Condividi tramite

Analisi di malware su richiesta

  • Articolo

L'analisi di malware su richiesta in Microsoft Defender per Archiviazione consente di analizzare i BLOB esistenti negli account Archiviazione di Azure quando necessario. Questa funzionalità offre flessibilità per analizzare i dati archiviati in risposta ai requisiti di sicurezza in continua evoluzione, alle esigenze di conformità o agli eventi imprevisti di sicurezza, garantendo la protezione continua dei dati.

Usando Antivirus Microsoft Defender con le definizioni di malware più recenti, l'analisi su richiesta offre una soluzione nativa del cloud. Non richiede un'ulteriore infrastruttura o un sovraccarico operativo. Questo approccio risolve le lacune nella copertura, in particolare per i dati caricati prima dell'abilitazione dell'analisi. Aiuta anche quando emergono nuove minacce, consentendo di proteggere in modo proattivo i file archiviati e ridurre la potenziale esposizione negli ambienti cloud.

Casi d'uso comuni per l'analisi di malware su richiesta

L'uso dell'analisi di malware su richiesta in Microsoft Defender per Archiviazione offre i vantaggi seguenti:

  • Rispondere agli eventi di sicurezza: analizzare immediatamente gli account di archiviazione quando vengono rilevati avvisi di sicurezza o attività sospette.
  • Garantire la conformità: eseguire analisi pianificate o su richiesta per soddisfare i requisiti di protezione dei dati e conformità alle normative.
  • Gestione proattiva della sicurezza: impostare analisi ricorrenti per mantenere un ambiente costantemente sicuro.
  • Creare una baseline di sicurezza: analizzare i dati esistenti al primo abilitazione di Defender per Archiviazione per stabilire una baseline per la sicurezza futura.

Il malware può infiltrarsi negli ambienti di archiviazione cloud e comportare rischi significativi per le organizzazioni. L'analisi di malware su richiesta offre una soluzione predefinita nativa del cloud per rilevare e attenuare queste minacce analizzando i dati esistenti per individuare contenuti dannosi.

Aspetti condivisi con l'analisi on-upload

Le sezioni seguenti sono applicabili sia all'analisi di malware su richiesta che su richiesta.

  • Costi aggiuntivi, tra cui Archiviazione di Azure operazioni di lettura, indicizzazione BLOB e notifiche di Griglia di eventi.
  • Visualizzazione e utilizzo dei risultati dell'analisi: metodi come tag di indice BLOB, avvisi di sicurezza Defender per il cloud, eventi di Griglia di eventi e Log Analytics.
  • Automazione delle risposte: automatizzare azioni come il blocco, l'eliminazione o lo spostamento di file in base ai risultati dell'analisi.
  • Contenuto e limitazioni supportati: vengono illustrati i tipi di file supportati, le dimensioni, la crittografia e le limitazioni dell'area.
  • Accesso e privacy dei dati: informazioni dettagliate sul modo in cui il servizio accede ai dati ed elabora i dati, incluse le considerazioni sulla privacy.
  • Gestione di falsi positivi e falsi negativi: passaggi per l'invio di file per la revisione e la creazione di regole di eliminazione.
  • Analisi dei BLOB e impatto sulle operazioni di I/O al secondo: informazioni su come le analisi attivano altre operazioni di lettura e aggiornano i tag di indice BLOB.

Per informazioni dettagliate su questi argomenti, vedere la pagina Introduzione all'analisi malware.

Avviare analisi su richiesta

Informazioni sul processo di analisi su richiesta

  • Stima dei costi: prima di avviare un'analisi, il portale di Azure fornisce un costo stimato in base alla metrica e al volume di dati della capacità BLOB, offrendo visibilità sui potenziali costi di analisi.
  • Avvio dell'analisi: le analisi possono essere avviate manualmente dalla portale di Azure, attivate a livello di codice tramite l'API REST o automatizzate tramite App per la logica, runbook di Automazione o script di PowerShell, abilitando l'integrazione in vari flussi di lavoro.
  • Elenco e invio di BLOB per l'analisi: dopo l'avvio di un'analisi, il sistema elenca tutti i BLOB supportati nell'account di archiviazione e li invia per l'analisi in parallelo. A seconda della quantità e delle dimensioni del BLOB, questo processo potrebbe richiedere da pochi minuti a diverse ore.
  • Monitoraggio dello stato di avanzamento: è possibile tenere traccia dello stato di avanzamento dell'analisi tramite la portale di Azure o l'API, con informazioni dettagliate sul numero di BLOB analizzati, file ignorati, volume di dati, file dannosi rilevati, stato dell'analisi e durata.
  • Completamento e risultati: dopo l'analisi di tutti i BLOB, il sistema contrassegna l'analisi come completa e fornisce un riepilogo dei risultati. L'API può essere usata anche per eseguire query sui dettagli dell'ultima analisi.

Considerazioni essenziali

  • Limitazione dell'analisi singola: una sola analisi su richiesta può essere eseguita per ogni account di archiviazione alla volta.
  • Annullamento: le analisi possono essere annullate solo durante le fasi iniziali dell'analisi.

Prerequisiti

  • Autorizzazioni: ruolo Proprietario o Collaboratore per la sottoscrizione o l'account di archiviazione o ruoli specifici con le autorizzazioni necessarie.
  • Defender per Archiviazione con analisi malware: deve essere abilitato nella sottoscrizione o nei singoli account di archiviazione.

Dal portale di Azure

  1. Accedere al portale di Azure e passare all'account di archiviazione.

  2. In Sicurezza e rete selezionare Microsoft Defender per il cloud.

    Screenshot di come selezionare Defender per il cloud nell'account di archiviazione.

  3. Nella sezione Analisi malware su richiesta valutare il costo stimato in base al volume di dati.

    Screenshot del costo stimato per l'analisi di malware su richiesta.

  4. Selezionare Analizza BLOB per individuare malware per avviare l'analisi. Quando richiesto, confermare l'azione.

    Screenshot di come avviare un'analisi del malware.

  5. Monitorare lo stato di avanzamento:

    • Lo stato e i risultati dell'analisi vengono aggiornati ogni 20-30 secondi.

    • Visualizzare i dettagli, ad esempio lo stato dell'analisi, i BLOB analizzati, i dati analizzati, i BLOB dannosi trovati e la durata dell'analisi.

  6. Esaminare i risultati:

    • Se vengono trovate minacce, esaminare i dettagli nella sezione Eventi imprevisti e avvisi di sicurezza.

    • Aggiornare la pagina se gli avvisi non sono immediatamente visibili.

    Screenshot dei risultati dell'analisi per l'analisi di malware su richiesta.

Nota

È possibile annullare un'analisi in corso selezionando Annulla. L'annullamento è possibile solo durante le fasi iniziali dell'analisi, prima che raggiunga lo stato In attesa di completamento . Una volta che l'analisi entra in questo stato o oltre, non è possibile annullare.

Usare l'API REST

Avviare l'analisi

Per avviare un'analisi malware usando l'API REST, seguire questa procedura:

  • Request URL (URL richiesta):

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview

  • Autenticazione:

    • Assicurarsi di aver ottenuto un token di connessione valido. Questa operazione è necessaria per l'accesso all'API.

  • Esempio:

    POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...

Controllare lo stato e i risultati dell'analisi

Dopo l'avvio di un'analisi, è possibile controllare lo stato ed esaminare i risultati usando i comandi seguenti:

  • Request URL (URL richiesta):

    GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview

  • Esempio di risposta:

    {
  "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
  "scanStatus": "InProgress",
  "scanStartTime": "2024-10-03T12:34:56Z",
  "scanSummary": {
    "blobs": {
      "totalBlobsScanned": 150,
      "maliciousBlobsCount": 2,
      "skippedBlobsCount": 0,
      "scannedBlobsInGB": 10.5
    },
    "estimatedScanCostUSD": 1.575
  }
}

Annullare un'analisi

È possibile annullare un'analisi in corso solo durante le fasi iniziali. Quando l'analisi raggiunge lo stato WaitingForCompletion o oltre, l'annullamento non è possibile. Per annullare l'analisi, inviare la richiesta di annullamento seguente:

  • Request URL (URL richiesta):

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview

Considerazioni sui costi

Prima di avviare un'analisi su richiesta, il portale di Azure fornisce una stima dei costi basata sulla metrica Capacità BLOB, aggiornata ogni poche ore. La stima viene mostrata in USD e riflette il costo per GB analizzato. A differenza dell'analisi sul caricamento, non esiste un limite mensile: i costi sono interamente basati sull'utilizzo.

Procedure consigliate per il controllo dei costi

  • Esaminare le stime dei costi: controllare sempre il costo stimato nel portale di Azure prima di avviare un'analisi.
  • Impostare la frequenza di analisi in modo saggio: pianificare o automatizzare le analisi in base al rischio, concentrandosi sui dati ad alta priorità per evitare costi non necessari.
  • Automatizzare in modo efficiente: assicurarsi che l'automazione attivi le analisi solo quando necessario, ad esempio in risposta a eventi o avvisi specifici.

Procedure consigliate

Per ottimizzare l'efficacia dell'analisi di malware su richiesta in Microsoft Defender per Archiviazione, prendere in considerazione i consigli seguenti:

  • Integrazione con la risposta agli eventi imprevisti: usare l'analisi su richiesta per risolvere rapidamente gli eventi imprevisti di sicurezza analizzando i file potenzialmente compromessi in risposta agli avvisi.
  • Automatizzare le analisi di conformità: configurare analisi automatiche e regolari per garantire la conformità continua ai requisiti normativi e all'idoneità ai controlli. Usare App per la logica o runbook per semplificare questo processo.
  • Configurare risposte automatizzate per analizzare i risultati: configurare flussi di lavoro automatizzati che rispondono ai risultati dell'analisi malware, ad esempio lo spostamento di file infetti in quarantena o l'inoltro di file puliti.
  • Gestire i costi in modo proattivo: esaminare sempre le stime dei costi fornite nella portale di Azure prima di avviare le analisi, soprattutto per set di dati di grandi dimensioni o analisi frequenti.
  • Monitorare i risultati in modo coerente: monitorare continuamente i risultati dell'analisi e gli avvisi di sicurezza per rimanere informati sulle potenziali minacce e intraprendere azioni tempestive.

Contenuto correlato