On-Demand-Schadsoftwareüberprüfung

On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage ermöglicht das Scannen vorhandener Blobs in Azure Storage-Konten bei Bedarf. Diese Funktion bietet Flexibilität beim Scannen gespeicherter Daten als Reaktion auf sich ständig weiterentwickelnde Sicherheitsanforderungen, Complianceanforderungen oder Sicherheitsvorfälle, um sicherzustellen, dass Ihre Daten kontinuierlich geschützt sind.

Durch die Verwendung von Microsoft Defender Antivirus mit den neuesten Malwaredefinitionen bietet die On-Demand-Überprüfung eine cloudnative Lösung. Es ist kein weiterer infrastrukturbedingter oder betrieblicher Mehraufwand erforderlich. Bei diesem Ansatz werden Lücken in der Abdeckung behoben, insbesondere bei Daten, die vor der Aktivierung der Überprüfung hochgeladen wurden. Er hilft auch, wenn neue Bedrohungen entstehen, sodass Sie gespeicherte Dateien proaktiv absichern und potenzielle Gefährdungen in Cloudumgebungen reduzieren können.

Gängige Anwendungsfälle für die On-Demand-Schadsoftwareüberprüfung

Die On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage bietet die folgenden Vorteile:

• Reagieren auf Sicherheitsereignisse: Scannen Sie Speicherkonten sofort, wenn Sicherheitswarnungen oder verdächtige Aktivitäten erkannt werden.
• Sicherstellen der Compliance: Führen Sie geplante oder bedarfsgesteuerte Scans aus, um datenschutzrechtliche und gesetzliche Complianceanforderungen zu erfüllen.
• Proaktive Sicherheitsverwaltung: Legen Sie wiederkehrende Scans fest, um eine fortlaufend sichere Umgebung zu erhalten.
• Erstellen einer Sicherheitsbaseline: Überprüfen Sie vorhandene Daten, wenn Defender for Storage zum ersten Mal aktiviert wird, um eine Baseline für zukünftige Sicherheit einzurichten.

Schadsoftware kann Cloudspeicherumgebungen infiltrieren und ein erhebliches Risiko für Organisationen darstellen. On-Demand-Schadsoftwareüberprüfung bietet eine integrierte, cloudnative Lösung, um diese Bedrohungen zu erkennen und zu mindern, indem Ihre vorhandenen Daten auf schädliche Inhalte überprüft werden.

Gleiche Aspekte wie bei der Überprüfung beim Hochladen

Die folgenden Abschnitte gelten sowohl für die On-Demand-Schadsoftwareüberprüfung als auch für die Schadsoftwareüberprüfung beim Hochladen.

• Zusätzliche Kosten: einschließlich Azure Storage-Lesevorgänge, Blobindizierung und Event Grid-Benachrichtigungen
• Anzeigen und Verwenden von Überprüfungsergebnissen: Methoden wie Blobindextags, Defender for Cloud-Sicherheitswarnungen, Event Grid-Ereignisse und Log Analytics
• Reaktionsautomatisierung: Automatisieren von Aktionen wie Blockieren, Löschen oder Verschieben von Dateien basierend auf Überprüfungsergebnissen
• Unterstützte Inhalte und Einschränkungen: behandelt unterstützte Dateitypen und -größen, Verschlüsselung und Regionsbeschränkungen
• Zugriff und Datenschutz: Details dazu, wie der Dienst auf Ihre Daten zugreift und diese verarbeitet, einschließlich Datenschutzaspekten
• Behandeln falsch positiver und falsch negativer Ergebnisse: Schritte zum Übermitteln von Dateien zur Überprüfung und zum Erstellen von Regeln zur Unterdrückung doppelter Warnungen
• Blobüberprüfungen und Auswirkungen auf IOPS: Erfahren Sie, wie Überprüfungen weitere Lesevorgänge auslösen und Blobindextags aktualisieren.

Ausführliche Informationen zu diesen Themen finden Sie auf der Seite Einführung in die Schadsoftwareüberprüfung.

Initiieren von On-Demand-Überprüfungen

Grundlegendes zum On-Demand-Scanprozess

• Kostenschätzung: Vor dem Initiieren einer Überprüfung liefert das Azure-Portal eine Kostenschätzung basierend auf der Metrik „Blobkapazität“ und dem Datenvolumen und bietet somit einen Einblick in die potenziellen Scankosten.
• Scaninitiierung: Scans können manuell über das Azure-Portal gestartet, programmgesteuert mithilfe der REST-API ausgelöst oder über Logik-Apps, Automatisierungsrunbooks oder PowerShell-Skripts automatisiert werden, wodurch die Integration in verschiedene Workflows ermöglicht wird.
• Auflisten und Senden von Blobs zum Scannen: Sobald eine Überprüfung initiiert wurde, listet das System alle unterstützten Blobs im Speicherkonto auf und sendet sie parallel zur Überprüfung. Je nach Blobmenge und -größe kann dieser Vorgang wenige Minuten bis hin zu mehreren Stunden dauern.
• Überwachen des Fortschritts: Der Scanstatus kann über das Azure-Portal oder die API nachverfolgt werden. Dabei werden Details zur Anzahl der gescannten Blobs, zu übersprungenen Dateien, zum Datenvolumen, zu erkannten schädlichen Dateien, zum Scanstatus und zur Dauer angezeigt.
• Abschluss und Ergebnisse: Nachdem alle Blobs gescannt wurden, markiert das System den Scan als abgeschlossen und zeigt eine Zusammenfassung der Ergebnisse an. Die API kann auch verwendet werden, um die Details der letzten Überprüfung abzufragen.

Wichtige Aspekte

• Beschränkung auf einen Scan: Pro Speicherkonto kann jeweils nur eine On-Demand-Überprüfung ausgeführt werden.
• Abbruch: Scans können nur während der Anfangsphasen des Scans abgebrochen werden.

Voraussetzungen

• Berechtigungen: Sie benötigen die Rolle „Besitzer“ oder „Mitwirkender“ für das Abonnement oder Speicherkonto oder Rollen mit den erforderlichen Berechtigungen.
• Defender for Storage mit Schadsoftwareüberprüfung: Der Dienst muss für das Abonnement oder einzelne Speicherkonten aktiviert sein.

Über das Azure-Portal

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem Speicherkonto.

2. Wählen Sie unter Sicherheit und Netzwerk die Option Microsoft Defender for Cloud aus.

   

3. Bewerten Sie im Abschnitt On-Demand-Schadsoftwareüberprüfung die geschätzten Kosten basierend auf dem Datenvolumen.

   

4. Wählen Sie Blobs auf Schadsoftware scannen aus, um den Scan zu initiieren. Bestätigen Sie die Aktion, wenn Sie dazu aufgefordert werden.

   

5. Überwachen des Status:

   • Scanstatus und Ergebnisse werden alle 20 bis 30 Sekunden aktualisiert.

   • Zeigen Sie Details wie Scanstatus, gescannte Blobs, gescannte Daten, gefundene bösartige Blobs und Scandauer an.

6. Überprüfen der Ergebnisse:

   • Wenn Bedrohungen gefunden werden, sehen Sie sich die Details im Abschnitt Sicherheitsincidents und Warnungen an.

   • Aktualisieren Sie die Seite, wenn Warnungen nicht sofort sichtbar sind.

   

Hinweis

Wenn Sie eine laufende Überprüfung abbrechen möchten, wählen Sie Abbrechen aus. Der Abbruch ist nur während der Anfangsphase des Scans möglich, bevor der Status Warten auf den Abschluss erreicht wird. Sobald der Scan diesen Zustand oder einen späteren Zustand erreicht, ist es nicht mehr möglich, den Vorgang abzubrechen.

Verwenden der REST-API

Initiieren der Überprüfung

Führen Sie die folgenden Schritte aus, um eine Schadsoftwareüberprüfung mit der REST-API zu starten:

• Request URL (Anforderungs-URL):

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-preview
  

• Authentifizierung:

  • Stellen Sie sicher, dass Sie über ein gültiges Bearertoken verfügen. Dies ist für den API-Zugriff erforderlich.

• Beispiel:

  POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview
  Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
  

Überprüfen des Scanstatus und der Ergebnisse

Sobald ein Scan gestartet wird, können Sie mithilfe der folgenden Befehle den Status überprüfen und die Ergebnisse ansehen:

• Request URL (Anforderungs-URL):

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-preview
  

• Antwort Beispiel:

  {
    "scanId": "abcd1234-5678-90ab-cdef-1234567890ab",
    "scanStatus": "InProgress",
    "scanStartTime": "2024-10-03T12:34:56Z",
    "scanSummary": {
      "blobs": {
        "totalBlobsScanned": 150,
        "maliciousBlobsCount": 2,
        "skippedBlobsCount": 0,
        "scannedBlobsInGB": 10.5
      },
      "estimatedScanCostUSD": 1.575
    }
  }
  

Abbrechen eines Scans

Sie können eine laufende Überprüfung nur während der Anfangsphasen abbrechen. Sobald der Scan den Zustand WaitingForCompletion oder einen späteren Zustand erreicht hat, ist der Abbruch nicht mehr möglich. Um die Überprüfung abzubrechen, senden Sie die folgende Abbruchanforderung:

• Request URL (Anforderungs-URL):

  POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
  

Kostenaspekte

Bevor Sie eine On-Demand-Überprüfung starten, liefert das Azure-Portal eine Kostenschätzung basierend auf der Metrik „Blobkapazität“, die alle paar Stunden aktualisiert wird. Die Schätzung wird in USD angezeigt und gibt die Kosten pro gescanntem GB an. Im Gegensatz zur Überprüfung beim Hochladen gibt es keine monatliche Obergrenze: Kosten basieren vollständig auf der Nutzung.

Bewährte Methoden für die Kostenkontrolle

• Überprüfen von Kostenschätzungen: Überprüfen Sie immer die geschätzten Kosten im Azure-Portal, bevor Sie eine Überprüfung initiieren.
• Scanhäufigkeit wohlüberlegt festlegen: Planen oder automatisieren Sie Scans basierend auf Risiken. Konzentrieren Sie sich dabei auf Daten mit hoher Priorität, um unnötige Kosten zu vermeiden.
• Effizientes Automatisieren: Stellen Sie sicher, dass die Automatisierung Scans nur bei Bedarf auslöst, z. B. als Reaktion auf bestimmte Ereignisse oder Warnungen.

Bewährte Methoden

Um die Effektivität der On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage zu maximieren, sollten Sie die folgenden Empfehlungen berücksichtigen:

• Integrieren in Incident Response: Verwenden Sie die On-Demand-Überprüfung, um Sicherheitsvorfälle schnell zu beheben, indem Sie potenziell kompromittierte Dateien als Reaktion auf Warnungen scannen.
• Automatisieren von Compliancescans: Richten Sie automatische, regelmäßige Scans ein, um die fortlaufende Einhaltung gesetzlicher Anforderungen und Überwachungsbereitschaft sicherzustellen. Verwenden Sie Logic Apps oder Runbooks, um diesen Prozess zu optimieren.
• Einrichten automatisierter Reaktionen auf Scanergebnisse: Konfigurieren Sie automatisierte Workflows, die auf Ergebnisse der Schadsoftwareüberprüfung reagieren, und stellen Sie beispielsweise infizierte Dateien unter Quarantäne, oder leiten Sie saubere Dateien weiter.
• Proaktives Verwalten von Kosten: Überprüfen Sie im Azure-Portal bereitgestellte Kostenschätzungen stets vor dem Initiieren von Scans, insbesondere bei großen Datasets oder häufigen Scans.
• Konsistentes Überwachen von Ergebnissen: Überwachen Sie kontinuierlich Scanergebnisse und Sicherheitswarnungen, um über potenzielle Bedrohungen auf dem Laufenden zu bleiben und rechtzeitig Maßnahmen zu ergreifen.

Zugehöriger Inhalt

• Einführung in die Schadsoftwareüberprüfung
• Schadsoftwareüberprüfung beim Hochladen in Microsoft Defender for Storage