Bereitstellen von Microsoft Defender für Storage
Microsoft Defender für Storage ist eine native Azure-Lösung. Sie bietet eine fortschrittliche Intelligenzebene zur Erkennung und Abwehr von Bedrohungen in Speicherkonten. Sie nutzt Microsoft Threat Intelligence, Microsoft Defender Antimalware-Technologien und Erkennung vertraulicher Daten. Sie schützt Azure Blob Storage-, Azure Files- und Azure Data Lake Storage Gen2-Dienste. Der Dienst bietet eine umfassende Warnungssuite, Schadsoftwareüberprüfung in Quasi-Echtzeit (als Add-On) und die Bedrohungserkennung für vertrauliche Daten ohne zusätzliche Kosten. Auf diese Weise können Sie potenzielle Sicherheitsbedrohungen mit detaillierten Informationen schnell erkennen, bewerten und darauf reagieren. Er hilft, die wichtigsten Auswirkungen auf Ihre Daten und Workloads zu verhindern, u. a. Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung.
Mit Microsoft Defender für Storage können Organisationen ihren Schutz anpassen und konsistente Sicherheitsrichtlinien erzwingen, indem sie ihn mit präziser Kontrolle und Flexibilität für Abonnements und Speicherkonten aktivieren.
Tipp
Wenn Sie derzeit Microsoft Defender für Storage (klassisch) verwenden, sollten Sie eine Migration zum neuen Plan in Erwägung ziehen, der mehrere Vorteile gegenüber dem klassischen Plan bietet.
Informationen zu Preisen und regionaler Verfügbarkeit finden Sie auf der Preisseite von Defender for Cloud.
Voraussetzungen
Bevor Sie Microsoft Defender für Storage aktivieren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen und Voraussetzungen verfügen. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Defender für Storage.
Einrichten und Konfigurieren von Microsoft Defender für Storage
Um Microsoft Defender für Storage zu aktivieren und zu konfigurieren, um maximalen Schutz sowie eine Kostenoptimierung zu gewährleisten, stehen die folgenden Konfigurationsoptionen zur Verfügung:
- Aktivieren/deaktivieren Sie Microsoft Defender für Storage auf Abonnement- und Speicherkontoebene.
- Aktivieren/deaktivieren Sie die konfigurierbaren Funktionen für Malware-Scans oder die Erkennung von Bedrohungen vertraulicher Daten.
- Legen Sie eine monatliche Obergrenze für die Überprüfung auf Schadsoftware pro Speicherkonto und Monat fest, um die Kosten zu steuern (Standardwert: 5.000 GB).
- Konfigurieren Sie Methoden zum Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.
- Konfigurieren Sie Methoden zum Speichern der Protokolle mit den Ergebnissen der Malware-Überprüfung.
Tipp
Für die Funktion der Überprüfung auf Schadsoftware können erweiterte Konfigurationen vorgenommen werden, mit denen Sicherheitsteams unterschiedliche Workflows und Anforderungen unterstützen können.
- Überschreiben Sie Einstellungen auf Abonnementebene, um bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen zu konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.
Es gibt mehrere Möglichkeiten, Defender für Storage zu aktivieren und zu konfigurieren:
- Verwenden der integrierten Azure-Richtlinie (empfohlene Methode)
- Programmgesteuert mithilfe von Infrastructure-as-Code-Vorlagen, u. a.
- Verwenden des Azure-Portals
- Mit PowerShell
- Direkt mit der REST-API
Es wird empfohlen, Defender für Storage über eine Richtlinie zu aktivieren. Diese Methode erleichtert die Aktivierung im großen Stil und stellt sicher, dass eine konsistente Sicherheitsrichtlinie auf alle vorhandenen und zukünftigen Speicherkonten innerhalb des definierten Bereichs (z. B. ganze Verwaltungsgruppen) angewendet wird. Dadurch bleiben die Speicherkonten mit Defender für Storage gemäß der definierten Konfiguration der Organisation geschützt.
Hinweis
Um die Migration zurück zum klassischen Legacyplan zu verhindern, müssen Sie die alten Defender für Storage-Richtlinien deaktivieren. Suchen und deaktivieren Sie Richtlinien mit dem Namen Configure Azure Defender for Storage to be enabled
, Azure Defender for Storage should be enabled
oder Configure Microsoft Defender for Storage to be enabled (per-storage account plan)
, oder lehnen Sie Richtlinien ab, die die Deaktivierung des klassischen Plans verhindern.