileirará os arquivos e irá tentar examiná-los. No entanto, se a taxa de carregamento exceder consistentemente o limite, alguns blobs podem não ser verificados.
Aspetos compartilhados com varredura por solicitação
As seções a seguir são aplicáveis à verificação de malware sob demanda e ao upload.
- Custos adicionais Incluindo operações de leitura do Armazenamento do Azure, indexação de blob e notificações de Grade de Eventos.
- Visualização e consumo de resultados de verificação: métodos como etiquetas de índice de Blob, alertas de segurança do Defender for Cloud, eventos do Event Grid e análise de logs.
- Automação de remediação de malware: automatize ações como bloquear, excluir ou mover arquivos com base nos resultados da verificação.
- Conteúdo suportado e limitações: Abrange tipos de ficheiros, tamanhos, encriptação e limitações de região suportados.
- Acesso e privacidade de dados: detalhes sobre como o serviço acessa e processa seus dados, incluindo considerações de privacidade.
- Tratamento de falsos positivos e falsos negativos: etapas para enviar arquivos para revisão e criar regras de supressão.
- Análises de blob e impacto no IOPS: entenda como as varreduras acionam operações de leitura adicionais e atualizam tags de índice de blob.
Para obter informações detalhadas sobre estes tópicos, consulte a página Introdução à análise de malware.
Boas práticas e dicas
- Defina limites de controle de custos para contas de armazenamento, especialmente aquelas com alto tráfego de upload, para gerenciar e otimizar despesas de forma eficaz.
- Use o Log Analytics para acompanhar o histórico de varredura para fins de conformidade e auditoria.
- Se o seu caso de uso exigir um mecanismo de remediação de malware, considere usar a funcionalidade de eliminação suave de blobs mal-intencionados integrada ou configurar a remediação automatizada (por exemplo, ações de quarentena ou eliminação) usando o Event Grid e Logic Apps. Para obter orientações detalhadas sobre a configuração, consulte Configurar a correção na verificação de malware.
Tip
Incentivamos você a explorar o recurso de verificação de malware no Defender for Storage por meio de nosso laboratório prático. Siga as instruções de treinamento Ninja para obter um guia detalhado sobre configuração, teste e configuração de resposta.