Configurações avançadas para verificação de malware no Microsoft Defender para Armazenamento
A verificação de malware pode ser configurada para enviar resultados de verificação para o seguinte:
- Tópico personalizado da Grade de Eventos: para resposta automática quase em tempo real com base em cada resultado de verificação.
- Espaço de trabalho do Log Analytics: para armazenar cada resultado de verificação em um repositório de logs centralizado para conformidade e auditoria.
Obtenha mais informações sobre como configurar a resposta para os resultados da verificação de malware.
Dica
Recomendamos que você experimente as instruções do treinamento Ninja, um laboratório prático, para testar a verificação de malware no Defender para Armazenamento, utilizando instruções detalhadas passo a passo sobre como testar a verificação de malware de ponta a ponta com a configuração de respostas aos resultados da verificação. Isso faz parte do projeto "laboratórios", que ajuda os clientes a se familiarizarem com o Microsoft Defender para Nuvem e oferece experiência prática com seus recursos.
Configurar o log para a verificação de malware
Para cada conta de armazenamento habilitada com a verificação de malware, é possível definir um destino do Workspace do Log Analytics para armazenar todos os resultados da verificação em um repositório de logs centralizado que seja fácil de consultar.
Antes de enviar os resultados da verificação para o Log Analytics, crie um workspace do Log Analytics ou use um existente.
Para configurar o destino do Log Analytics, navegue até a conta de armazenamento relevante, abra a guia Microsoft Defender para Nuvem e selecione as configurações a serem definidas.
Essa configuração também pode ser executada usando a API REST:
URL da solicitação:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview
Corpo da solicitação:
{
"properties": {
"workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
"logs": [
{
"category": "ScanResults",
"enabled": true,
"retentionPolicy": {
"enabled": true,
"days": 180
}
}
]
}
}
Observação
O portal do Azure lista workspaces do Log Analytics da mesma assinatura que a conta de armazenamento. A API REST pode ser usada para configurar um workspace do Log Analytics de uma assinatura diferente do mesmo locatário, conforme descrito anteriormente.
Os resultados da verificação serão registrados em uma tabela chamada StorageMalwareScanningResults. Esta tabela é criada quando o primeiro resultado da verificação é registrado.
Configurar a Grade de Eventos para a verificação de malware
Para cada conta de armazenamento habilitada com a verificação de malware, você pode configurar o envio de cada resultado de verificação utilizando um evento da Grade de Eventos para fins de automação.
Para configurar a Grade de Eventos para enviar resultados de verificação, primeiro você precisa criar um tópico personalizado com antecedência. Consulte a documentação da Grade de Eventos sobre como criar tópicos personalizados para obter diretrizes. Certifique-se de que o tópico personalizado da Grade de Eventos de destino seja criado na mesma região que a conta de armazenamento da qual você deseja enviar os resultados da verificação.
Para configurar o destino do tópico personalizado da Grade de Eventos, acesse a conta de armazenamento relevante, abra a guia Microsoft Defender para Nuvem e selecione as configurações a serem definidas.
Observação
Ao definir um tópico personalizado da Grade de Eventos, você deve definir Substituir as configurações no nível da assinatura do Defender para Armazenamento como Ligado para verificar se ele substitui as configurações no nível de assinatura.
Observação
O portal do Azure lista os tópicos da Grade de Eventos da mesma assinatura que a conta de armazenamento. A API REST pode ser usada para configurar um tópico da Grade de Eventos de uma assinatura diferente do mesmo locatário, conforme descrito na seção a seguir. Essa configuração também pode ser executada usando a API REST:
URL da solicitação:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Corpo da solicitação:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
},
"scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}"
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Substituir as configurações no nível da assinatura do Defender para Armazenamento
As configurações no nível da assinatura herdam as configurações do Defender para Armazenamento em cada conta de armazenamento na assinatura. Utilize Substituir as configurações no nível da assinatura do Defender para Armazenamento para definir as configurações das contas de armazenamento de pessoas diferentes daquelas configuradas no nível da assinatura.
A substituição das configurações das assinaturas é normalmente utilizada nos seguintes cenários:
- Habilite/desabilite os recursos de Verificação de malware ou de Detecção de ameaças à confidencialidade de dados.
- Definir configurações personalizadas para verificação de malware.
- Desabilitar o Microsoft Defender para Armazenamento em contas de armazenamento específicas.
Observação
Recomendamos que você habilite o Defender para Armazenamento em toda a assinatura para proteger todas as contas de armazenamento existentes e futuras nela. No entanto, há alguns casos em que você deseja excluir contas de armazenamento específicas da proteção do Defender. Se você decidiu excluir, siga as etapas na seção a seguir para usar a configuração de substituição e desabilite a conta de armazenamento relevante. Se estiver utilizando o Defender para Armazenamento (clássico), você também pode excluir contas de armazenamento.
Portal do Azure
Para definir as configurações das contas de armazenamento de pessoas diferentes daquelas configuradas no nível da assinatura, utilizando o portal do Microsoft Azure:
Entre no portal do Azure.
Navegue até a conta de armazenamento que você deseja para definir configurações personalizadas.
Na seção Segurança e rede do menu Conta de armazenamento, selecione Microsoft Defender para Nuvem.
Selecione Habilitar o Microsoft Defender para Armazenamento.
Defina o status de Substituir as configurações no nível da assinatura do Defender para Armazenamento (em Configurações avançadas) como Ativado. Isso garante que as configurações sejam salvas apenas para essa conta de armazenamento e não sejam invadidas pelas configurações de assinatura.
Defina as configurações que você deseja alterar:
Para habilitar a verificação de malware ou a detecção de ameaças de dados confidenciais, defina o status como Ativado.
Para modificar as configurações de verificação de malware:
Alterne a opçãoVerificação de malware ao carregar para Ativada se ainda não estiver habilitada.
Para ajustar o limite mensal da verificação de malware nas suas contas de armazenamento, é possível modificar o parâmetro chamado Definir limite de GB verificados por mês para o valor desejado. Esse parâmetro determina a quantidade máxima de dados que podem ser verificados quanto a malware a cada mês, especificamente para cada conta de armazenamento. Se você quiser permitir a verificação ilimitada, poderá desmarcar esse parâmetro. Por padrão, o limite será definido em 5.000 GB.
Para desabilitar o Defender para Armazenamento nessa conta de armazenamento, defina o status do Microsoft Defender para Armazenamento como Desligado.
Selecione Salvar.
API REST
Para definir as configurações das contas de armazenamento de pessoas diferentes daquelas configuradas no nível da assinatura, utilizando a API REST:
Crie uma solicitação PUT com esse ponto de extremidade. Substitua subscriptionId, resourceGroupName e accountName no URL do ponto de extremidade pela sua própria ID da assinatura do Azure, grupo de recursos e nomes de conta de armazenamento adequadamente.
URL da solicitação:
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview
Corpo da solicitação:
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
Para habilitar a verificação de malware ou a detecção de ameaças a dados confidenciais, defina o valor de isEnabled como verdadeiro nos recursos relevantes.
Para modificar as configurações da verificação de malware, edite os campos relevantes em onUpload, verifique se o valor de isEnabled é verdadeiro. Se quiser permitir a verificação ilimitada, atribua o valor -1 ao parâmetro capGBPerMonth.
Para desabilitar o Defender para Armazenamento nestas contas de armazenamento, use o seguinte corpo da solicitação:
{ "properties": { "isEnabled": false, "overrideSubscriptionLevelSettings": true } }
Verifique se você adicionou o parâmetro overrideSubscriptionLevelSettings e se seu valor está definido como verdadeiro. Isso garante que as configurações sejam salvas apenas para essa conta de armazenamento e não sejam invadidas pelas configurações de assinatura.
Próxima etapa
Saiba mais sobre as configurações de verificação de malware.