Partilhar via

Verificação de malware no Defender for Storage

  • Artigo

A verificação de malware no Defender for Storage ajuda a proteger seu Armazenamento de Blob do Azure contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando os recursos do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável.

O recurso de verificação de malware é uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero e suporta a automação da resposta em escala.

Diagrama mostrando como a verificação de malware protege seus dados contra código mal-intencionado.

O upload de malware é uma das principais ameaças no armazenamento em nuvem

O conteúdo carregado para o armazenamento em nuvem pode ser malware. As contas de armazenamento podem ser um ponto de entrada de malware na organização e um ponto de distribuição de malware. Para proteger as organizações contra essa ameaça, o conteúdo no armazenamento em nuvem deve ser verificado em busca de malware antes de ser acessado.

A verificação de malware no Defender for Storage ajuda a proteger as contas de armazenamento contra conteúdo mal-intencionado

  • Uma solução SaaS integrada que permite uma ativação simples em escala com manutenção zero.
  • Recursos antimalware abrangentes usando o Microsoft Defender Antivirus (MDAV), capturando malware polimórfico e metamórfico.
  • Cada tipo de arquivo é digitalizado (incluindo arquivos como arquivos zip) e um resultado é retornado para cada verificação. O limite de tamanho do ficheiro é de 2 GB.
  • Suporta resposta em escala – excluindo ou colocando em quarentena arquivos suspeitos, com base nas tags de índice dos blobs ou eventos da Grade de Eventos.
  • Quando a verificação de malware identifica um arquivo mal-intencionado, alertas de segurança detalhados do Microsoft Defender for Cloud são gerados.
  • Projetado para ajudar a cumprir os requisitos de segurança e conformidade para verificar conteúdo não confiável carregado no armazenamento, incluindo uma opção para registrar todos os resultados da verificação.

Casos de uso e cenários comuns

Alguns casos de uso e cenários comuns para verificação de malware no Defender for Storage incluem:

  • Aplicações Web: muitas aplicações Web na nuvem permitem aos utilizadores carregar conteúdo para armazenamento. Isso permite baixa manutenção e armazenamento escalável para aplicativos como aplicativos fiscais, sites de RH de upload de CV e upload de recibos.

  • Proteção de conteúdo: recursos como vídeos e fotos são comumente compartilhados e distribuídos em escala, tanto internamente quanto para terceiros. CDNs (Content Delivery Network) e hubs de conteúdo são uma oportunidade clássica de distribuição de malware.

  • Requisitos de conformidade: recursos que aderem a padrões de conformidade como NIST, SWIFT, GDPR e outros exigem práticas de segurança robustas, que incluem verificação de malware. É fundamental para organizações que operam em setores ou regiões regulamentadas.

  • Integração de terceiros: os dados de terceiros podem vir de uma ampla variedade de fontes, e nem todas elas podem ter práticas de segurança robustas, como parceiros de negócios, desenvolvedores e contratados. A verificação de malware ajuda a garantir que esses dados não introduzam riscos de segurança ao seu sistema.

  • Plataformas colaborativas: semelhante ao compartilhamento de arquivos, as equipes usam o armazenamento em nuvem para compartilhar conteúdo continuamente e colaborar entre equipes e organizações. A verificação de malware garante uma colaboração segura.

  • Pipelines de dados: os dados que se movem através de processos ETL (Extract, Transfer, Load) podem vir de várias fontes e podem incluir malware. A verificação de malware pode ajudar a garantir a integridade desses pipelines.

  • Dados de treinamento de aprendizado de máquina: a qualidade e a segurança dos dados de treinamento são essenciais para modelos de aprendizado de máquina eficazes. É importante garantir que esses conjuntos de dados sejam limpos e seguros, especialmente se incluírem conteúdo gerado pelo usuário ou dados de fontes externas.

    GIF animado mostrando conteúdo gerado pelo usuário e dados de fontes externas.

Nota

A verificação de malware é um serviço quase em tempo real. Os tempos de verificação podem variar dependendo do tamanho ou tipo de arquivo digitalizado, bem como da carga no serviço ou na conta de armazenamento. A Microsoft está constantemente trabalhando para reduzir o tempo geral de verificação, no entanto, você deve levar essa variabilidade nos tempos de verificação em consideração ao projetar uma experiência do usuário baseada no serviço.

Pré-requisitos

Para habilitar e configurar a Verificação de Malware, você deve ter funções de Proprietário (como Proprietário da Assinatura ou Proprietário da Conta de Armazenamento) ou funções específicas com as ações de dados necessárias. Saiba mais sobre as permissões necessárias.

Você pode habilitar e configurar a Verificação de Malware em escala para suas assinaturas, mantendo o controle granular sobre a configuração do recurso para contas de armazenamento individuais. Há várias maneiras de habilitar e configurar a Verificação de Malware: política interna do Azure (o método recomendado), usando programaticamente a Infraestrutura como modelos de Código, incluindo modelos Terraform, Bíceps e ARM, usando o portal do Azure ou diretamente com a API REST.

Como funciona a verificação de malware

Verificação de malware ao carregar

Gatilhos ao carregar

As verificações de malware são acionadas em uma conta de armazenamento protegida por qualquer operação que resulte em um BlobCreated evento, conforme especificado na página de origem do Armazenamento de Blobs do Azure como uma grade de eventos . Essas operações incluem o carregamento inicial de novos blobs, a substituição de blobs existentes e a finalização de alterações em blobs por meio de operações específicas. A finalização das operações pode envolver PutBlockList, que monta blobs de bloco a partir de vários blocos ou FlushWithClose, que confirma dados anexados a um blob no Azure Data Lake Storage Gen2.

Nota

Operações incrementais, como AppendFile no Azure Data Lake Storage Gen2 e PutBlock no Azure BlockBlob, que permitem que os dados sejam adicionados sem finalização imediata, não acionam uma verificação de malware por conta própria. Uma verificação de malware é iniciada somente quando essas adições são oficialmente confirmadas: FlushWithClose confirma e finaliza AppendFile operações, acionando uma verificação, e PutBlockList confirma bloqueios no BlockBlob, iniciando uma verificação. Compreender essa distinção é fundamental para gerenciar os custos de varredura de forma eficaz, pois cada confirmação pode levar a uma nova verificação e potencialmente aumentar as despesas devido a várias verificações de dados atualizados incrementalmente.

Regiões de varredura e retenção de dados

O serviço de verificação de malware que usa tecnologias Microsoft Defender Antivirus lê o blob. A Verificação de Malware verifica o conteúdo "na memória" e exclui os arquivos digitalizados imediatamente após a verificação. O conteúdo não é mantido. A verificação ocorre na mesma região da conta de armazenamento. Em alguns casos, quando um arquivo é suspeito e mais dados são necessários, a Verificação de Malware pode compartilhar metadados de arquivos fora da região de varredura, incluindo metadados classificados como dados do cliente (por exemplo, hash SHA-256), com o Microsoft Defender for Endpoint.

Aceda aos dados dos clientes

O serviço de verificação de malware requer acesso aos seus dados para verificar seus dados em busca de malware. Durante a ativação do serviço, um novo recurso do Data Scanner chamado StorageDataScanner é criado em sua assinatura do Azure. Este recurso é concedido com uma atribuição de função de Proprietário de Dados de Blob de Armazenamento para acessar e alterar seus dados para verificação de malware e descoberta de dados confidenciais.

O Private Endpoint é suportado pronto para uso

A verificação de malware no Defender for Storage é suportada em contas de armazenamento que usam pontos de extremidade privados, mantendo a privacidade dos dados.

Os pontos de extremidade privados fornecem conectividade segura aos seus serviços de armazenamento do Azure, eliminando a exposição pública à Internet, e são considerados uma prática recomendada.

Configuração da verificação de malware

Quando a verificação de malware está ativada, as seguintes ações ocorrem automaticamente no seu ambiente:

  • Para cada conta de armazenamento na qual você habilita a verificação de malware, um recurso de Tópico do Sistema de Grade de Eventos é criado no mesmo grupo de recursos da conta de armazenamento - usado pelo serviço de verificação de malware para ouvir os gatilhos de upload de blob. A remoção deste recurso quebra a funcionalidade de verificação de malware.

  • Para analisar os seus dados, o serviço de Análise de Malware requer acesso aos seus dados. Durante a ativação do serviço, um novo recurso do Verificador de Dados chamado StorageDataScanner é criado em sua assinatura do Azure e atribuído com uma identidade gerenciada atribuída ao sistema. Este recurso é concedido com a atribuição da função Proprietário de Dados de Blob de Armazenamento, permitindo que ele acesse seus dados para fins de Verificação de Malware e Descoberta de Dados Confidenciais.

Se a configuração de rede da sua conta de armazenamento estiver definida como Habilitar acesso à rede pública a partir de redes virtuais selecionadas e endereçado por IP, o StorageDataScanner recurso será adicionado à seção Instâncias de recurso em Configuração de rede da conta de armazenamento para permitir o acesso para verificar seus dados.

Se você estiver habilitando a verificação de malware no nível da assinatura, um novo recurso do Operador de Segurança chamado StorageAccounts/securityOperators/DefenderForStorageSecurityOperator será criado em sua assinatura do Azure e atribuído com uma identidade gerenciada pelo sistema. Este recurso é usado para habilitar e reparar a configuração do Defender for Storage e Malware Scanning em contas de armazenamento existentes e verificar se novas contas de armazenamento criadas na assinatura devem ser habilitadas. Este recurso tem atribuições de função que incluem as permissões específicas necessárias para habilitar a verificação de malware.

Nota

A verificação de malware depende de determinados recursos, identidades e configurações de rede para funcionar corretamente. Se você modificar ou excluir qualquer um destes, a verificação de malware deixará de funcionar. Para restaurar o seu funcionamento normal, pode desligá-lo e ligá-lo novamente.

Fornecendo resultados de varredura

Os resultados da verificação de malware estão disponíveis através de quatro métodos. Após a configuração, você verá os resultados da verificação como tags de índice de blob para cada arquivo carregado e digitalizado na conta de armazenamento e como alertas de segurança do Microsoft Defender for Cloud quando um arquivo for identificado como malicioso.

Você pode optar por configurar métodos de resultado de verificação extra, como Grade de Eventos e Análise de Log, esses métodos exigem configuração extra. Na próxima seção, você aprenderá sobre os diferentes métodos de resultados da verificação.

Diagrama mostrando o fluxo de visualização e consumo de resultados de verificação de malware.

Resultados da análise

Tags de índice de Blob

As tags de índice de blob são campos de metadados em um blob. Eles categorizam os dados em sua conta de armazenamento usando atributos de tag chave-valor. Essas tags são automaticamente indexadas e expostas como um índice multidimensional pesquisável para encontrar dados facilmente. Os resultados da verificação são concisos, exibindo o resultado da verificação de malware e o tempo de verificação de malware UTC nos metadados de blob. Outros tipos de resultados (alertas, eventos, logs) fornecem mais informações sobre o tipo de malware e a operação de upload de arquivos.

Captura de tela que mostra um exemplo de uma marca de índice de blob.

As tags de índice de Blob podem ser usadas por aplicativos para automatizar fluxos de trabalho, mas não são resistentes a violações. Leia mais sobre como configurar a resposta.

Nota

O acesso às tags de índice requer permissões. Para obter mais informações, consulte Obter, definir e atualizar tags de índice de blob.

Alertas de segurança do Defender for Cloud

Quando um arquivo mal-intencionado é detetado, o Microsoft Defender for Cloud gera um alerta de segurança do Microsoft Defender for Cloud. Para ver o alerta, vá para Alertas de segurança do Microsoft Defender for Cloud . O alerta de segurança contém detalhes e contexto sobre o arquivo, o tipo de malware e as etapas recomendadas de investigação e correção. Para usar esses alertas para correção, você pode:

  1. Exiba alertas de segurança no portal do Azure navegando até alertas do Microsoft Defender for Cloud>Security.
  2. Configure automações com base nesses alertas.
  3. Exporte alertas de segurança para um SIEM. Você pode exportar continuamente alertas de segurança Microsoft Sentinel (SIEM da Microsoft) usando o conector Microsoft Sentinel ou outro SIEM de sua escolha.

Saiba mais sobre como responder a alertas de segurança.

Evento Grade de Eventos

A Grade de Eventos é útil para automação orientada a eventos. É o método mais rápido para obter resultados com latência mínima em uma forma de eventos que você pode usar para automatizar a resposta.

Os eventos dos tópicos personalizados da Grade de Eventos podem ser consumidos por vários tipos de ponto final. Os mais úteis para cenários de verificação de malware são:

  • Aplicativo de função (anteriormente chamado de Função do Azure) – use uma função sem servidor para executar código para resposta automatizada, como mover, excluir ou colocar em quarentena.
  • Webhook – para conectar um aplicativo.
  • Hubs de Eventos & Fila do Barramento de Serviço – para notificar os consumidores a jusante.

Saiba como configurar a Verificação de Malware para que cada resultado da verificação seja enviado automaticamente para um tópico da Grade de Eventos para fins de automação.

Análise de logs

Talvez você queira registrar os resultados da verificação para obter evidências de conformidade ou investigar os resultados da verificação. Ao configurar um destino de espaço de trabalho do Log Analytics, você pode armazenar todos os resultados da verificação em um repositório de log centralizado que é fácil de consultar. Você pode visualizar os resultados navegando até o espaço de trabalho de destino do Log Analytics e procurando a StorageMalwareScanningResults tabela.

Saiba mais sobre como configurar o registro para verificação de malware.

Gorjeta

Convidamos você a explorar o recurso de verificação de malware no Defender for Storage através do nosso laboratório prático. Siga as instruções de treinamento do Ninja para obter um guia detalhado e passo a passo sobre como configurar e testar a Verificação de Malware de ponta a ponta, incluindo a configuração de respostas aos resultados da verificação. Isso faz parte do projeto 'labs' que ajuda os clientes a se familiarizarem com o Microsoft Defender for Cloud e fornecer experiência prática com seus recursos.

Controlo de custos

A verificação de malware é cobrada por GB verificado. Para fornecer previsibilidade de custos, a Verificação de Malware suporta a definição de um limite para a quantidade de GB digitalizados em um único mês por conta de armazenamento.

Importante

A verificação de malware no Defender for Storage não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada a partir do primeiro dia de acordo com o esquema de preços disponível na página de preços do Defender for Cloud.

O mecanismo de "limitação" foi projetado para definir um limite de varredura mensal, medido em gigabytes (GB), para cada conta de armazenamento, servindo como um controle de custos eficaz. Se um limite de verificação predefinido for estabelecido para uma conta de armazenamento em um único mês, a operação de verificação será interrompida automaticamente assim que esse limite for atingido (com um desvio de até 20 GB) e os arquivos não serão verificados em busca de malware. A tampa é reposta no final de cada mês à meia-noite UTC. A atualização do limite normalmente leva até uma hora para entrar em vigor.

Por padrão, um limite de 5 TB (5.000 GB) é estabelecido se nenhum mecanismo de limite específico for definido.

Gorjeta

Você pode definir o mecanismo de limite em contas de armazenamento individuais ou em uma assinatura inteira (cada conta de armazenamento na assinatura receberá o limite definido no nível de assinatura).

Siga estas etapas para configurar o mecanismo de tampamento.

Custos adicionais da verificação de malware

A verificação de malware usa outros serviços do Azure como base. Isso significa que, ao habilitar a verificação de malware, você também será cobrado pelos serviços do Azure necessários. Esses serviços incluem operações de leitura do Armazenamento do Azure, indexação de blob do Armazenamento do Azure e notificações da Grade de Eventos do Azure.

Tratamento de possíveis falsos positivos e falsos negativos

Se você tiver um arquivo que você suspeita que pode ser malware, mas não está sendo detetado (falso negativo) ou está sendo detetado incorretamente (falso positivo), você pode enviá-lo para nós para análise através do portal de envio de amostra. Selecione "Microsoft Defender for Storage" como a fonte.

O Defender for Cloud permite suprimir alertas de falsos positivos. Certifique-se de limitar a regra de supressão usando o nome do malware ou o hash do arquivo.

A Verificação de Malware não bloqueia automaticamente o acesso ou altera as permissões para o blob carregado, mesmo que seja mal-intencionado.

Limitações

Funcionalidades e serviços não suportados

  • Contas de armazenamento não suportadas: as contas de armazenamento v1 herdadas não são suportadas pela verificação de malware.

  • Serviço sem suporte: os Arquivos do Azure não são suportados pela verificação de malware.

  • Regiões sem suporte: Jio India West, Korea South, South Africa West.

  • Regiões que são suportadas pelo Defender for Storage, mas não pela verificação de malware. Saiba mais sobre a disponibilidade do Defender for Storage.

  • Tipos de blob não suportados: os blobs Append e Page não são suportados para a Verificação de Malware.

  • Criptografia sem suporte: blobs criptografados do lado do cliente não são suportados, pois não podem ser descriptografados antes da verificação pelo serviço. No entanto, há suporte para dados criptografados em repouso pela Chave Gerenciada pelo Cliente (CMK).

  • Resultados de marcas de índice sem suporte: o resultado da verificação de marcas de índice não é suportado em contas de armazenamento com namespace hierárquico habilitado (Azure Data Lake Storage Gen2).

  • Grade de Eventos: os tópicos da Grade de Eventos que não têm o acesso à rede pública habilitado (ou seja, conexões de ponto de extremidade privadas) não são suportados pela verificação de malware no Defender for Storage.

Capacidade de taxa de transferência e limite de tamanho de blob

  • Limite da taxa de transferência da verificação: a verificação de malware pode processar até 2 GB por minuto para cada conta de armazenamento. Se a taxa de upload de arquivos exceder momentaneamente esse limite para uma conta de armazenamento, o sistema tentará verificar os arquivos além do limite de taxa. Se a taxa de upload de arquivos exceder consistentemente esse limite, alguns blobs não serão verificados.
  • Limite de verificação de Blob: a verificação de malware pode processar até 2.000 arquivos por minuto para cada conta de armazenamento. Se a taxa de upload de arquivos exceder momentaneamente esse limite para uma conta de armazenamento, o sistema tentará verificar os arquivos além do limite de taxa. Se a taxa de upload de arquivos exceder consistentemente esse limite, alguns blobs não serão verificados.
  • Limite de tamanho de blob: O limite de tamanho máximo para um único blob a ser verificado é de 2 GB. Os blobs maiores que o limite não serão verificados.

Carregamentos de blob e atualizações de tags de índice

Ao carregar um blob para a conta de armazenamento, a verificação de malware inicia uma operação de leitura extra e atualiza a tag de índice. Na maioria dos casos, essas operações não geram carga significativa.

Impacto nas IOPS de acesso e armazenamento

Apesar do processo de digitalização, o acesso aos dados carregados permanece inalterado e o impacto nas IOPS (Input/Output Operations Per Second) de armazenamento é mínimo.

Limitações em comparação com o Microsoft Defender for Endpoint

O Defender for Storage utiliza o mesmo mecanismo antimalware e assinaturas atualizadas do Defender for Endpoint para verificar se há malware. No entanto, quando os arquivos são carregados no Armazenamento do Azure, eles não têm determinados metadados dos quais o mecanismo antimalware depende. Essa falta de metadados pode levar a uma taxa maior de deteções perdidas, conhecidas como "falsos negativos", no Armazenamento do Azure em comparação com as detetadas pelo Defender for Endpoint.

Seguem-se alguns exemplos de metadados em falta:

  • Marca da Web (MOTW): MOTW é um recurso de segurança do Windows que rastreia arquivos baixados da internet. No entanto, quando os arquivos são carregados no Armazenamento do Azure, esses metadados não são preservados.

  • Contexto do caminho do arquivo: em sistemas operacionais padrão, o caminho do arquivo pode fornecer contexto adicional para a deteção de ameaças. Por exemplo, um arquivo tentando modificar locais do sistema (por exemplo, C:\Windows\System32) seria sinalizado como suspeito e estaria sujeito a uma análise mais aprofundada. No Armazenamento do Azure, o contexto de caminhos de arquivo específicos dentro do blob não pode ser utilizado da mesma maneira.

  • Dados comportamentais: o Defender for Storage analisa o conteúdo dos arquivos sem executá-los. Ele inspeciona os arquivos e pode emular sua execução para verificar se há malware. No entanto, essa abordagem pode não detetar certos tipos de malware que revelam sua natureza maliciosa apenas durante a execução.

Próximos passos

Saiba mais sobre como configurar a resposta para resultados de verificação de malware.