Compartilhar via


Verificação de Malware no Defender para Armazenamento

A Verificação de Malware no Defender para Armazenamento ajuda a proteger seu Armazenamento de Blobs do Azure contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando os recursos do Microsoft Defender Antivírus. Foi criada para ajudar a atender aos requisitos de segurança e conformidade para lidar com conteúdo não confiável.

A funcionalidade da Verificação de Malware é uma solução SaaS sem agente que permite configuração simples em escala, com manutenção zero e dá suporte à resposta automática em escala.

Diagrama mostrando como a verificação de malware protege seus dados contra códigos mal-intencionados.

O carregamento de malware é a principal ameaça no armazenamento em nuvem

O conteúdo carregado no armazenamento em nuvem pode ser um malware. As contas de armazenamento podem ser um ponto de entrada de malware na organização e um ponto de distribuição de malware. Para proteger as organizações dessa ameaça, o conteúdo no armazenamento em nuvem deve ser verificado em busca de malware antes de ser acessado.

A verificação de Malware no Defender para Armazenamento ajuda a proteger contas de armazenamento contra conteúdo malicioso

  • Uma solução SaaS integrada que permite habilitação simples em escala com manutenção zero.
  • Funcionalidades antimalware abrangentes que usam o Microsoft Defender Antivirus (MDAV) e capturam malware polimórfico e metamórfico.
  • Cada tipo de arquivo é verificado (incluindo arquivos como arquivos zip) e um resultado é retornado para cada verificação. O limite de tamanho do arquivo é de 2 GB.
  • Dá suporte à resposta em escala – excluindo ou colocando em quarentena arquivos suspeitos, com base nas marcas de índice dos blobs ou nos eventos da Grade de Eventos.
  • Quando a verificação de malware identifica um arquivo mal-intencionado, são gerados alertas de segurança detalhados do Microsoft Defenders para Nuvem.
  • Projetado para ajudar a atender aos requisitos de segurança e conformidade para verificar conteúdo não confiável carregado no armazenamento, incluindo uma opção para registrar todos os resultados da verificação.

Casos de uso e cenários comuns

Alguns casos de uso comuns e cenários para verificação de malware no Defender para Armazenamento incluem:

  • Aplicativos Web: vários aplicativos Web na nuvem permitem que os usuários carreguem conteúdo no armazenamento. Isso permite baixa manutenção e armazenamento escalonável para aplicativos como aplicativos fiscais, sites de RH de carregamento de CV e upload de recibos.

  • Proteção de conteúdo: ativos como vídeos e fotos são comumente compartilhados e distribuídos em escala tanto internamente quanto para partes externas. CDNs (Rede de Distribuição de Conteúdo) e hubs de conteúdo são uma oportunidade de distribuição de malware clássica.

  • Requisitos de conformidade: os recursos que seguem padrões de conformidade como NIST, SWIFT, GDPR e outros exigem práticas de segurança robustas, que incluem a verificação de malware. É essencial para organizações que operam em setores ou regiões regulamentados.

  • Integração de terceiros: os dados de terceiros podem vir de uma ampla variedade de fontes, e nem todas elas podem ter práticas de segurança robustas, como parceiros de negócios, desenvolvedores e prestadores de serviços. A verificação de malware ajuda a garantir que esses dados não introduzam riscos de segurança ao sistema.

  • Plataformas colaborativas: semelhante ao compartilhamento de arquivos, as equipes usam o armazenamento em nuvem para compartilhar continuamente conteúdo e colaborar entre equipes e organizações. A verificação de malware garante uma colaboração segura.

  • Pipelines de dados: os dados que passam por processos de ETL (extração, transformação e carregamento) podem vir de várias fontes e incluir malware. A verificação de malware pode ajudar a garantir a integridade desses pipelines.

  • Dados de treinamento de machine learning: a qualidade e a segurança dos dados de treinamento são essenciais para modelos eficazes de machine learning. É importante garantir que esses conjuntos de dados sejam limpos e seguros, especialmente se eles incluirem conteúdo gerado pelo usuário ou dados de fontes externas.

     GIF animado mostrando o conteúdo gerado pelo usuário e dados de fontes externas.

Observação

A verificação de malware é um serviço quase em tempo real. Os tempos de verificação podem variar dependendo do tamanho do arquivo digitalizado ou do tipo de arquivo, bem como da carga no serviço ou na conta de armazenamento. A Microsoft trabalha constantemente na redução do tempo geral de verificação, porém, você deve levar em conta essa variabilidade nos tempos de verificação ao projetar uma experiência do usuário baseada no serviço.

Pré-requisitos

Para habilitar e configurar a Verificação de Malware, você deve ter funções de Proprietário (como Proprietário da Assinatura ou Proprietário da Conta de Armazenamento) ou funções específicas com as ações de dados necessárias. Saiba mais sobre as permissões necessárias

Você pode habilitar e configurar a Verificação de Malware em escala para suas assinaturas enquanto mantém um controle granular sobre a configuração do recurso para contas de armazenamento individuais. Existem várias maneiras de habilitar e configurar a Verificação de Malware: política integrada do Azure (que é o método recomendado), programaticamente usando modelos de Infraestrutura como Código, incluindo o Terraform, o Bicep e modelos do ARM, usando o portal do Azure ou diretamente com a API REST.

Como funciona a verificação de malware

Verificação de malware ao carregar

Gatilhos ao carregar

As verificações de malware são disparadas em uma conta de armazenamento protegida por qualquer operação que resulte em um evento BlobCreated, conforme especificado na página Armazenamento de Blobs do Azure como uma origem da Grade de Eventos. Essas operações incluem o upload inicial de novos blobs, a substituição dos blobs existentes e a finalização das alterações nos blobs por meio de operações específicas. A finalização de operações pode envolver PutBlockList, que monta os blobs de blocos com base em vários blocos, ou FlushWithClose, que confirma os dados acrescentados a um blob do Azure Data Lake Storage Gen2.

Observação

As operações incrementais, como AppendFile no Azure Data Lake Storage Gen2 e PutBlock no BlockBlob do Azure, que permitem que os dados sejam adicionados sem finalização imediata, não disparam uma verificação de malware por conta própria. Uma verificação de malware é iniciada somente quando essas adições são confirmadas oficialmente: FlushWithClose confirma e finaliza as operações AppendFile, disparando uma verificação e PutBlockList confirma os blocos no BlockBlob, iniciando uma verificação. Entender essa distinção é essencial para gerenciar os custos de verificação de maneira efetiva, pois cada confirmação pode levar a uma nova verificação e potencialmente aumentar as despesas, devido a várias verificações de dados atualizados de modo incremental.

Verificar regiões e retenção de dados

O serviço de verificação de malware que usa as tecnologias do Microsoft Defender Antivírus lê o blob. A Verificação de Malware verifica o conteúdo "na memória" e exclui arquivos verificados imediatamente após a verificação. O conteúdo não é retido. A verificação ocorre na mesma região da conta de armazenamento. Em alguns casos, quando um arquivo é suspeito e mais dados são necessários, a verificação de malware pode compartilhar metadados de arquivo fora da região de verificação, incluindo metadados classificados como dados do cliente (por exemplo, hash SHA-256), com o Microsoft Defender para Ponto de Extremidade.

Acessar dados do cliente

Para examinar seus dados, o serviço de Verificação de Malware requer acesso aos seus dados. Durante a habilitação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado em sua assinatura do Azure. Esse recurso recebe a função de Proprietário de Dados de Blob de Armazenamento para acessar e alterar dados para verificação de malware e descoberta de dados confidenciais.

O Ponto de Extremidade Privado tem suporte pronto para uso

A verificação de malware no Defender para Armazenamento tem suporte para contas de armazenamento que usam pontos de extremidade privados, mantendo a privacidade dos dados.

Os pontos de extremidade privados fornecem conectividade segura aos serviços de armazenamento do Azure, eliminando a exposição pública à Internet, e são considerados uma prática recomendada.

Configuração da verificação de malware

Quando a verificação de malware está habilitada, as seguintes ações ocorrem automaticamente em seu ambiente:

  • Para cada conta de armazenamento em que você habilita a verificação de malware, um recurso de Tópico do Sistema da Grade de Eventos é criado no mesmo grupo de recursos da conta de armazenamento usado pelo serviço de verificação de malware para ouvir os gatilhos de carregamento de blob. A remoção desse recurso interrompe o recurso de verificação de malware.

  • Para examinar seus dados, o serviço de Verificação de Malware requer acesso aos seus dados. Durante a habilitação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado na sua assinatura do Azure e atribuído a uma identidade gerenciada pelo sistema. Esse recurso recebe a atribuição de função Proprietário de Dados de Blob de Armazenamento, permitindo que ele acesse seus dados para fins de Verificação de Malware e Descoberta de Dados Confidenciais.

Se a configuração de rede da sua conta de armazenamento estiver definida como Habilitar acesso à rede pública a partir de redes virtuais e endereços IP selecionados, o recurso StorageDataScanner será adicionado à seção Instâncias de Recursos em Configuração de rede da conta de armazenamento para permitir o acesso à verificação de dados.

Caso você esteja habilitando a verificação de malware no nível da assinatura, um novo recurso do Operador de Segurança chamado StorageAccounts/securityOperators/DefenderForStorageSecurityOperator é criado em sua assinatura do Azure e atribuído a uma identidade gerenciada pelo sistema. Esse recurso é usado para habilitar e reparar a configuração do Defender para Armazenamento e da Verificação de Malware na conta de armazenamento existente, além de verificar se há novas contas de armazenamento criadas na assinatura a serem habilitadas. Esse recurso tem atribuições de função que incluem as permissões específicas necessárias para habilitar a verificação de malware.

Observação

A verificação de malware depende de determinados recursos, identidades e configurações de rede para funcionar corretamente. Se você modificar ou excluir qualquer uma delas, a verificação de malware deixará de funcionar. Para restaurar sua operação normal, você pode desativá-la e ativá-la novamente.

Fornecendo resultados da verificação

Os resultados da verificação de malware estão disponíveis por meio de quatro métodos. Após a instalação, você verá os resultados da verificação como marcas de índice de blob para cada arquivo carregado e verificado na conta de armazenamento e como alertas de segurança do Microsoft Defender para Nuvem quando um arquivo for identificado como mal-intencionado.

Você pode optar por configurar métodos de resultado de verificação adicionais, como a Grade de Eventos e o Log Analytics, que exigem configuração extra. Na próxima seção, você aprenderá sobre os diferentes métodos de resultado da verificação.

Diagrama mostrando o fluxo de exibição e consumo de resultados de verificação de malware.

Resultados da verificação

Marcas de índice de blob

As Marcas de índice de blob são campos de metadados em um blob. Elas categorizam dados em sua conta de armazenamento usando atributos de marca de valor-chave. Essas marcas são indexadas automaticamente e expostas como um índice multidimensional pesquisável para localizar dados com facilidade. Os resultados da verificação são concisos, exibindo o resultado e a hora UTC da verificação de malware nos metadados do blob. Outros tipos de resultados (alertas, eventos, logs) fornecem mais informações sobre o tipo de malware e a operação de carregamento de arquivo.

Captura de tela que mostra um exemplo de uma marca de índice de blob.

As marcas de índice de blob podem ser usadas por aplicativos para automatizar os fluxos de trabalho, mas não são resistentes a adulterações. Leia mais sobre como configurar a resposta.

Observação

O acesso a marcas de índice requer permissões. Para obter mais informações, consulte Obter, definir e atualizar marcas de índice de blob.

Alertas de segurança no Defender para Nuvem

Quando um arquivo mal-intencionado é detectado, o Microsoft Defender para Nuvem gera um alerta de segurança do Microsoft Defender para Nuvem. Para exibir o alerta, acesse alertas de segurança do Microsoft Defender para Nuvem. O alerta de segurança contém detalhes e contexto sobre o arquivo, o tipo de malware e as etapas recomendadas de investigação e correção. Para usar esses alertas para correção, você pode:

  1. Exiba alertas de segurança no portal do Azure navegando até Microsoft Defender para Nuvem>Alertas de segurança.
  2. Configurar automações com base nesses alertas.
  3. Exportar alertas de segurança para um SIEM. Você pode exportar continuamente alertas de segurança do Microsoft Sentinel (SIEM da Microsoft) usando o conector do Microsoft Sentinel ou outro SIEM de sua escolha.

Saiba mais sobre como responder a alertas de segurança.

Evento da Grade de Eventos

A Grade de Eventos é útil para automação controlada por eventos. É o método mais rápido para obter resultados com latência mínima em uma forma de eventos que você pode usar para automatizar a resposta.

Os eventos de tópicos personalizados da Grade de Eventos podem ser consumidos com vários tipos de ponto de extremidade. O mais útil para os cenários de verificação de malware é:

  • Aplicativo de Funções (anteriormente chamado de Função do Azure): use uma função sem servidor para executar o código para resposta automatizada, como mover, excluir ou por em quarentena.
  • WebHook: para conectar um aplicativo.
  • Hubs de Eventos e Fila de Barramento de Serviço – para notificar consumidores downstream.

Saiba como configurar a Verificação de Malware para que cada resultado da verificação seja enviado automaticamente para um tópico da Grade de Eventos para fins de automação.

Análise de logs

O ideal é registrar os resultados da verificação para evidências de conformidade ou investigação dos resultados da verificação. Ao configurar um destino do Workspace do Log Analytics, você pode armazenar todos os resultados da verificação em um repositório de log centralizado que é fácil de consultar. Você pode exibir os resultados navegando até o workspace de destino do Log Analytics e procurando a tabela StorageMalwareScanningResults.

Saiba mais sobre como configurar o registro em log para a verificação de malware.

Dica

Convidamos você a explorar o recurso de verificação de malware no Defender para Armazenamento por meio de nosso laboratório prático. Siga as instruções do treinamento Ninja para obter um guia detalhado e passo a passo sobre como configurar e testar a verificação de malware de ponta a ponta, incluindo a configuração de respostas aos resultados da verificação. Isso faz parte do projeto 'labs' que ajuda os clientes a estarem preparados para o Microsoft Defender para Nuvem e fornecer uma experiência prática com seus recursos.

Controle de custo

A verificação de malware é cobrada por GB verificado. Para fornecer previsibilidade de custos, a Verificação de Malware dá suporte à definição de um limite para a quantidade de GB verificados em um único mês por conta de armazenamento.

Importante

A verificação de malware no Defender para Armazenamento não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada desde o primeiro dia de acordo com os preços disponível na página de preços do Defender para Nuvem.

O mecanismo de "limitação" foi projetado para definir um limite de verificação mensal, medido em gigabytes (GB), para cada conta de armazenamento, servindo como um controle de custo efetivo. Caso um limite de verificação predefinido seja estabelecido para uma conta de armazenamento em um único mês de calendário, a operação de verificação será interrompida automaticamente quando esse limite for atingido (com desvio de até 20 GB) e os arquivos não serão verificados quanto a malware. O limite é redefinido no final de cada mês à meia-noite UTC. A atualização do arremate de extremidade normalmente leva até uma hora para entrar em vigor.

Por padrão, um limite de 5 TB (5.000 GB) será estabelecido se nenhum mecanismo de limitação específico for definido.

Dica

Você pode definir o mecanismo de limitação em contas de armazenamento individuais ou em uma assinatura inteira (cada conta de armazenamento na assinatura será alocada o limite definido no nível da assinatura).

Siga estas etapas para configurar o mecanismo de limitação.

Custos adicionais de verificação de malware

A verificação de malware usa outros serviços do Azure como base. Isso significa que, ao habilitar a verificação de malware, você também será cobrado pelos serviços necessários do Azure. Esses serviços incluem operações de leitura do Armazenamento do Microsoft Azure, indexação de blobs do Armazenamento do Microsoft Azure e notificações da Grade de Eventos do Azure.

Como manipular possíveis falsos positivos e falsos negativos

Se tiver um arquivo que você suspeita ser malware, mas não está sendo detectado (falso negativo) ou está sendo detectado incorretamente (falso positivo), poderá enviá-lo para análise por meio do portal de envio de amostras. Selecione “Microsoft Defender Para Armazenamento” como origem.

O Defender para Nuvem permite suprimir alertas de falsos positivos. Certifique-se de limitar a regra de supressão usando o nome do malware ou o hash de arquivo.

A Verificação de Malware não bloqueia automaticamente o acesso nem altera as permissões do blob carregado, mesmo que seja mal-intencionado.

Limitações

Recursos e serviços sem suporte

  • Contas de armazenamento sem suporte: as contas de armazenamento v1 herdadas não tem suporte para verificação de malware.

  • Serviço sem suporte: não há suporte para Arquivos do Azure pela verificação de malware.

  • Cliente sem suporte: os blobs carregados com o protocolo NFS 3.0 não serão verificados quanto a malware no momento do upload.

  • Regiões sem suporte: Jio Oeste da Índia, Sul da Coreia, Oeste da África do Sul.

  • Regiões com suporte do Defender para Armazenamento, mas que não tem suporte da verificação de malware. Saiba mais sobre a Disponibilidade do Defender para Armazenamento.

  • Tipos de blobs sem suporte: Blobs de Anexo e Páginas não têm suporte para verificação de malware.

  • Criptografia sem suporte: Não há suporte para blobs criptografados do lado do cliente, pois eles não podem ser descriptografados antes da verificação pelo serviço. No entanto, há suporte para dados criptografados em repouso pela CMK (Chave Gerenciada pelo Cliente).

  • Resultados da marca de índice sem suporte: A marca de índice não tem suporte nas contas de armazenamento com o namespace hierárquico habilitado (Azure Data Lake Storage Gen2)

  • Grade de Eventos: os tópicos da Grade de Eventos que não têm acesso à rede pública habilitado (ou seja, conexões do ponto de extremidade privado) não têm suporte da verificação de malware no Defender para Armazenamento.

Capacidade de taxa de transferência e limite de tamanho de blob

  • Limite da taxa de transferência de verificação: a verificação de malware pode processar até 2 GB por minuto para cada conta de armazenamento. Se a taxa de upload de arquivos exceder momentaneamente esse limite para uma conta de armazenamento, o sistema tentará verificar os arquivos que excederem o limite da taxa. Se a taxa de upload de arquivos exceder consistentemente esse limite, alguns blobs não serão verificados.
  • Limite de verificação de Blobs: a verificação de malware pode processar até 2.000 arquivos por minuto para cada conta de armazenamento. Se a taxa de upload de arquivos exceder momentaneamente esse limite para uma conta de armazenamento, o sistema tentará verificar os arquivos que excederem o limite da taxa. Se a taxa de upload de arquivos exceder consistentemente esse limite, alguns blobs não serão verificados.
  • Limite de tamanho do blob: o limite máximo de tamanho para um único blob a ser verificado é de 2 GB. Os blobs maiores que o limite não serão verificados.

Uploads de blob e atualizações de marca de índice

Ao carregar um blob na conta de armazenamento, a verificação de malware iniciará uma operação de leitura adicional e atualizará a marca de índice. Na maioria dos casos, essas operações não geram carga significativa.

Impacto no acesso e no IOPS de armazenamento

Apesar do processo de verificação, o acesso aos dados carregados não é afetado e o impacto nas IOPS (Operações de Entrada/Saída por Segundo) de armazenamento é mínimo.

Limitações em comparação com o Microsoft Defender para Ponto de Extremidade

O Defender para Armazenamento usa o mesmo mecanismo antimalware e as mesmas assinaturas atualizadas do Defender para Ponto de Extremidade para verificar a existência de malware. Porém, quando os arquivos são carregados no Armazenamento do Azure, eles não possuem determinados metadados dos quais o mecanismo antimalware depende. Essa falta de metadados pode levar a uma taxa mais alta de detecções perdidas, conhecidas como “falsos negativos”, no Armazenamento do Azure em comparação com as detectadas pelo Defender para Ponto de Extremidade.

A seguir, alguns exemplos de metadados ausentes:

  • Marca da Web (MOTW): o MOTW é um recurso de segurança do Windows que rastreia arquivos baixados da Internet. Contudo, quando os arquivos são carregados no Armazenamento do Azure, esses metadados não são preservados.

  • Contexto de caminho de arquivo: nos sistemas operacionais padrão, o caminho do arquivo pode fornecer contexto adicional para detecção de ameaças. Por exemplo, um arquivo que tenta modificar os locais do sistema (por exemplo, C:\Windows\System32) será sinalizado como suspeito e estará sujeito a uma análise mais detalhada. No Armazenamento do Azure, o contexto dos caminhos de arquivos específicos no blob não pode ser usado da mesma forma.

  • Dados comportamentais: o Defender para Armazenamento analisa o conteúdo dos arquivos sem executá-los. Ele inspeciona os arquivos e pode emular sua execução para verificar se há malware. Porém, é possível que essa abordagem não detecte determinados tipos de malware que revelam sua natureza maliciosa somente durante a execução.

Próximas etapas

Obtenha mais informações sobre como configurar a resposta para os resultados da verificação de malware.