Übersicht zu Microsoft Defender für Storage

Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt.
Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung.

Hinweis

In diesem Artikel wird der neue Defender für Storage-Plan behandelt, der am 28. März 2023 gestartet wurde. Er enthält neue Features wie die Prüfung auf Schadsoftware und die Erkennung von Bedrohungen für sensible Daten. Dieser Plan bietet auch eine vorhersehbarere Preisstruktur für eine bessere Kontrolle über Abdeckung und Kosten. Darüber hinaus werden alle neuen Defender-Features nur dem neuen Plan hinzugefügt. Die Migration zum neuen Plan ist ein einfacher Prozess. Lesen Sie hier, wie Sie vom klassischen Plan migrieren.

Microsoft Defender für Storage bietet umfassende Sicherheit, indem die Telemetriedaten auf Datenebene und Steuerungsebene analysiert werden, die von Azure Blob Storage-, Azure Files- und Azure Data Lake Storage-Diensten generiert werden. Es verwendet erweiterte Bedrohungserkennungsfunktionen, die von Microsoft Threat Intelligence, Microsoft Defender Antivirus und Sensitive Data Discovery unterstützt werden, um potenzielle Bedrohungen zu erkennen und zu minimieren.

Defender für Storage enthält:

  • Aktivitätsüberwachung

  • Bedrohungserkennung für vertrauliche Daten (nur neuer Plan)

  • Malware-Überprüfung (nur neuer Plan)

Animiertes Diagramm, das zeigt, wie Defender für Storage Daten vor häufigen Bedrohungen schützt.

Erste Schritte

Mit einer einfachen Einrichtung im großen Stil ohne Agent können Sie Defender für Storage auf Abonnement- oder Ressourcenebene über das Portal oder programmgesteuert aktivieren. Wenn es auf Abonnementebene aktiviert sind, werden alle vorhandenen und neu erstellten Speicherkonten unter diesem Abonnement automatisch geschützt. Sie können auch bestimmte Speicherkonten von geschützten Abonnements ausschließen.

Hinweis

Wenn Sie Defender für Storage (klassisch) bereits aktiviert haben und auf die neuen Sicherheitsfeatures und Preise zugreifen möchten, müssen Sie zum neuen Tarif migrieren.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Funktionsverfügbarkeit: – Aktivitätsüberwachung (Sicherheitswarnungen) – Allgemeine Verfügbarkeit (GA)
– Malwareüberprüfung – Allgemeine Verfügbarkeit (GA)
– Erkennung vertraulicher Daten (Sensitive Data Discovery) – Allgemeine Verfügbarkeit (GA)
Preise: Microsoft Defender for Storage Preise gelten für kommerzielle Clouds. Erfahren Sie mehr über Preise und Verfügbarkeit pro Region.


Unterstützte Speichertypen:
Blob Storage (Standard/Premium StorageV2, einschließlich Data Lake Gen2): Aktivitätsüberwachung, Prüfung auf Schadsoftware, Ermittlung sensibler Daten
Azure Files (über REST-API und SMB): Aktivitätsüberwachung
Erforderliche Rollen und Berechtigungen: Für die Prüfung auf Schadsoftware und die Erkennung von Bedrohungen sensibler Daten auf Abonnement- und Speicherkontoebene benötigen Sie Besitzerrollen (Abonnementbesitzer/Speicherkontobesitzer) oder bestimmte Rollen mit entsprechenden Datenaktionen. Zum Aktivieren der Aktivitätsüberwachung benötigen Sie die Berechtigungen eines „Sicherheitsadministrators“. Erfahren Sie mehr zu den erforderlichen Berechtigungen.
Clouds: Kommerzielle Clouds*
Azure Government (Unterstützung der Aktivitätsüberwachung nur im klassischen Plan)
Microsoft Azure, betrieben von 21Vianet (Unterstützung für die Aktivitätsüberwachung nur im klassischen Plan)
Verbundene AWS-Konten

* Azure DNS-Zone wird nicht für die Überprüfung auf Schadsoftware und die Erkennung von Bedrohungen sensibler Daten unterstützt.

Welche Vorteile hat die Nutzung von Microsoft Defender für Storage?

Diagramm, das die Vorteile der Verwendung von Defender für Storage zum Schutz Ihrer Daten zeigt.

Defender für Storage bietet Folgendes:

  • Besserer Schutz vor Schadsoftware: Die Überprüfung auf Schadsoftware scannt und erkennt nahezu in Echtzeit alle Dateitypen, einschließlich der Archive jedes hochgeladenen Blobs. Sie liefert schnelle und zuverlässige Ergebnisse, um zu verhindern, dass Ihre Speicherkonten als Einstiegs- und Verteilungspunkt für Bedrohungen fungieren. Erfahren Sie mehr über die Prüfung auf Schadsoftware.

  • Verbesserte Bedrohungserkennung und Schutz vertraulicher Daten: Die Funktion Erkennung von Bedrohungen für sensible Daten ermöglicht es Sicherheitsexperten, Sicherheitswarnungen effizient zu priorisieren und zu untersuchen, indem die Vertraulichkeit der Daten berücksichtigt wird, die gefährdet sein könnten. Dies führt zu einer besseren Erkennung und zum besseren Schutz vor potenziellen Bedrohungen. Durch die schnelle Identifizierung und Bewältigung der größten Risiken verringert diese Funktion die Wahrscheinlichkeit von Datenschutzverletzungen und verbessert den Schutz sensibler Daten durch die Erkennung von Vorfällen und verdächtigen Aktivitäten auf Ressourcen mit vertraulichen Daten. Informieren Sie sich genauer über die Erkennung von Bedrohungen sensibler Daten.

  • Erkennung von Entitäten ohne Identitäten: Defender for Storage erkennt verdächtige Aktivitäten von Entitäten ohne Identitäten, die mit falsch konfigurierten oder übermäßig freizügigen SAS-Tokens (Shared Access Signatures) auf Ihre Daten zugreifen und möglicherweise geleakt oder kompromittiert wurden. So wird die Sicherheit verbessert und das Risiko von nicht autorisiertem Zugriff verringert. Diese Funktion ist eine Erweiterung der Sicherheitswarnungssuite der Aktivitätsüberwachung.

  • Abdeckung der wichtigsten Cloudspeicherbedrohungen: Unterstützt von Microsoft Threat Intelligence, Verhaltensmodellen und Machine Learning-Modellen, um ungewöhnliche und verdächtige Aktivitäten zu erkennen. Die Defender für Storage-Sicherheitswarnungen decken die wichtigsten Cloudspeicherbedrohungen ab, z. B. Exfiltration vertraulicher Daten, Datenbeschädigung und Hochladen bösartiger Dateien.

  • Umfassende Sicherheit ohne Aktivierung von Protokollen: Wenn Microsoft Defender für Storage aktiviert ist, analysiert es kontinuierlich sowohl den Telemetriedatenstrom der Daten- als auch der Steuerungsebene, der von den Azure Blob Storage-, Azure Files- und Azure Data Lake Storage-Diensten erzeugt wird, ohne dass Diagnoseprotokolle aktiviert werden müssen.

  • Reibungslose Aktivierung im großen Stil: Microsoft Defender für Storage ist eine Lösung ohne Agent, die einfach bereitgestellt werden kann und einen umfassenden Sicherheitsschutz mithilfe einer nativen Azure-Lösung ermöglicht.

Wie funktioniert der Dienst?

Aktivitätsüberwachung

Wenn es aktiviert ist, analysiert Defender für Storage kontinuierlich Daten und Protokolle auf Steuerungsebene von geschützten Speicherkonten. Es ist für die Sicherheit nicht erforderlich, Ressourcenprotokolle zu aktivieren. Verwenden Sie Microsoft Threat Intelligence, um verdächtige Signaturen wie böswillige IP-Adressen, Tor-Exitknoten und potenziell gefährliche Apps zu identifizieren. Außerdem werden Datenmodelle erstellt und statistische und maschinelle Lernmethoden verwendet, um Anomalien gegenüber der Baseline zu erkennen, die auf böswilliges Verhalten hindeuten können. Sie erhalten Sicherheitswarnungen für verdächtige Aktivitäten, aber Defender für Storage stellt sicher, dass Sie nicht zu viele ähnliche Warnungen erhalten. Die Aktivitätsüberwachung wirkt sich nicht auf die Leistung, die Erfassungskapazität oder den Zugriff auf Ihre Daten aus.

Diagramm, das zeigt, wie die Aktivitätsüberwachung Bedrohungen für Ihre Daten identifiziert.

Prüfung auf Schadsoftware (unterstützt von Microsoft Defender Antivirus)

Die Überprüfung auf Schadsoftware in Defender für Storage schützt Speicherkonten vor schädlichen Inhalten, indem eine vollständige Schadsoftwareüberprüfung für hochgeladene Inhalte mithilfe von Microsoft Defender Antivirus-Funktionen nahezu in Echtzeit durchgeführt wird. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Jeder Dateityp wird überprüft, und für jede Datei werden Überprüfungsergebnisse zurückgegeben. Die Funktion der Schadsoftwareüberprüfung ist eine SaaS-Lösung ohne Agent, die eine einfache Einrichtung im großen Stil ohne Wartungsaufwand ermöglicht und die Automatisierung der Reaktion im großen Stil unterstützt. Dies ist ein konfigurierbares Feature im neuen Defender für Storage-Plan, das pro überprüftem GB berechnet wird. Erfahren Sie mehr über die Prüfung auf Schadsoftware.

Erkennung von Bedrohungen sensibler Daten (unterstützt durch die Erkennung sensibler Daten)

Die Funktion „Erkennung von Bedrohungen sensibler Daten“ ermöglicht es Sicherheitsteams, Sicherheitswarnungen effizient zu priorisieren und zu untersuchen, indem sie die Vertraulichkeit der möglicherweise gefährdeten Daten berücksichtigen. Dies führt zu einer besseren Erkennung und Verhinderung von Datenschutzverletzungen. Die Bedrohungserkennung für vertrauliche Daten wird von der Engine zur „Erkennung sensibler Daten“ unterstützt. Es handelt sich hierbei um eine Engine ohne Agent, die eine intelligente Stichprobenmethode verwendet, um Ressourcen mit sensiblen Daten zu finden. Der Dienst ist in Microsoft Purviews sensible Informationstypen (Sensitive Information Types, SITs) und Klassifizierungsbezeichnungen integriert, so dass die Vertraulichkeitseinstellungen Ihrer Organisation nahtlose übernommen werden können.

Dies ist ein konfigurierbares Feature im neuen Defender für Storage-Plan. Sie können es ohne weitere Kosten wahlweise aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Erkennung von Bedrohungen sensibler Daten.

Preis- und Kostenkontrolle

Preise pro Speicherkonto

Der neue Microsoft Defender für Storage-Plan verfügt über vorhersagbare Preise basierend auf der Anzahl von Speicherkonten, die Sie schützen. Die Möglichkeit zur Aktivierung auf Abonnement- oder Ressourcenebene und zum Ausschluss bestimmter Speicherkonten von geschützten Abonnements bietet Ihnen mehr Flexibilität bei der Verwaltung Ihrer Sicherheitsabdeckung. Der Preisplan vereinfacht den Prozess der Kostenberechnung, sodass Sie bei geänderten Anforderungen problemlos skalieren können. Für Speicherkonten mit Transaktionen mit hohem Volumen können zusätzliche Gebühren anfallen.

Prüfung auf Schadsoftware: Abrechnung pro GB, monatliche Begrenzung und Konfiguration

Prüfung auf Schadsoftware wird pro Gigabyte für überprüfte Daten in Rechnung gestellt. Um die Vorhersagbarkeit der Kosten zu gewährleisten, kann eine monatliche Obergrenze für geprüftes Datenvolumen pro Speicherkonto pro Monat festgelegt werden. Diese Obergrenze kann abonnementweit festgelegt werden, was sich auf alle Speicherkonten innerhalb des Abonnements auswirkt. Sie können die Grenze alternativ auch für einzelne Speicherkonten individuell festlegen. Unter geschützten Abonnements können Sie Speicherkonten mit unterschiedlichen Grenzwerten konfigurieren.

Standardmäßig ist der Grenzwert auf 5.000 GB pro Monat und Speicherkonto festgelegt. Sobald dieser Schwellenwert überschritten wird, wird die Überprüfung für die verbleibenden Blobs mit einem Konfidenzintervall von 20 GB beendet. Konfigurationsdetails finden Sie unter Konfigurieren von Defender für Storage.

Wichtig

Die Malwareüberprüfung in Defender für Storage ist in der ersten 30-Tage-Testversion nicht kostenlos enthalten und wird ab dem ersten Tag in Übereinstimmung mit dem Preisschema berechnet, das auf der Preisseite von Defender for Cloud verfügbar ist. Die Schadsoftwareüberprüfung verursacht auch zusätzliche Gebühren für andere Azure-Dienste – Azure Storage-Lesevorgänge, Azure Storage-BLOB-Indizierung und Azure Event Grid-Benachrichtigungen.

Bedarfsbasierte Aktivierung mit präzisen Steuerelementen

Mit Microsoft Defender für Storage können Sie Ihre Daten mit präziser Kontrolle im großen Stil schützen. Sie können konsistente Sicherheitsrichtlinien für alle Ihre Speicherkonten innerhalb eines Abonnements anwenden oder sie für bestimmte Konten anpassen, je nachdem welche geschäftlichen Anforderungen Sie haben. Sie können auch Ihre Kosten steuern, indem Sie die Schutzebene auswählen, die Sie für jede Ressource benötigen. Informationen zu den ersten Schritten finden Sie unter Aktivieren von Defender für Storage.

Überwachen der Schadsoftwareüberprüfungsgrenze

Um einen ununterbrochenen Schutz zu gewährleisten und gleichzeitig die Kosten effektiv zu verwalten, gibt es zwei informative Sicherheitswarnungen, die sich auf die Verwendung von Schadsoftwareüberprüfungsgrenzen beziehen. Die erste Warnung (Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)) wird ausgelöst, wenn sich Ihre Nutzung 75 % der festgelegten monatlichen Obergrenze nähert, und bietet eine Vorwarnung, um Ihre Obergrenze bei Bedarf anzupassen. Die zweite Warnung (Malware Scanning stopped: monthly gigabytes scan cap reached (Preview)) benachrichtigt Sie, wenn die Obergrenze erreicht worden ist und die Überprüfung für den Monat angehalten wird, wodurch neue Uploads möglicherweise nicht überprüft werden. Beide Warnungen enthalten Details zu den betroffenen Speicherkonten, um ein schnelles und sachkundiges Handeln zu ermöglichen und sicherzustellen, dass Sie Ihr gewünschtes Sicherheitsniveau ohne unerwartete Kosten aufrechterhalten können.

Grundlegendes zu den Unterschieden zwischen Malware Scanning und Hash-Reputationsanalyse

Defender für Storage bietet zwei Funktionen zum Erkennen schädlicher Inhalte, die in Speicherkonten hochgeladen wurden: Malware Scanning (kostenpflichtiges Add-On-Feature, das nur für den neuen Plan verfügbar ist) und Hash-Reputationsanalyse (in allen Plänen verfügbar).

Malware-Überprüfung (kostenpflichtige Add-On-Funktion, die nur für den neuen Plan verfügbar ist)

Die Überprüfung auf Schadsoftware verwendet Microsoft Defender Antivirus (MDAV), um Blobs zu überprüfen, die in den Blobspeicher hochgeladen wurden, und bietet eine umfassende Analyse, die tiefe Dateiscans und eine Analyse der Hash-Reputation umfasst. Dieses Feature bietet eine verbesserte Erkennung von potenziellen Bedrohungen.

Hash-Reputationsanalyse (in allen Plänen verfügbar)

Die Hash-Reputationsanalyse erkennt potenzielle Schadsoftware im Blobspeicher und Azure Files, indem die Hashwerte neu hochgeladener Blobs/Dateien mit denen der bekannten Schadsoftware von Microsoft Threat Intelligence verglichen werden. Nicht alle Dateiprotokolle und Vorgangstypen werden mit dieser Funktion unterstützt, was dazu führt, dass einige Vorgänge nicht auf potenzielle Schadsoftwareuploads überwacht werden. Zu nicht unterstützten Anwendungsfällen gehören SMB-Dateifreigaben und ein Blob, der mit Put Block und Put Block List erstellt wird.

Zusammenfassend lässt sich sagen, dass die Malware-Überprüfung, die nur für den neuen Plan für Blobspeicher verfügbar ist, einen umfassenderen Ansatz zur Erkennung von Schadsoftware bietet, indem der vollständige Inhalt von Dateien analysiert und die Hash-Reputationsanalyse in die Überprüfungsmethodik integriert wird.

Nächste Schritte

In diesem Artikel haben Sie mehr über Microsoft Defender für Storage erfahren.