Introdução à verificação de malware

A verificação de malware no Microsoft Defender para Armazenamento melhora a segurança de suas contas de Armazenamento do Microsoft Azure ao detectar e mitigar as ameaças de malware. Ele usa o Microsoft Defender Antivírus para verificar o conteúdo do armazenamento, garantindo a segurança e a conformidade dos dados.

O Defender para Armazenamento oferece dois tipos de verificação de malware:

• Verificação de malware ao carregar: verifica os blobs automaticamente quando eles são carregados ou modificados, fornecendo detecção quase em tempo real. Esse tipo de verificação é ideal para aplicativos que envolvem uploads frequentes de usuários, como aplicativos Web ou plataformas colaborativas. A verificação do conteúdo como ele é carregado ajuda a impedir que arquivos mal-intencionados entrem em seu ambiente de armazenamento e se propaguem downstream.

• Verificação de malware sob demanda: permite verificar blobs existentes sempre que necessário, tornando-o ideal para resposta a incidentes, conformidade e segurança proativa. Esse tipo de verificação é ideal para estabelecer uma linha de base de segurança verificando todos os dados existentes, reagindo a alertas de segurança ou preparando-se para auditorias.

Essas opções ajudam você a proteger suas contas de armazenamento, atender às necessidades de conformidade e garantir a integridade dos dados.

Por que a verificação de malware é importante

O conteúdo carregado no armazenamento em nuvem pode introduzir malware, oferecendo riscos à sua organização. A verificação de malware ajuda a impedir que arquivos mal-intencionados insiram ou se espalhem em seu ambiente.

A verificação de malware no Defender para Armazenamento oferece os seguintes benefícios:

• Detectando conteúdo mal-intencionado: identifica e atenua malware.
• Aprimorar a postura de segurança: adiciona uma camada para evitar a propagação de malware.
• Apoio à conformidade: atende aos requisitos regulatórios.
• Simplificando o gerenciamento de segurança: fornece uma solução nativa de nuvem e de baixa manutenção configurável em escala.

Principais recursos

• Uma solução SaaS integrada: permite habilitação simples em escala com manutenção zero.
• Funcionalidades abrangentes de antimalware: Verifica com o Microsoft Defender Antivírus (MDAV), capturando malware polimórfico e metamórfico.
• Detecção abrangente: verifica todos os tipos de arquivo, inclusive arquivos como arquivos ZIP e RAR, até 50 GB por blob.
• Opções de verificação flexíveis: fornece verificação sob demanda e upload com base em suas necessidades.
• Integração com alertas de segurança: gera alertas detalhados no Microsoft Defender para Nuvem.
• Suporte para automação: habilita respostas automatizadas usando serviços do Azure, como Aplicativos Lógicos e Aplicativos de Funções.
• Conformidade e auditoria: os logs verificam os resultados para conformidade e auditoria.
• Suporte a ponto de extremidade privado: dá suporte a pontos de extremidade privados, garantindo a privacidade dos dados eliminando a exposição pública à Internet.

Que tipo de verificação de malware funciona para suas necessidades?

Caso queira proteção imediata para uploads frequentes, a verificação de malware ao carregar é a escolha certa. Ele funciona melhor para verificar o conteúdo carregado pelo usuário em aplicativos Web, proteger ativos multimídia compartilhados e garantir a conformidade em setores regulamentados. A verificação no carregamento também será eficaz se você precisar integrar dados de parceiros, proteger plataformas colaborativas ou proteger pipelines de dados e conjuntos de dados de machine learning. Para obter mais informações, consulte a Verificação de malware no momento do envio.

Caso queira estabelecer linhas de base de segurança, a verificação de malware sob demanda é uma ótima opção. Ele também oferece flexibilidade para executar verificações com base em necessidades específicas. A verificação sob demanda se encaixa bem nas práticas de resposta a incidentes, conformidade e segurança proativas. É possível usá-lo para automatizar verificações em resposta a gatilhos de segurança, preparar-se para auditorias com verificações agendadas ou verificar proativamente dados armazenados para malware. Além disso, a verificação sob demanda ajuda a fornecer garantia do cliente e verificar dados antes de arquivar ou trocar. Para obter mais informações, consulte a Verificação de malware sob demanda.

Fornecer resultados da verificação

Os resultados da verificação de malware estão disponíveis por meio de quatro métodos. Após a instalação, você visualizará os resultados da verificação como marcas de índice de blob para cada arquivo verificado na conta de armazenamento e como alertas de segurança do Microsoft Defender para Nuvem quando um arquivo for identificado como mal-intencionado. Você pode optar por configurar métodos de resultados de varredura adicionais, como a Grade de Eventos e o Log Analytics; esses métodos exigem configuração extra. Na próxima seção, você aprenderá sobre os diferentes métodos de resultado da verificação.

Resultados do escaneamento

Marcas de índice de blob

As Marcas de índice de blob são campos de metadados em um blob. Elas categorizam dados em sua conta de armazenamento usando atributos de marca de valor-chave. Essas marcas são indexadas automaticamente e expostas como um índice multidimensional pesquisável para localizar dados com facilidade. Os resultados da verificação são concisos, exibindo o resultado da verificação de malware e o horário UTC da verificação de malware nos metadados do blob. Outros tipos de resultados (alertas, eventos, logs) fornecem mais informações.

Os aplicativos podem usar marcas de índice de blob para automatizar fluxos de trabalho, mas não são resistentes a adulterações. Leia mais sobre como configurar a resposta.

Observação

O acesso a marcas de índice requer permissões. Para obter mais informações, consulte Obter, definir e atualizar marcas de índice de blob.

Alertas de segurança no Defender para Nuvem

Quando um arquivo mal-intencionado é detectado, o Microsoft Defender para Nuvem gera um alerta de segurança do Microsoft Defender para Nuvem. Para exibir o alerta, acesse alertas de segurança do Microsoft Defender para Nuvem. O alerta de segurança contém detalhes e contexto sobre o arquivo, o tipo de malware e as etapas recomendadas de investigação e correção. Para usar esses alertas para correção, você pode:

• Exiba alertas de segurança no portal do Azure navegando até Microsoft Defender para Nuvem>Alertas de segurança.
• Configurar automações com base nesses alertas.
• Exportar alertas de segurança para um SIEM (Gerenciamento de Eventos e Informações de Segurança). Você pode exportar continuamente alertas de segurança do Microsoft Sentinel (SIEM da Microsoft) usando o conector do Microsoft Sentinel ou outro SIEM de sua escolha.

Saiba mais sobre como responder a alertas de segurança.

Evento da Grade de Eventos

A Grade de Eventos é útil para automação controlada por eventos. É o método mais rápido para obter resultados com latência mínima em uma forma de eventos que você pode usar para automatizar a resposta.

Os eventos de tópicos personalizados do Event Grid podem ser consumidos por vários tipos de endpoints. Os pontos de extremidade mais úteis para cenários de verificação de malware são:

• Aplicativo de Funções (anteriormente chamado de Função do Azure) – use uma função sem servidor para executar o código para resposta automatizada, como mover, excluir ou por em quarentena.
• WebHook: para conectar um aplicativo.
• Hubs de Eventos e Fila de Barramento de Serviço – para notificar consumidores downstream. Saiba como configurar a verificação de malware para que cada resultado da verificação seja enviado automaticamente para um tópico da Grade de Eventos para fins de automação.

Análise de logs

O ideal é registrar os resultados da verificação para evidências de conformidade ou investigação dos resultados da verificação. Ao configurar um destino do Workspace do Log Analytics, você pode armazenar todos os resultados da verificação em um repositório de log centralizado que é fácil de consultar. Você pode exibir os resultados navegando até o workspace de destino do Log Analytics e procurando a tabela StorageMalwareScanningResults.

Para automatizar ações com base nos resultados da verificação, é recomendável usar as tags de índice ou as notificações do Event Grid. Para fins de criação de um rastro de auditoria dos resultados da varredura, o Log Analytics é a solução preferencial.

Saiba mais sobre como configurar o registro em log para a verificação de malware.

Dica

Explore o recurso de verificação de malware no Defender para Armazenamento por meio do nosso laboratório prático. Siga as instruções de treinamento do Ninja para um guia detalhado passo a passo sobre como configurar e testar a verificação de malware de ponta a ponta. Configure respostas para resultados de verificação. Isso faz parte do projeto "laboratórios", que ajuda os clientes a se familiarizarem com o Microsoft Defender para Nuvem e oferece experiência prática com seus recursos.

Automação de resposta

A verificação de malware dá suporte a respostas automatizadas, como excluir ou colocar arquivos suspeitos em quarentena. Gerencie isso usando as tags de índice dos blobs ou configure eventos do Event Grid para automação. Automatize as respostas das seguintes maneiras:

• Bloqueie o acesso a arquivos não verificados ou mal-intencionados utilizando o ABAC (controle de acesso baseado em atributos).
• Exclua ou mova arquivos mal-intencionados automaticamente para a quarentena usando Aplicativos Lógicos (com base em alertas de segurança) ou Grade de Eventos com Aplicativos de Funções (com base nos resultados da verificação).
• Encaminhe arquivos limpos para um local diferente usando a Grade de Eventos com Aplicativos de Funções.

Saiba mais sobre como configurar a resposta para resultados de verificação de malware.

Configuração da verificação de malware

Quando a verificação de malware está habilitada, as seguintes ações ocorrem automaticamente em seu ambiente:

• Para cada conta de armazenamento em que você habilita a verificação de malware, um recurso de Tópico do Sistema de Grade de Eventos é criado no mesmo grupo de recursos da conta de armazenamento - usado pelo serviço de verificação de malware para ouvir os gatilhos de carregamento de blob. A remoção desse recurso interrompe o recurso de verificação de malware.
• Para examinar seus dados, o serviço de verificação de malware requer acesso aos seus dados. Durante a habilitação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado na sua assinatura do Azure e atribuído a uma identidade gerenciada pelo sistema. Esse recurso recebe a atribuição de função Proprietário de Dados de Blob de Armazenamento, permitindo que ele acesse seus dados para fins de verificação de malware e descoberta de dados confidenciais.

• O recurso StorageDataScanner também é adicionado às regras de acesso a recursos de ACL de rede da conta de armazenamento. Isso permite que o Defender examine seus dados quando o acesso à rede pública à conta de armazenamento é restrito.
• Caso esteja habilitando a verificação de malware no nível da assinatura, um novo recurso chamado StorageAccounts/securityOperators/DefenderForStorageSecurityOperator será criado em sua assinatura do Azure. Esse recurso recebe uma identidade gerenciada pelo sistema. Ele é usado para habilitar e reparar as configurações do Defender para Armazenamento e verificação de malware em contas de armazenamento existentes. Além disso, ele verifica se há novas contas de armazenamento criadas na assinatura para habilitar a verificação de malware. Esse recurso tem atribuições de função específicas com as permissões necessárias para habilitar a verificação de malware.

Observação

A verificação de malware depende de recursos específicos, identidades e configurações de rede para funcionar corretamente. Se você modificar ou excluir qualquer um deles, a verificação de malware deixará de funcionar. Para restaurar sua operação normal, desative-a e ative-a novamente.

Conteúdo com suporte e limitações

Conteúdo com suporte

• Tipos de arquivo: todos os tipos de arquivo, incluindo arquivos como arquivos ZIP.

• Tamanho do arquivo: Blobs de até 50 GB de tamanho.

Limitações

• Contas de armazenamento sem suporte: As contas de armazenamento v1 herdadas não têm suporte.

• Serviço sem suporte: a verificação de malware não dá suporte aos Arquivos do Azure.

• Tipos de blob sem suporte:blobs de acréscimo e blobs de página não têm suporte.

• Criptografia sem suporte: blobs criptografados do lado do cliente não podem ser verificados, pois o serviço não pode descriptografá-los. Há suporte para blobs criptografados em repouso com CMK (chave gerenciada pelo cliente).

• Protocolos sem suporte: os blobs carregados por meio do protocolo NFS (sistema de arquivos de rede) 3.0 não são verificados.

• Marcas de índice de blob: não há suporte para marcas de índice para contas de armazenamento com namespace hierárquico habilitado (Azure Data Lake Storage Gen2).

• Regiões sem suporte: algumas regiões ainda não têm suporte para verificação de malware. O serviço está se expandindo continuamente para novas regiões. Para obter a lista mais recente de regiões com suporte, consulte a Disponibilidade do Defender para Nuvem.

• Event Grid: os tópicos do Event Grid que não têm acesso à rede pública habilitado (como conexões de ponto de extremidade privado) não oferecem suporte para verificação de malware no Defender para Armazenamento.

• O blob pode não ser verificado após a atualização de metadados**:** Se os metadados de um blob forem atualizados logo após o upload, a verificação no carregamento poderá falhar ao verificar o blob. Para evitar esse problema, é recomendável especificar os metadados do blob em BlobOpenWriteOptions ou adiar a atualização dos metadados do blob até que o blob seja verificado.

• Limites de tempo de verificação: Dependendo do tamanho e da complexidade, alguns blobs podem levar muito tempo para serem digitalizados. Por exemplo, arquivos zip com muitas entradas normalmente levam muito tempo para serem digitalizadas. O Defender impõe um limite superior na quantidade de tempo alocada para a verificação de um único blob. Esse tempo varia entre 30 minutos e 3 horas, dependendo do tamanho do blob. Se a digitalização de um blob demorar mais do que o tempo alocado, a digitalização será interrompida e o resultado da digitalização será marcado como "Tempo limite da digitalização atingido".

Outros custos

Serviços do Azure: a verificação de malware usa outros serviços do Azure, o que pode incorrer em custos adicionais:

• Operações de leitura do Armazenamento do Microsoft Azure
• Indexação de blobs do Armazenamento do Microsoft Azure
• Eventos do Azure Event Grid

O Painel de Estimativa de Preços do Microsoft Defender para Armazenamento pode ajudá-lo a estimar o custo total esperado do Defender para Armazenamento.

Verificações de blob e impacto no IOPS

Sempre que o serviço de verificação de malware verifica um arquivo, ele dispara outra operação de leitura e atualiza a marca de índice. Isso se aplica tanto à verificação sob upload, que ocorre depois que o blob é carregado ou modificado, quanto à verificação sob demanda. Apesar dessas operações, o acesso aos dados verificados permanece inalterado. O impacto nas IOPS (Operações de Entrada/Saída por Segundo) de armazenamento é mínimo, garantindo que essas operações normalmente não introduzam carga significativa.

Cenários em que a verificação de malware é ineficaz

Embora a verificação de malware forneça recursos de detecção abrangentes, há cenários específicos em que ele se torna ineficaz devido a limitações inerentes. Avalie esses cenários cuidadosamente antes de decidir habilitar a verificação de malware em uma conta de armazenamento:

• Dados fragmentados: A verificação de malware é ineficaz na detecção de ameaças em blobs que foram quebrados em fragmentos menores. Blobs que contêm o cabeçalho do arquivo, mas têm partes faltando do restante do arquivo, serão marcados como corrompidos. Para blobs que incluem a parte final do arquivo original, mas que não têm o cabeçalho do arquivo, o mecanismo antimalware não detectará nenhum malware presente. Para atenuar esse risco, considere medidas de segurança adicionais, como a verificação dos dados antes da fragmentação ou depois de serem totalmente remontados.

• Dados criptografados: a verificação de malware não dá suporte a dados criptografados do lado do cliente. O serviço não pode descriptografar esses dados, portanto, qualquer malware dentro desses blobs criptografados não é detectado. Se a criptografia for necessária, examine os dados antes do processo de criptografia ou use métodos de criptografia com suporte, como CMK (Chaves Gerenciadas pelo Cliente) para criptografia em repouso.

• Dados de backup: Os backups consistem em fragmentos de vários arquivos. Caso um arquivo mal-intencionado seja incluído em um backup, isso pode resultar em uma detecção de falso positivo no arquivo de backup, que por si só não é mal-intencionado.

Ao decidir habilitar a verificação de malware, considere se outros arquivos com suporte estão sendo carregados na conta de armazenamento. Além disso, avalie se os invasores podem explorar esse fluxo de upload para introduzir malware.

Diferenças na detecção de malware entre o Armazenamento do Microsoft Azure e ambientes de ponto de extremidade

O Defender para Armazenamento utiliza o mesmo mecanismo antimalware e as assinaturas de data up-toque o Defender para Endpoint para escanear malware. No entanto, quando os arquivos são carregados no Armazenamento do Azure, eles não têm certos metadados dos quais o mecanismo antimalware depende. Essa falta de metadados pode levar a uma taxa mais alta de detecções perdidas, conhecidas como "falsos negativos", no Armazenamento do Azure em comparação com as detecções identificadas pelo Defender para Endpoint.

A seguir, alguns exemplos de metadados ausentes:

• Marca da Web (MOTW): o MOTW é um recurso de segurança do Windows que rastreia arquivos baixados da Internet. Contudo, quando os arquivos são carregados no Armazenamento do Microsoft Azure, esses metadados não são preservados.

• Contexto de caminho de arquivo: nos sistemas operacionais padrão, o caminho do arquivo pode fornecer mais contexto para detecção de ameaças. Por exemplo, um arquivo que tenta modificar os locais do sistema (por exemplo, C:\Windows\System32) será sinalizado como suspeito e estará sujeito a uma análise mais detalhada. No Armazenamento do Microsoft Azure, o contexto dos caminhos de arquivos específicos no blob não pode ser usado da mesma forma.

• Dados comportamentais: o Defender para Armazenamento analisa o conteúdo dos arquivos sem executá-los. Ele inspeciona os arquivos e pode emular sua execução para verificar se há malware. Porém, é possível que essa abordagem não detecte determinados tipos de malware que revelam sua natureza maliciosa somente durante a execução.

Acesso e privacidade de dados

Requisitos de acesso aos dados

O serviço de verificação de malware requer acesso aos seus dados para verificar a existência de malware. Durante a habilitação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado em sua assinatura do Azure. Esse recurso recebe uma identidade gerenciada atribuída pelo sistema e recebe a atribuição de função de Proprietário de Dados do Blob de Armazenamento para acessar e examinar seus dados.

Se a configuração de rede da sua conta de armazenamento estiver definida como Habilitar acesso à rede pública a partir de redes virtuais e endereços IP selecionados, o recurso StorageDataScanner será adicionado à seção Instâncias de recursos em configuração de rede da conta de armazenamento para permitir o acesso à verificação.

Privacidade de dados e processamento regional

• Processamento regional: a verificação ocorre na mesma região do Azure que sua conta de armazenamento para atender aos requisitos de residência de dados.

• Tratamento de dados: os arquivos digitalizados não são armazenados. Em alguns casos, os metadados de arquivo (por exemplo, hash SHA-256) podem ser compartilhados com o Microsoft Defender para Endpoint para análise posterior.

Como lidar com possíveis falsos positivos e falsos negativos

Falsos positivos

Falsos positivos ocorrem quando o sistema identifica incorretamente um arquivo benigno como mal-intencionado. Para resolver esses problemas:

1. Enviar para análise

   • Use o Portal de Submissão de Amostra para relatar possíveis falsos positivos.

   • Selecione "Microsoft Defender para Armazenamento" como fonte ao enviar.

2. Suprimir alertas

   • Crie regras de supressão no Defender para Nuvem para evitar alertas falsos positivos recorrentes específicos.

Endereçar malware não detectado (falsos negativos)

Falsos negativos ocorrem quando o sistema falha ao detectar um arquivo mal-intencionado. Caso suspeite que isso aconteceu, poderá relatar o malware não detectado enviando o arquivo para análise por meio do Portal de Envio de Amostra. Certifique-se de incluir o máximo de contexto possível para explicar por que você acredita que o arquivo é mal-intencionado.

Observação

Relatar regularmente falsos positivos e negativos ajuda a melhorar a precisão do sistema de detecção de malware ao longo do tempo.

Conteúdo relacionado

• Verificação de malware durante o upload no Microsoft Defender para Armazenamento

• Verificação de malware sob demanda no Microsoft Defender para Armazenamento