Schadsoftwareüberprüfung in Defender for Storage

Die Überprüfung auf Schadsoftware in Defender for Storage hilft Ihnen, Ihren Azure Blob Storage vor bösartigen Inhalten zu schützen, indem es mit Hilfe der Microsoft Defender Antivirus-Funktionen nahezu in Echtzeit eine vollständige Überprüfung der hochgeladenen Inhalte auf Schadsoftware durchführt. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen.

Die Funktion der Schadsoftwareüberprüfung ist eine SaaS-Lösung ohne Agent, die eine einfache Einrichtung im großen Stil ohne Wartungsaufwand ermöglicht und die Automatisierung der Reaktion im großen Stil unterstützt.

Diagramm, das zeigt, wie die Schadsoftwareüberprüfung Ihre Daten vor schädlichem Code schützt.

Schadsoftwareupload ist eine der wichtigsten Bedrohungen für Cloudspeicher

Inhalte, die in den Cloudspeicher hochgeladen werden, können Schadsoftware sein. Speicherkonten können ein Einstiegspunkt für Schadsoftware in die Organisation und ein Verteilungspunkt für Schadsoftware sein. Um Organisationen vor dieser Bedrohung zu schützen, müssen Inhalte im Cloudspeicher vor dem Zugriff auf Schadsoftware überprüft werden.

Die Schadsoftwareüberprüfung in Defender for Storage hilft beim Schutz von Speicherkonten vor schädlichen Inhalten

  • Eine integrierte SaaS-Lösung, die eine einfache Aktivierung im großen Stil ohne Wartungsaufwand ermöglicht.
  • Umfassende Antischadsoftware-Funktionen mit Microsoft Defender Antivirus (MDAV), die polymorphe und metamorphe Schadsoftware abfangen.
  • Jeder Dateityp wird gescannt (einschließlich Archiven wie ZIP-Dateien), und für jeden Scan wird ein Ergebnis zurückgegeben. Die Dateigrößenbeschränkung beträgt 2 GB.
  • Unterstützt eine Reaktion im großen Stil – Löschen oder in Quarantäne verschieben verdächtiger Dateien basierend auf den Indextags oder Event Grid-Ereignissen der Blobs.
  • Wenn die Schadsoftwareüberprüfung eine schädliche Datei identifiziert, werden detaillierte Microsoft Defender for Cloud-Sicherheitswarnungen generiert.
  • Entwickelt, um Sicherheits- und Complianceanforderungen zum Scannen nicht vertrauenswürdiger Inhalte, die in den Speicher hochgeladen wurden, zu erfüllen, einschließlich einer Option zum Protokollieren jedes Scanergebnisses.

Gängige Anwendungsfälle und Szenarien

Zu den gängigen Anwendungsfällen und Szenarien für die Schadsoftwareüberprüfung in Defender for Storage gehören:

  • Webanwendungen: Viele Cloudwebanwendungen ermöglichen Benutzern das Hochladen von Inhalten in den Speicher. Dies ermöglicht einen geringen Wartungsaufwand und skalierbaren Speicher für Anwendungen wie Steuer-Apps, Personalverwaltungswebsites für das Hochladen von Lebensläufen und Websites für das Hochladen von Belegen.

  • Inhaltsschutz: Ressourcen wie Videos und Fotos werden häufig im großen Stil intern geteilt und an externe Parteien freigegeben. CDNs (Content Delivery Network) und Inhalts-Hubs sind eine klassische Möglichkeit zur Verteilung von Schadsoftware.

  • Complianceanforderungen: Ressourcen, die Compliancestandards wie NIST, SWIFT, DSGVO und andere einhalten, erfordern robuste Sicherheitsmethoden, einschließlich Schadsoftwareüberprüfungen. Dies ist für Organisationen, die in regulierten Branchen oder Regionen tätig sind, von entscheidender Bedeutung.

  • Integration von Drittanbietern: Daten von Drittanbietern können aus einer Vielzahl von Quellen stammen, und wahrscheinlich verfügen nicht alle über robuste Sicherheitsmethoden, z. B. Geschäftspartner, Entwickler und Auftragnehmer. Die Überprüfung auf Schadsoftware hilft sicherzustellen, dass diese Daten keine Sicherheitsrisiken für Ihr System einführen.

  • Kollaborative Plattformen: Ähnlich wie bei der Dateifreigabe verwenden Teams Cloudspeicher für die kontinuierliche Freigabe von Inhalten und die Zusammenarbeit zwischen Teams und Organisationen. Die Überprüfung auf Schadsoftware gewährleistet eine sichere Zusammenarbeit.

  • Datenpipelines: Daten, die durch ETL-Prozesse (Extrahieren, Übertragen, Laden) verschoben werden, können aus mehreren Quellen stammen und möglicherweise Schadsoftware enthalten. Die Überprüfung auf Schadsoftware kann dazu beitragen, die Integrität dieser Pipelines sicherzustellen.

  • Trainingsdaten für maschinelles Lesen: Die Qualität und Sicherheit der Trainingsdaten sind entscheidend für effektive Modelle für maschinelles Lernen. Es ist wichtig, sicherzustellen, dass diese Datasets sauber und sicher sind, insbesondere wenn sie benutzergenerierte Inhalte oder Daten aus externen Quellen enthalten.

    animiertes GIF, das benutzergenerierte Inhalte und Daten aus externen Daten anzeigt.

Hinweis

Der Dienst Malware-Überprüfung erfolgt nahezu in Echtzeit. Die Überprüfungszeiten können je nach gescannter Dateigröße oder Dateityp sowie beim Laden des Diensts oder des Speicherkontos variieren. Microsoft ist ständig darum bemüht, die Gesamtzeit der Überprüfung zu reduzieren, aber Sie sollten diese Variabilität in den Überprüfungszeiten berücksichtigen, wenn Sie eine Benutzererfahrung basierend auf dem Dienst entwerfen.

Voraussetzungen

Zum Aktivieren und Konfigurieren der Prüfung auf Schadsoftware benötigen Sie Besitzerrollen (z. B. Abonnementbesitzer oder Speicherkontobesitzer) oder bestimmte Rollen mit den erforderlichen Datenaktionen. Erfahren Sie mehr zu den erforderlichen Berechtigungen.

Sie können die Schadsoftwareüberprüfung im großen Stil für Ihre Abonnements aktivieren und konfigurieren, während Sie gleichzeitig die granulare Kontrolle über die Konfiguration des Features für einzelne Speicherkonten behalten. Es gibt mehrere Möglichkeiten, die Schadsoftwareüberprüfung zu aktivieren und zu konfigurieren: über eine integrierte Azure-Richtlinie (empfohlene Methode), programmgesteuert unter Verwendung von Infrastructure-as-Code-Vorlagen (einschließlich Terraform-, Bicep- und ARM-Vorlagen), über das Azure-Portal oder direkt mit der REST-API.

Wie funktioniert die Schadsoftwareüberprüfung?

Schadsoftwareüberprüfung beim Hochladen

Trigger beim Hochladen

Malwareüberprüfungen werden in einem geschützten Speicherkonto durch jeden Vorgang ausgelöst, der zu einem BlobCreated-Ereignis führt (siehe dazu Azure Blob Storage als Event Grid-Quelle). Zu diesen Vorgängen gehören das anfängliche Hochladen neuer Blobs, das Überschreiben vorhandener Blobs und das Abschließen von Änderungen an Blobs durch bestimmte Vorgänge. Abschließende Vorgänge können den Vorgang PutBlockList, der Blockblobs aus mehreren Blöcken zusammensetzt, oder den Vorgang FlushWithClose, der an einen Blob angefügte Daten in Azure Data Lake Storage Gen2 committet, umfassen.

Hinweis

Inkrementelle Vorgänge wie AppendFile in Azure Data Lake Storage Gen2 und PutBlock in Azure-Blockblobs, mit denen Daten hinzugefügt werden können, ohne den Vorgang sofort abzuschließen, lösen keine Malwareüberprüfung aus. Eine Malwareüberprüfung wird nur initiiert, wenn diese Hinzufügungen offiziell committet werden: FlushWithClose committet und finalisiert AppendFile-Vorgänge, wodurch eine Überprüfung ausgelöst wird, und PutBlockList committet Blöcke in Blockblob, wodurch eine Überprüfung initiiert wird. Das Verständnis dieses Unterschieds ist wichtig für die effektive Verwaltung der Kosten für Überprüfungen, da jeder Commit zu einer neuen Überprüfung führen kann und die Kosten potenziell erhöht, wenn inkrementell aktualisierte Daten mehrmals überprüft werden.

Scanregionen und Datenaufbewahrung

Der Schadsoftwareüberprüfungsdienst, der Microsoft Defender Antivirus-Technologien verwendet, liest das Blob. Die Schadsoftwareüberprüfung scannt den Inhalt „im Arbeitsspeicher“ und löscht gescannte Dateien sofort nach der Überprüfung. Der Inhalt wird nicht aufbewahrt. Die Überprüfung erfolgt innerhalb der gleichen Region des Speicherkontos. In einigen Fällen, wenn eine Datei verdächtig ist und mehr Daten erforderlich sind, kann die Schadsoftwareüberprüfung mit Microsoft Defender for Endpoint Dateimetadaten außerhalb der Überprüfungsregion freigeben, einschließlich Metadaten, die als Kundendaten (z. B. SHA-256-Hash) klassifiziert sind.

Zugriff auf Kundendaten

Um Ihre Daten auf Schadsoftware zu überprüfen, benötigt der Dienst für die Schadsoftwareüberprüfung Zugriff auf Ihre Daten. Während der Dienstaktivierung wird in Ihrem Azure-Abonnement eine neue Datenscannerressource namens StorageDataScanner erstellt. Dieser Ressource wird die Rollenzuweisung Besitzer von Speicherblobdaten zugewiesen, um für die Schadsoftwareüberprüfung und die Ermittlung vertraulicher Daten auf Ihre Daten zugreifen und diese ändern zu können.

Private Endpunkte werden standardmäßig unterstützt.

Die Schadsoftwareüberprüfung in Defender for Storage wird in Speicherkonten unterstützt, die private Endpunkte verwenden, wobei der Datenschutz gewahrt bleibt.

Private Endpunkte bieten sichere Konnektivität mit Ihren Azure-Speicherdiensten und eliminieren die Exposition gegenüber dem öffentlichen Internet. Sie gelten als eine bewährte Methode.

Einrichten der Schadsoftwareüberprüfung

Wenn die Schadsoftwareüberprüfung aktiviert ist, werden die folgenden Aktionen automatisch in Ihrer Umgebung ausgeführt:

  • Für jedes Speicherkonto, für das Sie die Schadsoftwareüberprüfung aktivieren, wird eine Event Grid-Systemthemaressource in derselben Ressourcengruppe des Speicherkontos erstellt, die vom Dienst für die Schadsoftwareüberprüfung verwendet wird, um auf Blobuploadtrigger zu lauschen. Das Entfernen dieser Ressource beschädigt die Funktionalität der Schadsoftwareüberprüfung.

  • Um Ihre Daten zu scannen, benötigt der Dienst für die Schadsoftwareüberprüfung Zugriff auf Ihre Daten. Während der Dienstaktivierung wird in Ihrem Azure-Abonnement eine neue Datenscannerressource namens StorageDataScanner erstellt und einer systemseitig zugewiesenen verwalteten Identität zugewiesen. Dieser Ressource wird die Rollenzuweisung „Besitzer von Speicherblobdaten“ zugewiesen, die ihr den Zugriff auf Ihre Daten zum Zwecke der Schadsoftwareüberprüfung und der Ermittlung vertraulicher Daten ermöglicht.

Wenn die Netzwerkkonfiguration Ihres Speicherkontos auf „Öffentlichen Netzwerkzugriff von ausgewählten virtuellen Netzwerken und IP-Adressen aktivieren“ festgelegt ist, wird die Ressource StorageDataScanner dem Abschnitt „Ressourceninstanzen“ unter der Netzwerkkonfiguration des Speicherkontos hinzugefügt, um den Zugriff zum Überprüfen Ihrer Daten zu ermöglichen.

Wenn Sie die Schadsoftwareüberprüfung auf Abonnementebene aktivieren, wird eine neue Sicherheitsoperatorressource mit dem Namen StorageAccounts/securityOperators/DefenderForStorageSecurityOperator in Ihrem Azure-Abonnement erstellt und einer systemseitig verwalteten Identität zugewiesen. Diese Ressource wird verwendet, um die Konfiguration von Defender for Storage und der Schadsoftwareüberprüfung für vorhandene Speicherkonten zu aktivieren und zu reparieren und um zu überprüfen, ob neue Speicherkonten vorhanden sind, die im Abonnement erstellt wurden und aktiviert werden müssen. Diese Ressource verfügt über Rollenzuweisungen, welche die spezifischen Berechtigungen enthalten, die zum Aktivieren der Schadsoftwareüberprüfung erforderlich sind.

Hinweis

Die Schadsoftwareüberprüfung hängt von bestimmten Ressourcen, Identitäten und Netzwerkeinstellungen ab, um ordnungsgemäß zu funktionieren. Wenn Sie diese ändern oder löschen, funktioniert die Schadsoftwareüberprüfung nicht mehr. Um den normalen Betrieb wiederherzustellen, können Sie die Option deaktivieren und wieder aktivieren.

Bereitstellen von Scanergebnissen

Die Scanergebnisse der Schadsoftwareüberprüfung sind über vier Methoden verfügbar. Nach der Einrichtung werden Scanergebnisse als Blobindextags für jede hochgeladene und gescannte Datei im Speicherkonto und als Microsoft Defender for Cloud-Sicherheitswarnungen angezeigt, wenn eine Datei als schädlich identifiziert wird.

Sie können zusätzliche Methoden für Scanergebnisse konfigurieren, z. B. Event Grid und Log Analytics. Diese Methoden erfordern eine zusätzliche Konfiguration. Im nächsten Abschnitt erfahren Sie mehr über die verschiedenen Methoden für Scanergebnisse.

Diagramm: Anzeigen und Nutzen der Ergebnisse von Malwareüberprüfungen

Scanergebnisse

Blobindextags

Blobindextags sind Metadatenfelder in einem Blob. Sie kategorisieren Daten in Ihrem Speicherkonto mithilfe von Schlüssel/Wert-Tagattributen. Diese Tags werden automatisch indiziert und als durchsuchbarer mehrdimensionaler Index verfügbar gemacht, um Daten einfach finden zu können. Die Scanergebnisse sind präzise und zeigen das Scanergebnis der Schadsoftwareüberprüfung und die Scanzeit in UTC der Schadsoftwareüberprüfung in den Blobmetadaten an. Andere Ergebnistypen (Benachrichtigungen, Ereignisse, Protokolle) bieten weitere Informationen zum Schadsoftwaretyp und zum Dateiuploadvorgang.

Screenshot: Beispiel für ein Blobindextag

Blobindextags können von Anwendungen verwendet werden, um Workflows zu automatisieren, sind aber nicht manipulationssicher. Weitere Informationen finden Sie unter Einrichten der Reaktion.

Hinweis

Der Zugriff auf Indextags erfordert Berechtigungen. Weitere Informationen finden Sie unter Abrufen, Festlegen und Aktualisieren von BLOB-Indextags.

Defender for Cloud-Sicherheitswarnungen

Wenn eine schädliche Datei erkannt wird, generiert Microsoft Defender for Cloud eine Microsoft Defender for Cloud-Sicherheitswarnung. Um die Warnung anzuzeigen, wechseln Sie zu Microsoft Defender for Cloud-Sicherheitswarnungen. Die Sicherheitswarnung enthält Details und Kontext für die Datei, den Schadsoftwaretyp sowie empfohlene Untersuchungs- und Wartungsschritte. Um diese Warnungen für die Wartung zu verwenden, haben Sie folgende Möglichkeiten:

  1. Zeigen Sie Sicherheitswarnungen im Azure-Portal an, indem Sie zu Microsoft Defender for Cloud>Sicherheitswarnungen navigieren.
  2. Konfigurieren Sie Automatisierungen basierend auf diesen Warnungen.
  3. Exportieren Sie Sicherheitswarnungen in ein SIEM. Sie können Sicherheitswarnungen kontinuierlich in Microsoft Sentinel (das SIEM von Microsoft) mithilfe des Microsoft Sentinel-Connectors exportieren, oder in ein anderes SIEM Ihrer Wahl.

Erfahren Sie mehr über das Reagieren auf Sicherheitswarnungen.

Event Grid-Ereignis

Event Grid ist nützlich für die ereignisgesteuerte Automatisierung. Es ist die schnellste Methode, um Ergebnisse mit minimaler Wartezeit in einer Form von Ereignissen zu erhalten, die Sie zum Automatisieren von Reaktionen verwenden können.

Ereignisse aus benutzerdefinierten Event Grid-Themen können mit mehreren Endpunkttypen konsumiert werden. Die nützlichsten Szenarien für Schadsoftwareüberprüfungen sind:

  • Funktions-App (früher als Azure-Funktion bezeichnet) – verwenden einer serverlosen Funktion, um Code für automatisierte Reaktionen wie Verschieben, Löschen oder in Quarantäne verschieben auszuführen.
  • Webhook – zum Herstellen einer Verbindung mit einer Anwendung.
  • Event Hubs und Service Bus-Warteschlange – zur Benachrichtigung nachgelagerter Consumer.

Erfahren Sie, wie Sie die Schadsoftwareüberprüfung so konfigurieren, dass jedes Überprüfungsergebnis automatisch zu Automatisierungszwecken an ein Event Grid-Thema gesendet wird.

Protokollanalyse

Möglicherweise möchten Sie Ihre Scanergebnisse protokollieren, um Beweise für die Compliance zu haben oder Scanergebnisse zu untersuchen. Wenn Sie ein Protokollanalysearbeitsbereichsziel einrichten, können Sie jedes Scanergebnis in einem zentralen Protokollrepository speichern, das einfach abzufragen ist. Sie können die Ergebnisse anzeigen, indem Sie zum Zielarbeitsbereich für die Protokollanalyse navigieren und nach der StorageMalwareScanningResults-Tabelle suchen.

Erfahren Sie mehr über das Einrichten der Protokollierung für die Überprüfung von Schadsoftware.

Tipp

Wir laden Sie ein, die Funktion zur Überprüfung von Schadsoftware in Defender for Storage in unserem Praxislab zu erkunden. Befolgen Sie die Anleitungen zum Ninja-Training, um eine detaillierte, schrittweise Anleitung zum Einrichten und Testen der End-to-End-Überprüfung der Schadsoftware zu erhalten, einschließlich der Konfiguration von Antworten auf Scan-Ergebnisse. Dies ist Teil des Projekts „Labs“, das Kunden dabei unterstützt, Microsoft Defender for Cloud zu nutzen und praktische Erfahrungen mit dessen Funktionen bereitzustellen.

Kostenkontrolle

Die Schadsoftwareüberprüfung wird pro gescanntem GB in Rechnung gestellt. Um die Kosten vorhersagbar zu machen, unterstützt die Schadsoftwareüberprüfung das Festlegen einer Obergrenze für die in einem einzelnen Monat gescannte GB-Menge pro Speicherkonto.

Wichtig

Die Überprüfung auf Schadsoftware in Defender for Storage ist in der ersten 30-Tage-Testversion nicht kostenlos enthalten und wird ab dem ersten Tag in Übereinstimmung mit dem Preisschema berechnet, das auf der Preisseite von Defender for Cloud verfügbar ist.

Der Mechanismus zur Begrenzung ist so konzipiert, dass für jedes Speicherkonto ein monatlicher Überprüfungsgrenzwert (GB) festgelegt wird, der als effektive Kostenkontrolle dient. Wenn für ein Speicherkonto ein vordefiniertes Überprüfungslimit für einen einzelnen Kalendermonat eingerichtet wird, wird der Überprüfungsvorgang automatisch angehalten, sobald dieser Schwellenwert erreicht ist (mit einer Abweichung von bis zu 20 GB), und Dateien werden nicht mehr auf Schadsoftware überprüft. Die Obergrenze wird am Ende eines jeden Monats um Mitternacht UTC zurückgesetzt. Das Aktualisieren der Obergrenze dauert in der Regel bis zu einer Stunde.

Standardmäßig wird ein Limit von 5 TB (5000 GB) festgelegt, wenn kein spezifischer Begrenzungsmechanismus definiert ist.

Tipp

Sie können den Begrenzungsmechanismus entweder für einzelne Speicherkonten oder für ein gesamtes Abonnement festlegen (jedem Speicherkonto im Abonnement wird das auf Abonnementebene definiert Limit zugeordnet).

Führen Sie die folgenden Schritte aus, um den Begrenzungsmechanismus zu konfigurieren.

Zusätzliche Kosten für Malwareüberprüfung

Malwareüberprüfung verwendet andere Azure-Dienste als Grundlage. Dies bedeutet, dass Ihnen beim Aktivieren der Malwareüberprüfung auch die Azure-Dienste in Rechnung gestellt werden, die diese erfordert. Zu diesen Diensten gehören Azure Storage-Lesevorgänge, Azure Storage-Blob-Indizierung und Azure Event Grid-Benachrichtigungen.

Umgang mit möglichen falsch positiven und falsch negativen Ergebnissen

Wenn Sie eine Datei haben, von der Sie vermuten, dass es sich um Malware handeln könnte, die aber nicht erkannt wird (falsch negativ) oder fälschlicherweise erkannt wird (falsch positiv), können Sie uns diese über das Portal zur Einreichung von Proben zur Analyse vorlegen. Wählen Sie „Microsoft Defender für Storage“ als Quelle aus.

Defender for Cloud ermöglicht es Ihnen, falsch positive Warnungen zu unterdrücken. Stellen Sie sicher, dass Sie die Unterdrückungsregel durch den Namen der Malware oder den Hash der Datei einschränken.

Die Schadsoftwareüberprüfung blockiert nicht automatisch den Zugriff auf den hochgeladenen Blob oder ändert die Berechtigungen, selbst wenn er bösartig ist.

Begrenzungen

Nicht unterstützte Features und Dienste

  • Nicht unterstützte Speicherkonten: Legacy v1-Speicherkonten werden von der Schadsoftwareüberprüfung nicht unterstützt.

  • Nicht unterstützter Dienst: Azure Files wird von der Schadsoftwareüberprüfung nicht unterstützt.

  • Nicht unterstützter Client: Blobs, die mit dem Network File System (NFS) 3.0-Protokoll hochgeladen wurden, werden beim Hochladen nicht auf Schadsoftware gescannt.

  • Nicht unterstützte Regionen: Jio Indien West, Korea Süd, Südafrika West.

  • Regionen, die von Defender for Storage unterstützt werden, aber nicht durch Malwarescannen. Erfahren Sie mehr über die Verfügbarkeit von Defender for Storage.

  • Nicht unterstützte Blobtypen: Anfüge- und Seitenblobs werden von der Schadsoftwareüberprüfung nicht unterstützt.

  • Nicht unterstützte Verschlüsselung: Clientseitig verschlüsselte Blobs werden nicht unterstützt, da sie vor der Überprüfung durch den Dienst nicht entschlüsselt werden können. Daten, die durch den kundenseitig verwalteten Schlüssel (CMK, Customer Managed Key) verschlüsselt wurden, werden jedoch unterstützt.

  • Nicht unterstützte Indextagergebnisse: Das Ergebnis der Indextagüberprüfung wird in Speicherkonten mit aktiviertem hierarchischem Namespace (Azure Data Lake Storage Gen2) nicht unterstützt.

  • Event Grid: Event Grid-Themen, für die der Zugriff auf öffentliche Netzwerke nicht aktiviert ist (d. h. Verbindungen mit privaten Endpunkten), werden von der Überprüfung von Schadsoftware in Defender für Storage nicht unterstützt.

Grenzwert für Durchsatzkapazität und Blobgröße

  • Limit für die Überprüfungsdurchsatzrate: Bei der Schadsoftwareüberprüfung können für jedes Speicherkonto bis zu 2 GB pro Minute verarbeitet werden. Wenn die Rate für das Dateihochladen diesen Schwellenwert für ein Speicherkonto vorübergehend überschreitet, versucht das System, die Dateien über das Ratenlimit hinaus zu überprüfen. Wenn die Rate für das Dateihochladen diesen Schwellenwert dauerhaft überschreitet, werden einige Blobs nicht überprüft.
  • Limit für Blobüberprüfung: Bei der Prüfung auf Schadsoftware können für jedes Speicherkonto bis zu 2.000 Dateien pro Minute verarbeitet werden. Wenn die Rate für das Dateihochladen diesen Schwellenwert für ein Speicherkonto vorübergehend überschreitet, versucht das System, die Dateien über das Ratenlimit hinaus zu überprüfen. Wenn die Rate für das Dateihochladen diesen Schwellenwert dauerhaft überschreitet, werden einige Blobs nicht überprüft.
  • Grenzwert für Blobgröße: Der maximale Grenzwert für die Größe eines einzelnen Blobs, das gescannt werden soll, beträgt 2 GB. Blobs, die größer sind als das Limit, werden nicht überprüft.

Blobuploads und Indextagupdates

Beim Hochladen eines Blobs in das Speicherkonto initiiert die Schadsoftwareüberprüfung einen zusätzlichen Lesevorgang und aktualisiert das Indextag. In den meisten Fällen verursachen diese Vorgänge keine nennenswerte Last.

Auswirkungen auf den Zugriff und die Speicher-IOPS

Trotz des Überprüfungsprozesses wird der Zugriff auf hochgeladene Daten nicht beeinträchtigt, und die Auswirkungen auf die Eingabe/-Ausgabevorgänge pro Sekunde (IOPS) des Speichers sind minimal.

Einschränkungen im Vergleich zu Microsoft Defender for Endpoint

Defender for Storage verwendet bei der Überprüfung auf Schadsoftware die gleiche Antischadsoftware-Engine und die gleichen aktuellen Signaturen wie Defender for Endpoint. Dateien, die in Azure Storage hochgeladen werden, fehlen jedoch bestimmte Metadaten, die von der Antischadsoftware-Engine benötigt werden. Verglichen mit Defender for Endpoint können diese fehlenden Metadaten in Azure Storage zu einer höheren Rate an verpassten Erkennungen (False Negatives) führen.

Nachfolgend finden Sie einige Beispiele für fehlende Metadaten:

  • Webmarkierung (Mark Of The Web, MOTW): MOTW ist ein Windows-Sicherheitsfeature zur Nachverfolgung von heruntergeladenen Dateien aus dem Internet. Beim Hochladen von Dateien in Azure Storage gehen diese Metadaten jedoch verloren.

  • Dateipfadkontext: Auf Standardbetriebssystemen kann der Dateipfad zusätzlichen Kontext für die Bedrohungserkennung bereitstellen. So wird beispielsweise eine Datei, die versucht, Änderungen an Systemspeicherorten wie „C:\Windows\System32“ vorzunehmen, als verdächtig gekennzeichnet und näher analysiert. In Azure Storage kann der Kontext bestimmter Dateipfade innerhalb des Blobs nicht auf die gleiche Weise genutzt werden.

  • Verhaltensdaten: Defender for Storage analysiert den Inhalt von Dateien, ohne sie auszuführen. Die Lösung untersucht die Dateien und emuliert ggf. ihre Ausführung, um sie auf Schadsoftware zu überprüfen. Bestimmte Arten von Schadsoftware, die ihre schädliche Natur nur während der Ausführung offenbaren, werden bei diesem Ansatz allerdings möglicherweise nicht erkannt.

Nächste Schritte

Erfahren Sie mehr über das Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.