Share via

Configuraciones avanzadas para el examen de malware

  • Artículo

Se puede configurar el examen de malware para que envíe los resultados del examen para lo siguiente:

  • Tema personalizado de Event Grid: para una respuesta automática casi en tiempo real en función de cada resultado del examen.
  • Área de trabajo de Log Analytics: para almacenar cada resultado del examen en un repositorio de registros centralizado para el cumplimiento y la auditoría.

Obtenga más información sobre cómo configurar la respuesta para los resultados del examen de malware.

Sugerencia

Se recomienda probar las instrucciones de entrenamiento de Ninja, un laboratorio práctico, para probar el examen de malware en Defender para Storage mediante instrucciones detalladas paso a paso sobre cómo probar el examen de malware de un extremo a otro con la configuración de respuestas para examinar los resultados. Esto forma parte del proyecto de "laboratorios" que ayuda a los clientes a familiarizarse con Microsoft Defender for Cloud y les proporciona experiencia práctica con sus funcionalidades.

Configuración del registro para la detección de malware

Para cada cuenta de almacenamiento habilitada con la detección de malware, puede definir un destino de área de trabajo de Log Analytics para almacenar todos los resultados del examen en un repositorio de registros centralizado que sea fácil de consultar.

Captura de pantalla que muestra dónde configurar un destino de Log Analytics para los registros del examen.

Antes de enviar los resultados del examen a Log Analytics, cree un área de trabajo de Log Analytics o use una existente.

Para configurar el destino de Log Analytics, vaya a la cuenta de almacenamiento correspondiente, abra la pestaña Microsoft Defender for Cloud y seleccione las opciones que quiera configurar.

Esta configuración también se puede realizar mediante la API de REST:

URL de la solicitud:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Cuerpo de la solicitud:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Configuración de Event Grid para la detección de malware

Para cada cuenta de almacenamiento habilitada con la detección de malware, puede configurar el envío de todos los resultados del examen mediante eventos de Event Grid con fines de automatización.

  1. Para configurar Event Grid para enviar resultados de examen, primero deberá crear un tema personalizado de antemano. Consulte la documentación de Event Grid sobre cómo crear temas personalizados para obtener instrucciones. Asegúrese de que el tema personalizado de Event Grid de destino se crea en la misma región que la cuenta de almacenamiento desde la que desea enviar los resultados del examen.

  2. Para configurar el destino del tema personalizado de Event Grid, vaya a la cuenta de almacenamiento correspondiente, abra la pestaña Microsoft Defender for Cloud y seleccione las opciones que quiera configurar.

Nota:

Al establecer un tema personalizado de Event Grid, debe establecer Invalidar la configuración de nivel de suscripción de Defender para Storage en Activado para asegurarse de invalidar la configuración de nivel de suscripción.

Captura de pantalla que muestra dónde habilitar un destino de Event Grid para los registros del examen.

Esta configuración también se puede realizar mediante la API de REST:

URL de la solicitud:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Cuerpo de la solicitud:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Invalidación de la configuración de nivel de suscripción de Defender para Storage

La configuración de nivel de suscripción hereda la configuración de Defender para Storage en cada cuenta de almacenamiento de la suscripción. Use Invalidar la configuración de nivel de suscripción de Defender para Storage para configurar las opciones de las cuentas de almacenamiento individuales diferentes de las configuradas en el nivel de suscripción.

Normalmente, la invalidación de la configuración de las suscripciones se usa para los escenarios siguientes:

  • Habilitar o deshabilitar la detección de malware o las características de detección de amenazas de confidencialidad de datos.
  • Configurar las opciones personalizadas para la detección de malware.
  • Deshabilitar Microsoft Defender para Storage en cuentas de almacenamiento específicas.

Nota:

Se recomienda habilitar Defender para Storage en toda la suscripción para proteger todas las cuentas de almacenamiento existentes y futuras. Sin embargo, hay algunos casos en los que querrá excluir cuentas de almacenamiento específicas de la protección de Defender. Si ha decidido excluir alguna cuenta, siga los pasos que se indican a continuación para usar la configuración de invalidación y, a continuación, deshabilite la cuenta de almacenamiento correspondiente. Si usa Defender para Storage (clásico), también puede excluir cuentas de almacenamiento.

Azure portal

Para configurar las opciones de cuentas de almacenamiento individuales diferentes de las configuradas en el nivel de suscripción mediante el Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. Vaya a la cuenta de almacenamiento en la que desea configurar opciones personalizadas.

  3. En el menú de cuenta de almacenamiento, en la sección Seguridad y redes, seleccione Microsoft Defender for Cloud.

  4. Seleccione Configuración en Microsoft Defender para Storage.

  5. Establezca el estado de Invalidar la configuración de nivel de suscripción de Defender para Storage (en Configuración avanzada) en Activado. Esto garantiza que la configuración solo se guarde para esta cuenta de almacenamiento y que la configuración de la suscripción no la sobrescriba.

  6. Configure las opciones que desea cambiar:

    1. Para habilitar la detección de malware o la detección de amenazas de datos confidenciales, establezca el estado en Activado.

    2. Para modificar la configuración de la detección de malware:

      1. Cambie la opción Detección de malware al cargar a Activada si aún no está habilitada.

      2. A fin de ajustar el umbral mensual para examinar malware en las cuentas de almacenamiento, se puede modificar el parámetro denominado Establecer el límite de GB examinados al mes con el valor deseado. Este parámetro determina la cantidad máxima de datos que se pueden examinar mensualmente en la búsqueda de malware, específicamente para cada cuenta de almacenamiento. Si desea permitir exámenes ilimitados, puede desactivar este parámetro. De manera predeterminada, el límite se establece en 5 000 GB.

  7. Para deshabilitar Defender para Storage en estas cuentas de almacenamiento, establezca el estado de Microsoft Defender para Storage en Desactivado.

    Captura de pantalla que muestra dónde desactivar Defender para Storage en Azure Portal.

    Seleccione Guardar.

REST API

Para configurar las opciones de las cuentas de almacenamiento individuales diferentes de las configuradas en el nivel de suscripción mediante la API de REST:

Cree una solicitud PUT con este punto de conexión. Reemplace subscriptionId, resourceGroupName, y accountName en la dirección URL del punto de conexión con su propio id. de suscripción de Azure, el grupo de recursos y los nombres de la cuenta de almacenamiento según corresponda.

URL de solicitud:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Cuerpo de la solicitud:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Para habilitar la detección de malware o la detección de amenazas de datos confidenciales, establezca el valor de isEnabled en true en las características pertinentes.

  2. Para modificar la configuración de detección de malware, edite los campos pertinentes en onUpload y asegúrese de que el valor de isEnabled sea true. Si desea permitir la detección ilimitada, asigne el valor -1 al parámetro capGBPerMonth.

  3. Para deshabilitar Defender para Storage en estas cuentas de almacenamiento, use el siguiente cuerpo de solicitud:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Asegúrese de agregar el parámetro overrideSubscriptionLevelSettings y de que su valor esté establecido en true. Esto garantiza que la configuración solo se guarde para esta cuenta de almacenamiento y que la configuración de la suscripción no la sobrescriba.

Paso siguiente

Obtenga más información sobre la configuración de la detección de malware.