Partilhar via

Configurações avançadas para verificação de malware

  • Artigo

A Verificação de Malware pode ser configurada para enviar os resultados da verificação para o seguinte:

  • Tópico personalizado da Grelha de Eventos - para uma resposta automática quase em tempo real com base em cada resultado da análise.
  • Espaço de trabalho do Log Analytics - para armazenar cada verificação resulta em um repositório de logs centralizado para conformidade e auditoria.

Saiba mais sobre como configurar a resposta para resultados de verificação de malware.

Gorjeta

Recomendamos que você experimente as instruções de treinamento do Ninja, um laboratório prático, para experimentar a verificação de malware no Defender for Storage, usando instruções detalhadas passo a passo sobre como testar a verificação de malware de ponta a ponta com a configuração de respostas aos resultados da verificação. Isso faz parte do projeto 'labs' que ajuda os clientes a se familiarizarem com o Microsoft Defender for Cloud e fornece experiência prática com seus recursos.

Configurando o registro para verificação de malware

Para cada conta de armazenamento habilitada com a verificação de malware, você pode definir um destino de espaço de trabalho do Log Analytics para armazenar cada resultado da verificação em um repositório de log centralizado que é fácil de consultar.

Captura de tela mostrando onde configurar um destino do Log Analytics para o log de verificação.

Antes de enviar os resultados da verificação para o Log Analytics, crie um espaço de trabalho do Log Analytics ou use um existente.

Para configurar o destino do Log Analytics, navegue até a conta de armazenamento relevante, abra a guia Microsoft Defender for Cloud e selecione as configurações a serem definidas.

Essa configuração também pode ser executada usando a API REST:

URL do Pedido:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Corpo do Pedido:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Configurando a grade de eventos para verificação de malware

Para cada conta de armazenamento habilitada com a verificação de malware, você pode configurar para enviar cada resultado da verificação usando um evento de Grade de Eventos para fins de automação.

  1. Para configurar a Grade de Eventos para enviar resultados da verificação, primeiro você precisará criar um tópico personalizado com antecedência. Consulte a documentação da Grade de Eventos sobre a criação de tópicos personalizados para obter orientações. Certifique-se de que o tópico personalizado Grade de Eventos de destino seja criado na mesma região da conta de armazenamento a partir da qual você deseja enviar os resultados da verificação.

  2. Para configurar o destino do tópico personalizado da Grade de Eventos, vá para a conta de armazenamento relevante, abra a guia Microsoft Defender for Cloud e selecione as configurações a serem definidas.

Nota

Ao definir um tópico personalizado da Grade de Eventos, você deve definir Substituir as configurações de nível de assinatura do Defender for Storage como Ativado para garantir que ele substitua as configurações de nível de assinatura.

Captura de tela que mostra onde habilitar um destino de Grade de Eventos para logs de verificação.

Essa configuração também pode ser executada usando a API REST:

URL do Pedido:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Corpo do Pedido:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Substituir as configurações de nível de assinatura do Defender for Storage

As configurações de nível de assinatura herdam as configurações do Defender for Storage em cada conta de armazenamento na assinatura. Use Substituir configurações no nível de assinatura do Defender for Storage para definir configurações para contas de armazenamento individuais diferentes daquelas configuradas no nível de assinatura.

A substituição das configurações das assinaturas geralmente é usada para os seguintes cenários:

  • Ative/desative a verificação de malware ou os recursos de deteção de ameaças de sensibilidade de dados.
  • Defina configurações personalizadas para a verificação de malware.
  • Desative o Microsoft Defender for Storage em contas de armazenamento específicas.

Nota

Recomendamos que você habilite o Defender for Storage em toda a assinatura para proteger todas as contas de armazenamento existentes e futuras nela. No entanto, há alguns casos em que você gostaria de excluir contas de armazenamento específicas da proteção do Defender. Se você decidiu excluir, siga as etapas abaixo para usar a configuração de substituição e desative a conta de armazenamento relevante. Se estiver a utilizar o Defender for Storage (clássico), também pode excluir contas de armazenamento.

Portal do Azure

Para definir as configurações de contas de armazenamento individuais diferentes daquelas configuradas no nível de assinatura usando o portal do Azure:

  1. Inicie sessão no portal do Azure.

  2. Navegue até à conta de armazenamento para a qual pretende configurar definições personalizadas.

  3. No menu da conta de armazenamento, na seção Segurança + rede , selecione Microsoft Defender for Cloud.

  4. Selecione Configurações no Microsoft Defender para armazenamento.

  5. Defina o status de Substituir configurações de nível de assinatura do Defender for Storage (em Configurações avançadas) como Ativado. Isto garante que as definições são guardadas apenas para esta conta de armazenamento e não serão substituídas pelas definições da subscrição.

  6. Configure as definições que pretende alterar:

    1. Para habilitar a verificação de malware ou a deteção de ameaças de dados confidenciais, defina o status como Ativado.

    2. Para modificar as definições da análise de malware:

      1. Mude a verificação de malware ao carregar para Ativado se ainda não estiver ativada.

      2. Para ajustar o limite mensal para verificação de malware em suas contas de armazenamento, você pode modificar o parâmetro chamado Definir limite de GB digitalizados por mês para o valor desejado. Este parâmetro determina a quantidade máxima de dados que podem ser analisados mensalmente quanto à existência de malware, especificamente para cada conta de armazenamento. Se pretender permitir uma análise ilimitada, pode desmarcar este parâmetro. Por predefinição, o limite é definido em 5.000 GB.

  7. Para desativar o Defender for Storage nesta conta de armazenamento, defina o status do Microsoft Defender for Storage como Desativado.

    Captura de tela que mostra onde desativar o Defender for Storage no portal do Azure.

    Selecione Guardar.

API REST

Para definir as configurações de contas de armazenamento individuais diferentes daquelas configuradas no nível de assinatura usando a API REST:

Crie um pedido PUT com este ponto final. Substitua subscriptionId, resourceGroupName e accountName na URL do ponto final com o seu próprio ID de subscrição do Azure, grupo de recursos e nomes da conta de armazenamento em conformidade.

URL do Pedido:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Corpo do Pedido:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Para habilitar a verificação de malware ou a deteção de ameaças de dados confidenciais, defina o valor de isEnabled como true nos recursos relevantes.

  2. Para modificar as configurações de verificação de malware, edite os campos relevantes em onUpload, certifique-se de que o valor de isEnabled é true. Se você quiser permitir a verificação ilimitada, atribua o valor -1 ao parâmetro capGBPerMonth.

  3. Para desativar o Defender para Armazenamento nestas contas de armazenamento, utilize o seguinte corpo do pedido:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Certifique-se de adicionar o parâmetro overrideSubscriptionLevelSettings e seu valor está definido como true. Isto garante que as definições são guardadas apenas para esta conta de armazenamento e não serão substituídas pelas definições da subscrição.

Próximo passo

Saiba mais sobre as configurações de verificação de malware.