Freigeben über

Lösungsbeispiel zur Integration der Microsoft Defender-Ransomwarewarnungen, um Azure Backup-Wiederherstellungspunkte beizubehalten

In diesem Artikel wird die Beispiellösung beschrieben, die die Integration der Ransomwarewarnungen von Microsoft Defender veranschaulicht, um Azure Backup-Wiederherstellungspunkte beizubehalten. Angenommen, es gab eine Sicherheitsverletzung auf dem virtuellen Computer, der sowohl durch Defender als auch durch Azure Backup geschützt ist. Defender erkennt die Ransomware und löst eine Warnung aus, die Details zur Aktivität und Empfehlungen zur Behebung enthält. Bei Erkennung eines Ransomwaresignals durch Defender hat die weitere Verfügbarkeit von Sicherungen für unsere Kunden höchste Priorität, um Datenverluste zu minimieren. Dies wird durch Aussetzen des Ablaufs erreicht.

Azure Backup bietet mehrere Sicherheitsfunktionen, die Ihnen beim Schutz Ihrer Sicherungsdaten helfen. Vorläufiges Löschen, Unveränderliche Tresore und Mehrbenutzerautorisierung (MUA) sind Teil einer umfassenden Datenschutzstrategie für Sicherungsdaten. Vorläufiges Löschen ist standardmäßig aktiviert, und es gibt eine Option, vorläufiges Löschen so festzulegen, dass es immer aktiviert ist. Dieser Vorgang kann nicht rückgängig gemacht werden. Vorläufig gelöschte Sicherungsdaten werden ohne zusätzliche Kosten 14 Tage lang aufbewahrt. Sie haben die Option, die Dauer zu verlängern. Durch die Aktivierung der Unveränderlichkeit für Tresore können Sicherungsdaten geschützt werden, da alle Vorgänge blockiert werden, die zu einem Verlust von Wiederherstellungspunkten führen könnten. Sie können Mehrbenutzerautorisierung (Multi-User Authorization, MUA) für Azure Backup als zusätzliche Schutzebene für kritische Vorgänge in Ihren Recovery Services-Tresoren konfigurieren. Standardmäßig wird eine kritische Warnung für destruktive Vorgänge (z. B. Beenden des Schutzes beim Löschen von Sicherungsdaten) ausgelöst, und eine E-Mail wird an Abonnementbesitzer, Administratoren und Co-Administratoren gesendet.

Microsoft Defender for Cloud (MDC) ist eine CSPM-Lösung (Cloud Security Posture Management) und CWPP-Lösung (Cloud Workload Protection Platform) für alle Ihre Azure-Ressourcen, lokalen Ressourcen und Multicloudressourcen (Amazon AWS und Google GCP). Defender for Cloud generiert Sicherheitswarnungen, wenn Bedrohungen in Ihrer Cloud-, Hybrid- oder lokalen Umgebung identifiziert werden. Der Dienst ist verfügbar, wenn Sie erweiterte Sicherheitsfeatures aktivieren. Jede Warnung enthält Details zu den betroffenen Ressourcen, die Informationen, die Sie benötigen, um das Problem schnell zu untersuchen, und Schritte zur Entschärfung eines Angriffs. Bei Angriffen durch Malware oder Ransomware auf einem virtuellen Azure-Computer erkennt Microsoft Defender for Cloud verdächtige Aktivitäten und Indikatoren, die mit Ransomware auf einer Azure-VM zusammenhängen, und generiert eine Sicherheitswarnung. Beispiele für Defender for Cloud-Warnungen, die bei einer Ransomwareerkennung ausgelöst werden: Ransomware-Indikatoren erkannt, Verhalten ähnlich dem von Ransomware erkannt usw.

Hinweis

Diese Beispiellösung ist auf Azure Virtual Machines ausgerichtet. Sie können die Logik-App nur auf Abonnementebene bereitstellen. Das bedeutet, dass alle Azure-VMs unter dem Abonnement die Logik-App verwenden können, um den Ablauf von Wiederherstellungspunkten im Falle einer Sicherheitswarnung zu unterbrechen.

Details zur Lösung

Diese Beispiellösung veranschaulicht die Integration von Azure Backup in Microsoft Defender for Cloud (MDC) zur Erkennung von und Reaktion auf Warnungen, um die Reaktion zu beschleunigen. Das Beispiel veranschaulicht die folgenden drei Anwendungsfälle:

  • Möglichkeit zum Senden von E-Mail-Benachrichtigungen an den Sicherungsadministrator
  • Selektieren und manuelles Auslösen der Logik-App zum Schützen von Sicherungen durch den Sicherheitsadministrator
  • Workflow, um automatisch auf die Warnung zu reagieren, indem der Vorgang zum Deaktivieren der Sicherungsrichtlinie (Sicherung beenden und Daten speichern) ausgeführt wird

Diagramm: Microsoft Defender for Cloud und Azure Backup mit Logik-Apps tragen zum Schutz der Sicherungsdaten bei.

Voraussetzungen

Bereitstellen von Azure Logic Apps

Führen Sie zum Bereitstellen von Azure Logic Apps die folgenden Schritte aus:

  1. Wechseln Sie zu GitHub, und wählen Sie In Azure bereitstellen aus.

    Screenshot: Starten von Azure Logic Apps über GitHub

  2. Geben Sie im Bereich Bereitstellung die folgenden Details ein:

    • Abonnement: Wählen Sie das Abonnement aus, dessen Azure-VMs die Logik-App steuern soll.

    • Name: Geben Sie einen geeigneten Namen für die Logik-App ein.

    • Region: Wählen Sie die Region aus, der das Abonnement zugeordnet ist.

    • E-Mail-Adresse: Geben Sie die E-Mail-Adresse des Sicherungsadministrators ein, damit er Warnungen empfängt, wenn die Richtlinie ausgesetzt wird.

    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, der Logik-Apps für die Bereitstellung zugeordnet werden müssen.

    • Verwaltete Identität: Erstellen Sie eine verwaltete Identität, und weisen Sie sie mit den folgenden Mindestberechtigungen für den Dienst zu, um den Vorgang zum Beenden der Sicherung und Speichern der Daten für das Sicherungselement automatisch während einer Malwarewarnung auszuführen.

      • Mitwirkender für virtuelle Computer
      • Sicherungsoperator für das Abonnement
      • Sicherheitsleseberechtigter

      Hinweis

      Um die Sicherheit weiter zu erhöhen, empfiehlt es sich, eine benutzerdefinierte Rolle zu erstellen und diese der verwalteten Identität zuzuweisen, anstelle die oben genannten integrierten Rollen zu verwenden. Dadurch wird sichergestellt, dass alle Aufrufe mit den geringsten Rechten ausgeführt werden. Weitere Informationen zur benutzerdefinierten Rolle finden Sie in diesem GitHub-Artikel.

    • Abonnement der verwalteten Identität: Geben Sie den Namen eines Abonnements ein, in dem sich die verwaltete Identität befinden soll.

    • Ressourcengruppe der verwalteten Identität: Geben Sie den Namen einer Ressourcengruppe ein, in der sich die verwaltete Identität befinden soll.

    Screenshot: Eingeben von Details zum Bereitstellen von Azure Logic Apps

    Hinweis

    Sie benötigen Zugriff vom Typ Besitzer auf das Abonnement, um die Logik-App bereitzustellen.

  3. Klicken Sie auf Überprüfen + erstellen.

Autorisieren von Office 365 für E-Mail-Warnungen

Führen Sie die folgenden Schritte aus, um die API-Verbindung mit Office 365 zu autorisieren:

  1. Wechseln Sie zu der Ressourcengruppe, die Sie zum Bereitstellen der Vorlagenressourcen verwendet haben.

  2. Wählen Sie die Office365-API-Verbindung (eine der von Ihnen bereitgestellten Ressourcen) und dann den Fehler, der bei der API-Verbindung angezeigt wird, aus.

  3. Wählen Sie API-Verbindung bearbeiten aus.

  4. Wählen Sie Autorisieren.

    Hinweis

    Stellen Sie sicher, dass Sie sich bei Microsoft Entra-ID authentifizieren.

  5. Wählen Sie Speichern aus.

Auslösen der Logik-App

Sie können die bereitgestellte Logik-App manuell oder automatisch mithilfe der Workflowautomatisierung auslösen.

Manuelles Auslösen

Führen Sie die folgenden Schritte aus, um die Logik-App manuell auszulösen:

  1. Wechseln Sie zu Microsoft Defender for Cloud, und wählen Sie dann im linken Bereich Sicherheitswarnungen aus.
  2. Wählen Sie die erforderliche Warnung aus, um Details zu erweitern.
  3. Wählen Sie Maßnahmen ergreifen > Automatisierte Antwort auslösen > Logik-App auslösen aus.
  4. Suchen Sie die bereitgestellte Logik-App anhand des Namens, und wählen Sie dann Auslösen aus.

Hinweis

Mindestens erforderliche Azure RBAC-Berechtigungen zum Auslösen einer Aktion für die Sicherheitswarnung:

  • Logik-App-Operator
  • Rolle „Sicherheitsadministrator“

Auslösen mithilfe der Workflowautomatisierung über das Azure-Portal

Die Workflowautomatisierung stellt sicher, dass während einer Sicherheitswarnung Ihre Sicherungen, die dem virtuellen Computer mit diesem Problem entsprechen, in den Status Sicherung beenden und Daten speichern wechseln, sodass die Richtlinie ausgesetzt und das Löschen von Wiederherstellungspunkten angehalten wird. Sie können auch Azure Policy verwenden, um die Workflowautomatisierung bereitzustellen.

Hinweis

Mindestens benötigte Rolle, die zum Bereitstellen der Workflowautomatisierung erforderlich ist:

  • Logik-App-Operator
  • Sicherheitsadministrator

Führen Sie die folgenden Schritte aus, um die Logik-App mithilfe des automatischen Workflows auszulösen:

  1. Wechseln Sie zu Defender for Cloud, und wählen Sie dann im linken Bereich Workflowautomatisierung aus.

  2. Wählen Sie Workflowautomatisierung hinzufügen aus, um den Optionsbereich für die neue Automatisierung zu öffnen.

  3. Geben Sie die folgenden Details ein:

    • Name und Beschreibung: Geben Sie einen geeigneten Namen für die Automatisierung ein.
    • Abonnement: Wählen Sie das Abonnement aus, das auch dem Bereich der Logik-App entspricht.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, in der sich die Automatisierung befinden soll.
    • Defender for Cloud-Datentyp: Wählen Sie Sicherheitswarnung aus.
    • Warnungsname enthält: Wählen Sie Malware oder Ransomware aus.
    • Warnungsschweregrad: Wählen Sie Hoch aus.
    • Logik-App: Wählen Sie die von Ihnen bereitgestellte Logik-App aus.

  4. Klicken Sie auf Erstellen.

E-Mail-Benachrichtigungen

Wenn die Sicherungsrichtlinie für das Sicherungselement deaktiviert wird, sendet die Logik-App außerdem eine E-Mail an die ID, die Sie während der Bereitstellung eingegeben haben. Die E-Mail-ID sollte im Idealfall die des Sicherungsadministrators sein. Anschließend können Sie die Warnung untersuchen und die Sicherungen fortsetzen, wenn das Problem behoben ist oder wenn es sich um einen falschen Alarm handelt.

Nächste Schritte

Informationen zum Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware