Freigeben über

Erweiterte Konfigurationen für die Überprüfung auf Schadsoftware

  • Artikel

Die Malware-Überprüfung kann so konfiguriert werden, dass Überprüfungsergebnisse an Folgendes gesendet werden:

  • Benutzerdefiniertes Event Grid-Thema – für eine automatische Reaktion nahezu in Echtzeit basierend auf jedem Überprüfungsergebnis.
  • Log Analytics-Arbeitsbereich – zum Speichern der einzelnen Überprüfungsergebnisse in einem zentralen Protokollrepository zu Compliance- und Überwachungszwecken.

Erfahren Sie mehr über das Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.

Tipp

Es wird empfohlen, die Ninja-Trainingsanweisungen auszuprobieren. Dabei handelt es sich um ein Praxislab zum Ausprobieren der Überprüfung auf Schadsoftware von Defender für Storage. Über detaillierte Schrittanleitungen kann die Schadsoftware-Überprüfung mit der Einrichtung von Reaktionen auf Überprüfungsergebnisse lückenlos getestet werden. Dies ist Teil des Projekts „Labs“, das die Kundschaft dabei unterstützt, Microsoft Defender for Cloud zu nutzen und praktische Erfahrungen mit dessen Funktionen bereitzustellen.

Einrichten der Protokollierung für die Überprüfung auf Schadsoftware

Für jedes Speicherkonto, für das die Überprüfung auf Schadsoftware aktiviert ist, können Sie ein Log Analytics-Arbeitsbereichsziel definieren, sodass alle Überprüfungsergebnisse in einem zentralen Protokollrepository gespeichert werden, das einfach abgefragt werden kann.

Erstellen Sie vor dem Senden von Prüfergebnissen an Log Analytics einen Log Analytics-Arbeitsbereich oder verwenden Sie einen vorhandenen Arbeitsbereich.

Navigieren Sie zum Konfigurieren des Log Analytics-Ziels zum entsprechenden Speicherkonto, öffnen Sie die Registerkarte Microsoft Defender for Cloud und wählen Sie die zu konfigurierenden Einstellungen aus.

Screenshot des Konfigurierens eines Log Analytics-Ziels für Überprüfungsprotokolle.

Diese Konfiguration kann auch mithilfe der REST-API ausgeführt werden:

Anforderungs-URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

Anforderungstext:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

Hinweis

Im Azure-Portal werden Log Analytics-Arbeitsbereiche aus demselben Abonnement wie das Speicherkonto aufgelistet. Die REST-API kann verwendet werden, um einen Log Analytics-Arbeitsbereich aus einem anderen Abonnement desselben Mandanten zu konfigurieren, wie oben beschrieben. Scanergebnisse werden in einer Tabelle mit dem Namen StorageMalwareScanningResults aufgezeichnet. Diese Tabelle wird erstellt, wenn das erste Scanergebnis aufgezeichnet wird.

Einrichten von Event Grid für die Überprüfung auf Schadsoftware

Sie können jedes Speicherkonto, für das die Überprüfung auf Schadsoftware aktiviert ist, so konfigurieren, dass jedes Überprüfungsergebnis automatisch mithilfe des Event Grid-Ereignisses gesendet wird.

  1. Um Event Grid für das Senden von Prüfergebnissen zu konfigurieren, müssen Sie zunächst im Voraus ein benutzerdefiniertes Thema erstellen. Anleitungen finden Sie in der Event Grid-Dokumentation zum Erstellen benutzerdefinierter Themen. Stellen Sie sicher, dass das benutzerdefinierte Event Grid-Zielthema in derselben Region wie das Speicherkonto erstellt wird, von dem Sie Prüfergebnisse senden möchten.

  2. Wechseln Sie zum Konfigurieren des benutzerdefinierten Event Grid-Themenziels zum entsprechenden Speicherkonto, öffnen Sie die Registerkarte Microsoft Defender for Cloud, und wählen Sie die zu konfigurierenden Einstellungen aus.

Hinweis

Wenn Sie ein benutzerdefiniertes Event Grid-Thema festlegen, sollten Sie Einstellungen auf Abonnementebene von Defender für Storage außer Kraft setzen auf Ein festlegen, um sicherzustellen, dass die Einstellungen auf Abonnementebene überschrieben werden.

Screenshot des Aktivierens eines Event Grid-Ziels für Überprüfungsprotokolle.

Hinweis

Im Azure-Portal werden Event Grid-Themen aus demselben Abonnement wie das Speicherkonto aufgelistet. Die REST-API kann verwendet werden, um ein Event Grid-Thema aus einem anderen Abonnement desselben Mandanten zu konfigurieren, wie unten beschrieben. Diese Konfiguration kann auch mithilfe der REST-API ausgeführt werden:

Anforderungs-URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Anforderungstext:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

Einstellungen auf Abonnementebene von Defender für Storage außer Kraft setzen

Die Einstellungen von Defender für Storage für jedes Speicherkonto werden in den Einstellungen auf Abonnementebene übernommen. Verwenden Sie die Einstellungen zum Außerkraftsetzen von Defender für Storage-Einstellungen auf Abonnementebene, um Einstellungen für einzelne Speicherkonten zu konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.

Das Außerkraftsetzen der Einstellungen der Abonnements wird in der Regel für die folgenden Szenarien verwendet:

  • Aktivieren/Deaktivieren der Features zur Überprüfung auf Schadsoftware oder zur Erkennung von Bedrohungen für vertrauliche Daten.
  • Konfigurieren benutzerdefinierter Einstellungen für die Prüfung auf Schadsoftware.
  • Deaktivieren von Microsoft Defender für Speicher für bestimmte Speicherkonten.

Hinweis

Es wird empfohlen, Defender für Storage für das gesamte Abonnement zu aktivieren, um alle vorhandenen und zukünftigen Speicherkonten darin zu schützen. Es gibt jedoch einige Fälle, in denen Sie bestimmte Speicherkonten vom Schutz durch Defender ausschließen möchten. Wenn Sie sich für den Ausschluss entschieden haben, führen Sie die folgenden Schritte aus, um die Außerkraftsetzungseinstellung zu verwenden und dann das entsprechende Speicherkonto zu deaktivieren. Wenn Sie Defender für Storage (klassisch) verwenden, können Sie auch Speicherkonten ausschließen.

Azure-Portal

So konfigurieren Sie die Einstellungen einzelner Speicherkonten unterschiedlichen von den auf Abonnementebene konfigurierten über das Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Ihrem Speicherkonto, für das Sie benutzerdefinierte Einstellungen konfigurieren möchten.

  3. Wählen Sie im Menü des Speicherkontos im Abschnitt Sicherheit und Netzwerk die Option Microsoft Defender for Cloud aus.

  4. Wählen Sie unter Microsoft Defender für Storage Einstellungen aus.

  5. Stellen Sie den Status von Einstellungen auf Abonnementebene von Defender für Storage außer Kraft setzen (unter Erweiterte Einstellungen) auf An. Dadurch wird sichergestellt, dass die Einstellungen nur für dieses Speicherkonto gespeichert werden und nicht von den Abonnementeinstellungen überschieben werden.

  6. Konfigurieren Sie die Einstellungen, die Sie ändern möchten:

    1. Stellen Sie den Status auf An, um die Prüfung auf Schadsoftware oder die Erkennung von Bedrohungen sensibler Daten zu aktivieren.

    2. So ändern Sie die Einstellungen der Prüfung auf Schadsoftware:

      1. Legen Sie die Option Schadsoftwareüberprüfung beim Hochladen auf Ein fest, sofern sie noch nicht aktiviert ist.

      2. Um den monatlichen Schwellenwert für die Überprüfung von Schadsoftware in Ihren Speicherkonten anzupassen, können Sie den Parameter Set limit of GB scanned per month (Limit für überprüfte Daten pro Monat in GB festlegen) in den gewünschten Wert ändern. Dieser Parameter bestimmt die maximale Datenmenge, die jeden Monat auf Schadsoftware überprüft werden kann, insbesondere für jedes Speicherkonto. Wenn Sie unbegrenzte Überprüfungen zulassen möchten, können Sie diesen Parameter deaktivieren. Das Standardlimit ist auf 5.000 GB festgelegt.

  7. Um Defender für Storage für diese Speicherkonten zu deaktivieren, legen Sie den Status von Microsoft Defender für Storage auf Aus fest.

    Screenshot des Deaktivierens von Defender für Storage im Azure-Portal.

    Wählen Sie Speichern.

REST-API

So konfigurieren Sie die Einstellungen einzelner Speicherkonten unterschiedlichen von den auf Abonnementebene konfigurierten über die REST-API

Erstellen Sie eine PUT-Anforderung mit diesem Endpunkt. Ersetzen Sie „subscriptionId“, „resourceGroupName“ und „accountName“ in der Endpunkt-URL durch Ihre entsprechende eigene Azure-Abonnement-ID, Ihre Ressourcengruppe und Ihren Speicherkontonamen.

Anforderungs-URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

Anforderungstext:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. Um die Überprüfung auf Schadsoftware oder die Erkennung von Bedrohungen vertraulicher Daten zu aktivieren, legen Sie unter dem jeweiligen Feature den Wert Diensts „isEnabled“ auf TRUE fest.

  2. Um die Einstellungen der Überprüfung auf Schadsoftware zu ändern, bearbeiten Sie die relevanten Felder unter „onUpload“. Stellen Sie sicher, dass „isEnabled“ den Wert TRUE aufweist. Wenn Sie eine unbegrenzte Überprüfung zulassen möchten, weisen Sie dem Parameter „capGBPerMonth“ den Wert „–1“ zu.

  3. Verwenden Sie den folgenden Anforderungstext, um Defender für Storage für diese Speicherkonten zu deaktivieren:

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

Stellen Sie sicher, dass Sie den Parameter overrideSubscriptionLevelSettings hinzufügen und dass dessen Wert auf TRUE festgelegt ist. Dadurch wird sichergestellt, dass die Einstellungen nur für dieses Speicherkonto gespeichert werden und nicht von den Abonnementeinstellungen überschieben werden.

Nächster Schritt

Erfahren Sie mehr über die Einstellungen für die Prüfung auf Schadsoftware.