Bereitstellen von Microsoft Defender für Storage
Microsoft Defender für Storage ist eine native Azure-Lösung, die eine fortschrittliche Intelligenzebene zur Erkennung und Abwehr von Bedrohungen in Speicherkonten bietet, die von Microsoft Threat Intelligence, Microsoft Defender Antimalware-Technologien und Sensitive Data Discovery unterstützt wird. Mit Schutz für Azure Blob Storage, Azure Files und Azure Data Lake Storage-Services bietet es eine umfassende Warnungssuite, Malware-Scans nahezu in Echtzeit (Add-on) und die Erkennung vertraulicher Daten (ohne zusätzliche Kosten), so dass potenzielle Sicherheitsbedrohungen mit kontextbezogenen Informationen schnell erkannt, eingeordnet und bekämpft werden können. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung.
Mit Microsoft Defender für Storage können Organisationen ihren Schutz anpassen und konsistente Sicherheitsrichtlinien erzwingen, indem sie ihn mit präziser Kontrolle und Flexibilität für Abonnements und Speicherkonten aktivieren.
Tipp
Wenn Sie Defender für Storage (klassisch) bereits aktiviert haben und auf die neuen Sicherheitsfeatures und Preise zugreifen möchten, müssen Sie zum neuen Tarif migrieren.
Verfügbarkeit
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemeine Verfügbarkeit (General Availability, GA) |
| Funktionsverfügbarkeit: | – Aktivitätsüberwachung (Sicherheitswarnungen) – Allgemeine Verfügbarkeit (GA) - Schadsoftwareüberprüfung – Allgemeine Verfügbarkeit (GA) – Erkennung von Bedrohungen sensibler Daten (Ermittlung sensibler Daten) – Vorschau Weitere Informationen finden Sie auf der Preisseite. |
| Erforderliche Rollen und Berechtigungen: | Für Malware-Scans und die Erkennung von Bedrohungen vertraulicher Daten auf Abonnement- und Speicherkonto-Ebene benötigen Sie Besitzerrollen (Abonnementbesitzer/Speicherkontobesitzer) oder spezifische Rollen mit entsprechenden Datenaktionen. Zum Aktivieren der Aktivitätsüberwachung benötigen Sie die Berechtigungen eines „Sicherheitsadministrators“. Erfahren Sie mehr zu den erforderlichen Berechtigungen. |
| Clouds: |  Kommerzielle Azure-Clouds* Azure Government (Unterstützung der Aktivitätsüberwachung nur im klassischen Plan) Azure China 21Vianet Verknüpfte AWS-Konten |
Die Azure Domain Name System (DNS)-Zone wird für Malware-Scans und die Erkennung von Bedrohungen vertraulicher Daten nicht unterstützt.
Voraussetzungen für Malware-Scans
Um Malware-Scans zu aktivieren und zu konfigurieren, müssen Sie über Besitzerrollen (z. B. Abonnementbesitzer oder Speicherkontobesitzer) oder spezifische Rollen mit den erforderlichen Datenaktionen verfügen.
Einrichten und Konfigurieren von Microsoft Defender für Storage
Um Microsoft Defender für Storage zu aktivieren und zu konfigurieren, um maximalen Schutz sowie eine Kostenoptimierung zu gewährleisten, stehen die folgenden Konfigurationsoptionen zur Verfügung:
- Aktivieren/deaktivieren Sie Microsoft Defender für Storage auf Abonnement- und Speicherkontoebene.
- Aktivieren/deaktivieren Sie die konfigurierbaren Funktionen für Malware-Scans oder die Erkennung von Bedrohungen vertraulicher Daten.
- Legen Sie eine monatliche Obergrenze („Capping“) für die Malware-Scans pro Speicherkonto und Monat fest, um die Kosten zu kontrollieren (Standardwert ist 5.000 GB).
- Konfigurieren Sie Methoden zum Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.
- Konfigurieren Sie Methoden zum Speichern der Protokolle mit den Ergebnissen der Malware-Überprüfung.
Wichtig
Für die Funktion der Prüfung auf Schadsoftware können erweiterte Konfigurationen vorgenommen werden, mit denen Sicherheitsteams unterschiedliche Workflows und Anforderungen unterstützen können.
- Setzen Sie die Einstellungen auf Abonnementebene außer Kraft, um bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen zu versehen, die von den auf Abonnementebene konfigurierten Einstellungen abweichen
Es gibt mehrere Möglichkeiten, Defender for Storage zu aktivieren und zu konfigurieren: über die in Azure integrierte Richtlinie (die empfohlene Methode), programmgesteuert über Infrastructure-as-Code-Vorlagen, einschließlich Terraform-, Bicep- und Azure Resource Manager (ARM)-Vorlagen, über das Azure-Portal oder direkt über die REST-API.
Die Aktivierung von Defender für Storage über eine Richtlinie wird empfohlen, da dies die Aktivierung im großen Stil erleichtert und sicherstellt, dass eine konsistente Sicherheitsrichtlinie auf alle vorhandenen und zukünftigen Speicherkonten innerhalb des definierten Bereichs (z. B. ganze Verwaltungsgruppen) angewandt wird. Dadurch bleiben die Speicherkonten mit Defender für Storage gemäß der definierten Konfiguration der Organisation geschützt.
Hinweis
Um die Migration zurück zum klassischen Legacyplan zu verhindern, müssen Sie die alten Defender für Storage-Richtlinien deaktivieren. Suchen Sie nach Richtlinien mit der Bezeichnung Configure Azure Defender for Storage to be enabled, Azure Defender for Storage sollte aktiviert sein, oder Configure Microsoft Defender for Storage to be enabled (per-storage account plan) oder Verweigerungsrichtlinien, die die Deaktivierung des klassischen Plans verhindern, und deaktivieren Sie diese.