Bereitstellen von Microsoft Defender für Storage
Microsoft Defender für Storage ist eine native Azure-Lösung, die eine fortschrittliche Intelligenzebene zur Erkennung und Abwehr von Bedrohungen in Speicherkonten bietet, die von Microsoft Threat Intelligence, Microsoft Defender Antimalware-Technologien und Sensitive Data Discovery unterstützt wird. Mit Schutz für Azure Blob Storage, Azure Files und Azure Data Lake Storage-Services bietet es eine umfassende Warnungssuite, Malware-Scans nahezu in Echtzeit (Add-on) und die Erkennung vertraulicher Daten (ohne zusätzliche Kosten), so dass potenzielle Sicherheitsbedrohungen mit kontextbezogenen Informationen schnell erkannt, eingeordnet und bekämpft werden können. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung.
Mit Microsoft Defender für Storage können Organisationen ihren Schutz anpassen und konsistente Sicherheitsrichtlinien erzwingen, indem sie ihn mit präziser Kontrolle und Flexibilität für Abonnements und Speicherkonten aktivieren.
Tipp
Wenn Sie derzeit Microsoft Defender für Storage (klassisch) verwenden, sollten Sie eine Migration zum neuen Plan in Erwägung ziehen, der mehrere Vorteile gegenüber dem klassischen Plan bietet.
Verfügbarkeit
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemeine Verfügbarkeit (General Availability, GA) |
| Funktionsverfügbarkeit: | – Aktivitätsüberwachung (Sicherheitswarnungen) – Allgemeine Verfügbarkeit (GA) - Schadsoftwareüberprüfung – Allgemeine Verfügbarkeit (GA) – Erkennung von Bedrohungen sensibler Daten (Ermittlung sensibler Daten) – Vorschau Weitere Informationen finden Sie auf der Preisseite. |
| Erforderliche Rollen und Berechtigungen: | Für Malware-Scans und die Erkennung von Bedrohungen vertraulicher Daten auf Abonnement- und Speicherkonto-Ebene benötigen Sie Besitzerrollen (Abonnementbesitzer/Speicherkontobesitzer) oder spezifische Rollen mit entsprechenden Datenaktionen. Zum Aktivieren der Aktivitätsüberwachung benötigen Sie die Berechtigungen eines „Sicherheitsadministrators“. Erfahren Sie mehr zu den erforderlichen Berechtigungen. |
| Clouds: |  Kommerzielle Azure-Clouds* Azure Government (Unterstützung der Aktivitätsüberwachung nur im klassischen Plan) Azure China 21Vianet Verknüpfte AWS-Konten |
* Azure DNS-Zone wird nicht für die Prüfung auf Schadsoftware und die Erkennung von Bedrohungen sensibler Daten unterstützt.
Voraussetzungen für Malware-Scans
Um Malware-Scans zu aktivieren und zu konfigurieren, müssen Sie über Besitzerrollen (z. B. Abonnementbesitzer oder Speicherkontobesitzer) oder spezifische Rollen mit den erforderlichen Datenaktionen verfügen. Erfahren Sie mehr zu den erforderlichen Berechtigungen.
Einrichten und Konfigurieren von Microsoft Defender für Storage
Um Microsoft Defender für Storage zu aktivieren und zu konfigurieren, um maximalen Schutz sowie eine Kostenoptimierung zu gewährleisten, stehen die folgenden Konfigurationsoptionen zur Verfügung:
- Aktivieren/deaktivieren Sie Microsoft Defender für Storage auf Abonnement- und Speicherkontoebene.
- Aktivieren/deaktivieren Sie die konfigurierbaren Funktionen für Malware-Scans oder die Erkennung von Bedrohungen vertraulicher Daten.
- Legen Sie eine monatliche Obergrenze („Capping“) für die Malware-Scans pro Speicherkonto und Monat fest, um die Kosten zu kontrollieren (Standardwert ist 5.000 GB).
- Konfigurieren Sie Methoden zum Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.
- Konfigurieren Sie Methoden zum Speichern der Protokolle mit den Ergebnissen der Malware-Überprüfung.
Tipp
Für die Funktion der Prüfung auf Schadsoftware können erweiterte Konfigurationen vorgenommen werden, mit denen Sicherheitsteams unterschiedliche Workflows und Anforderungen unterstützen können.
- Überschreiben Sie Einstellungen auf Abonnementebene, um bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen zu konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.
Es gibt mehrere Möglichkeiten, Defender for Storage zu aktivieren und zu konfigurieren: Integrierte Azure-Richtlinie (die empfohlene Methode), programmgesteuert mithilfe von Infrastructure-as-Code-Vorlagen, einschließlich Terraform-, Bicep- und ARM-Vorlagen, mithilfe des Azure-Portals, mithilfe von PowerShell oder direkt mithilfe der REST API.
Die Aktivierung von Defender für Storage über eine Richtlinie wird empfohlen, da dies die Aktivierung im großen Stil erleichtert und sicherstellt, dass eine konsistente Sicherheitsrichtlinie auf alle vorhandenen und zukünftigen Speicherkonten innerhalb des definierten Bereichs (z. B. ganze Verwaltungsgruppen) angewandt wird. Dadurch bleiben die Speicherkonten mit Defender für Storage gemäß der definierten Konfiguration der Organisation geschützt.
Hinweis
Um die Migration zurück zum klassischen Legacyplan zu verhindern, müssen Sie die alten Defender für Storage-Richtlinien deaktivieren. Suchen und deaktivieren Sie Richtlinien mit dem Namen Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabled oder Configure Microsoft Defender for Storage to be enabled (per-storage account plan), oder lehnen Sie Richtlinien ab, die die Deaktivierung des klassischen Plans verhindern.