Verificação de Malware do Microsoft Defender para Armazenamento – Microsoft Defender for Cloud
outubro 6, 2023
O que é o Microsoft Defender para Armazenamento?
O Microsoft Defender para Armazenamento é uma solução nativa do Azure que oferece uma camada avançada de inteligência para detecção e mitigação de ameaças em contas de armazenamento, alimentada pela Inteligência contra Ameaças da Microsoft.
O que é a verificação de malware do Defender para Armazenamento?
Em 1º de setembro de 2023 a Microsoft disponibilizou em GA (Disponibilidade Geral) a verificação de Malware do Defender para o Azure Blob Storage.
A varredura de malware no Defender para Armazenamento ajuda a proteger as contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa em busca de malware no conteúdo carregado quase em tempo real, aplicando os recursos do Microsoft Defender Antivírus.
Em resumo uma verificação de infecção em um arquivo é realizada no Blob Storage antes que ele seja acessado, garantindo assim a segurança do recurso.
Casos de uso e cenários comuns de utilização para verificação de malware do defender: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-malware-scan#common-use-cases-and-scenarios
O que é o Azure Blob Storage?
Sobre o armazenamento de Blob (objeto) – Azure Storage | Microsoft Learn
Requisitos da Verificação de Malware do Defender para Armazenamento
| Tipos de armazenamento com suporte: | Armazenamento de Blobs (Armazenamento Standard/PremiumV2, incluindo o Data Lake Gen2) |
| Funções e permissões necessárias: | proprietário da assinatura/proprietário da conta de armazenamento |
| Tipo de nuvens | Nuvens Comerciais |
| Preço | Defender para Armazenamento: USD 10/contas de armazenamento/mês * As contas de armazenamento que excederem 73 milhões de transações mensais serão cobradas USD 0,1492 por cada 1 milhão de transações que excederem o limite. ** A Verificação de Malware é oferecida a US$ 0,15/GB de dados ingeridos. Os clientes são incentivados a usar o recurso “Limite mensal” para definir o limite de GBs verificados por mês por conta de armazenamento e controlar os custos usando esse recurso. |
O provedor de recursos do Event Grid deve ser registrado
Configurando a verificação de Malware do Defender para Armazenamento
No Portal do Azure em Microsoft Defender for Cloud > Configurações do Ambiente > Planos do Defender a proteção para Armazenamento deve estar ativada e marcando as opções de conta de armazenamento e verificação de malware:
Ao acessar a Conta de Armazenamento > Segurança + rede > Microsoft Defender para Nuvem clique em configurações do Microsoft Defender para Armazenamento, aqui se deve habilitar o recurso de verificação de malware* para a conta de armazenamento selecionada e limitar a quantidade de GB que serão verificados por mês** (importante se atentar esse item para não ter surpresas quanto a um possível custo elevado de consumo de recurso).
Um tópico do Azure Event Grid*** e um espaço de trabalho do Log Analytics**** podem ser criados opcionalmente para armazenar as informações e permitir um método de verificação de resultado extra.
Criar Event Grid: Criar um tópico Grade de Eventos do Azure ou um domínio – Azure Event Grid | Microsoft Learn
Criar Espaço de trabalho do Log Analytics: Criar workspace do Log Analytics – Azure Monitor | Microsoft Learn
Resultados de verificação
Os resultados de verificação são exibidos na guia de alertas do Defender for Cloud, com os dados da verificação.
Caso configure o Event Grid e Log Analytics os dados são distribuídos da seguinte forma:
Recursos e serviços sem suporte
- Contas de armazenamento sem suporte: as contas de armazenamento v1 herdadas não tem suporte para verificação de malware.
- Serviço sem suporte: não há suporte para Arquivos do Azure pela verificação de malware.
- Tipos de blobs sem suporte: Blobs de Anexo e Páginas não têm suporte para verificação de malware.
- Criptografia sem suporte: Não há suporte para blobs criptografados do lado do cliente, pois eles não podem ser descriptografados antes da verificação pelo serviço. No entanto, há suporte para dados criptografados em repouso pela CMK (Chave Gerenciada pelo Cliente).
- Resultados da marca de índice sem suporte: A marca de índice não tem suporte nas contas de armazenamento com o namespace hierárquico habilitado (Azure Data Lake Storage Gen2)
- Grade de Eventos: os tópicos da Grade de Eventos que não têm acesso à rede pública habilitado (ou seja, conexões do ponto de extremidade privado) não têm suporte da verificação de malware no Defender para Armazenamento.
Conclusão
Recomendamos a proteção das contas de armazenamento através da verificação de Malware, principalmente em cenários onde aplicações Web ou de terceiros são conectadas ao Blob Storage, assim caso um arquivo infectado seja injetado na aplicação ou através de uma fonte externa a verificação de malware fará a camada de proteção dentro do armazenamento evitando que o arquivo infecte outras fontes.