Verificação de malware ao carregar
A verificação de malware durante o upload no Microsoft Defender para Armazenamento verifica automaticamente os blobs quando eles são carregados ou modificados, fornecendo detecção praticamente em tempo real contra conteúdos maliciosos. Essa solução nativa da nuvem e baseada em SaaS usa o Microsoft Defender Antivírus para executar verificações abrangentes de malware, garantindo que as contas de armazenamento permaneçam seguras sem a necessidade de infraestruturas ou manutenções adicionais.
Ao integrar a verificação durante o upload às contas de armazenamento, o seguinte é possível:
- Evitar uploads maliciosos: impeça a entrada de malware no ambiente de armazenamento a partir do ponto de upload.
- Simplifique o gerenciamento da segurança: aproveite a verificação automática sem implantar ou gerenciar agentes.
- Melhorar a conformidade: atenda aos requisitos regulatórios para garantir que todos os dados carregados sejam verificados em busca de malware.
O upload de malware é uma das principais ameaças ao armazenamento em nuvem, porque arquivos maliciosos podem entrar e se espalhar em uma organização por meio de serviços de armazenamento em nuvem. O Microsoft Defender para Armazenamento fornece uma solução integrada para minimizar esse risco com recursos antimalware abrangentes.
Casos de uso comuns para a verificação de malware durante o upload
Aplicativos da Web: uploads seguros de conteúdos gerados pelo usuário em aplicativos da Web, como aplicativos de impostos, sites de upload de currículos e uploads de recibos.
Distribuição de conteúdo: proteja ativos como imagens e vídeos compartilhados em grande escala por meio de hubs de conteúdo ou CDNs (redes de entrega de conteúdo), que podem ser pontos comuns de distribuição de malware.
Requisitos de conformidade: atenda aos padrões regulatórios, como NIST, SWIFT e GDPR, verificando conteúdos não confiáveis, em especial nos setores regulamentados.
Integração de terceiros: faça a verificação de dados de terceiros, como conteúdos de parceiros comerciais ou prestadores de serviço, para evitar riscos de segurança.
Plataformas colaborativas: garanta uma colaboração segura entre equipes e organizações verificando os conteúdos compartilhados.
Pipelines de dados: mantenha a integridade dos dados nos processos de ETL (extração, transformação e carregamento) e garanta que nenhum malware entre por meio de diversas fontes de dados.
Dados de treinamento de machine learning: proteja a qualidade dos dados de treinamento e garanta que os conjuntos de dados sejam limpos e seguros, em especial quando contêm conteúdos gerados pelo usuário.
Observação
A verificação de malware é um serviço quase em tempo real. Os tempos de verificação podem variar de acordo com o tamanho do arquivo, o tipo do arquivo, a carga do serviço e a atividade da conta de armazenamento.
Habilitar a verificação de malware no upload
Pré-requisitos
- Permissões: função de proprietário ou colaborador na conta de armazenamento ou na assinatura ou funções específicas com as permissões necessárias.
- Defender para Armazenamento: deve estar habilitado em contas de armazenamento individuais ou assinaturas.
Para habilitar e configurar a verificação de malware em suas assinaturas, mantendo o controle detalhado sobre contas de armazenamento individuais, você pode usar um dos seguintes métodos:
- Usar a política interna do Azure = usar programaticamente modelos de infraestrutura como código, incluindo modelos do Terraform, do Bicep e do ARM
- Usando o Portal do Azure
- Usando o PowerShell
- Usar diretamente a API REST
Quando a verificação de malware está habilitada, um recurso de tópico do sistema da Grade de Eventos é criado automaticamente no mesmo grupo de recursos da conta de armazenamento. Ele é usado pelo serviço de verificação de malware para detectar gatilhos de upload de blobs.
Para obter instruções detalhadas, confira Implantar o Microsoft Defender para Armazenamento.
Controle de custos para verificação de malware no upload
A verificação de malware é cobrada por GB verificado. Para garantir a previsibilidade de custos, a verificação de malware dá suporte à definição de um limite para a quantidade de GB verificados em um único mês por conta de armazenamento.
Importante
A verificação de malware no Defender para Armazenamento não está incluída no teste gratuito de 30 dias e é cobrada a partir do primeiro dia de acordo com o esquema de preços disponível na página de preços do Defender para Nuvem.
O mecanismo de limitação define um limite de verificação mensal, medido em GB (gigabytes), para cada conta de armazenamento. Esse valor serve como uma medida eficaz de controle de custos. Se um limite de verificação predefinido for atingido para uma conta de armazenamento em um único mês, a operação de verificação será interrompida automaticamente. Essa interrupção ocorre quando o limite é atingido, com um desvio de até 20 GB. Nenhum arquivo é verificado em busca de malware depois de atingir esse limite. O limite é redefinido no final de cada mês à meia-noite (UTC). A atualização do arremate de extremidade normalmente leva até uma hora para entrar em vigor.
Por padrão, um limite de 5 TB (5.000 GB) será estabelecido se nenhum mecanismo de limitação específico for definido.
Dica
Você pode definir o mecanismo de limitação em contas de armazenamento individuais ou em uma assinatura inteira (cada conta de armazenamento na assinatura será alocada o limite definido no nível da assinatura).
Como funciona a verificação de malware
Fluxo de verificação de malware durante o upload
As verificações durante o upload são disparadas por qualquer operação que resulte em um evento BlobCreated, conforme especificado na documentação Armazenamento de Blobs do Azure como fonte da Grade de Eventos. Essas operações incluem:
- Upload de novos blobs: quando um novo blob é adicionado a um contêiner
- Substituição de blobs atuais: quando um blob atual é substituído por um novo conteúdo
- Conclusão de alterações em blobs: operações como
PutBlockListouFlushWithCloseque confirmam alterações em um blob
Observação
Operações incrementais, como AppendFile no Azure Data Lake Storage Gen2 e PutBlock no Azure BlockBlob, não disparam uma verificação de malware de maneira independente. A verificação de malware só ocorre quando essas adições são finalizadas por meio de operações de confirmação como PutBlockList ou FlushWithClose. Cada confirmação pode iniciar uma nova verificação, o que pode aumentar os custos quando os mesmos dados são verificados diversas vezes devido a atualizações incrementais.
Processo de verificação
- Detecção de eventos: quando ocorre um evento
BlobCreated, o serviço de verificação de malware detecta a alteração. - Recuperação de blobs: o serviço lê com segurança o conteúdo do blob na mesma região da conta de armazenamento.
- Verificação na memória: o conteúdo é verificado na memória usando o Microsoft Defender Antivírus com definições de malware atualizadas.
- Geração de resultados: o resultado da verificação é gerado e as ações apropriadas são tomadas com base nas descobertas.
- Descarte de conteúdo: o conteúdo verificado não é retido e é excluído imediatamente após a verificação.
Taxa de transferência e capacidade de verificação de malware no upload
A verificação de malware durante o upload tem limites específicos de capacidade e taxa de transferência para garantir desempenho e eficiência em operações de larga escala. Esses limites ajudam a controlar o volume de dados que podem ser processados por minuto, garantindo um equilíbrio entre proteção praticamente em tempo real e carga do sistema.
- Limite de taxa de transferência da verificação: A verificação de malware no upload pode processar até 50 GB por minuto por conta de armazenamento. Quando a taxa de uploads de blobs excede esse limite momentaneamente, o sistema enfileira os arquivos e tenta verificá-los. No entanto, se a taxa de upload ultrapassar consistentemente o limite, alguns blobs poderão não ser verificados.
Aspectos compartilhados com a verificação sob demanda
As seções a seguir são aplicáveis à verificação de malware sob demanda e durante o upload.
- Custos adicionais, incluindo operações de leitura do Armazenamento do Microsoft Azure, indexação de blobs e notificações da Grade de Eventos.
- Visualização e consumo de resultados de verificação: métodos como marcas de índice de Blob, alertas de segurança do Defender para Nuvem, eventos da Grade de Eventos e Log Analytics.
- Automação de resposta: automatize ações como bloquear, excluir ou mover arquivos com base nos resultados da verificação.
- Conteúdo com suporte e limitações: abrange tipos de arquivos com suporte, tamanhos, criptografia e limitações regionais.
- Acesso e privacidade de dados: detalhes sobre como o serviço acessa e processa seus dados, inclusive considerações de privacidade.
- Lidar com falsos positivos e falsos negativos: etapas para enviar arquivos para revisão e criar regras de supressão.
- Verificações de blobs e impacto no IOPS: saiba como as verificações disparam operações de leitura adicionais e atualizam marcas de índice de blobs.
Para saber mais sobre esses tópicos, confira a página Introdução à verificação de malware.
Práticas recomendadas e dicas
- Defina limites de controle de custos para contas de armazenamento, em especial aquelas com alto tráfego de upload, para gerenciar e otimizar as despesas de maneira eficaz.
- Use o Log Analytics para rastrear o histórico de verificações para fins de conformidade e auditoria.
- Se o caso de uso exigir um mecanismo de resposta, considere configurar respostas automatizadas (por exemplo, ações de quarentena ou exclusão) usando a Grade de Eventos e os Aplicativos Lógicos. Para obter orientações detalhadas sobre a configuração, confira Configurar respostas na verificação de malware.
Dica
Recomendamos que você explore o recurso de verificação de malware no Defender para Armazenamento por meio do nosso laboratório prático. Siga as instruções de treinamento do Ninja para obter um guia detalhado sobre configuração, teste e configuração de respostas.