Einführung in die Schadsoftwareüberprüfung

Die Schadsoftwareüberprüfung in Microsoft Defender for Storage verbessert die Sicherheit Ihrer Azure Storage-Konten, indem Schadsoftwarebedrohungen erkannt und minimiert werden. Es verwendet Microsoft Defender Antivirus, um Ihre Speicherinhalte zu scannen und die Datensicherheit und Compliance sicherzustellen.

Defender for Storage bietet zwei Arten von Schadsoftwareüberprüfungen:

• Schadsoftwareüberprüfung beim Hochladen: Scannt Blobs automatisch, wenn sie hochgeladen oder geändert werden, wodurch Erkennung nahezu in Echtzeit bereitgestellt wird. Diese Art von Überprüfung eignet sich ideal für Anwendungen, die häufige Benutzeruploads umfassen, wie Webanwendungen oder Plattformen für die Zusammenarbeit. Das Scannen von Inhalten während des Hochladens hilft, zu verhindern, dass schädliche Dateien in Ihre Speicherumgebung gelangen und sich weiterverbreiten.

• On-Demand-Schadsoftwareüberprüfung: Ermöglicht es Ihnen, vorhandene Blobs bei Bedarf zu scannen, wodurch sie ideal für die Reaktion auf Vorfälle, Compliance und proaktive Sicherheit geeignet ist. Dieser Überprüfungstyp eignet sich ideal zum Einrichten einer Sicherheitsbasislinie, indem alle vorhandenen Daten überprüft werden, auf Sicherheitswarnungen reagiert wird oder Überwachungen vorbereitet werden.

Diese Optionen helfen Ihnen, Ihre Speicherkonten zu schützen, complianceanforderungen zu erfüllen und die Datenintegrität sicherzustellen.

Warum Schadsoftwareüberprüfung wichtig ist

Inhalte, die in den Cloudspeicher hochgeladen werden, können Schadsoftware einführen und Risiken für Ihre Organisation darstellen. Die Überprüfung auf Schadsoftware verhindert, dass schädliche Dateien in Ihre Umgebung gelangen oder sich verbreiten.

Die Schadsoftwareüberprüfung in Defender für Speicher bietet die folgenden Vorteile:

• Erkennen bösartiger Inhalte: Identifiziert und entschärft Schadsoftware.
• Verbessern des Sicherheitsstatus: Fügt eine Ebene hinzu, um die Verbreitung von Schadsoftware zu verhindern.
• Unterstützung der Compliance: Erfüllt gesetzliche Anforderungen.
• Vereinfachen der Sicherheitsverwaltung: Bietet eine cloudeigene, wartungsarme Lösung, die skaliert konfiguriert werden kann.

Schlüsselfunktionen

• Eine integrierte SaaS-Lösung: Ermöglicht eine einfache Aktivierung im großen Stil ohne Wartungsaufwand.
• Umfassende Antischadsoftwarefunktionen: Scannt mit Microsoft Defender Antivirus (MDAV) und erkennt polymorphe und metamorphe Schadsoftware.
• Umfassende Erkennung: überprüft alle Dateitypen, einschließlich Archiven wie ZIP- und RAR-Dateien, bis zu 50 GB pro Blob.
• Flexible Scanoptionen: Bietet On-Upload- und On-Demand-Scans basierend auf Ihren Anforderungen.
• Integration mit Sicherheitswarnungen: Generiert detaillierte Warnungen in Microsoft Defender for Cloud.
• Unterstützung für Automatisierung: Ermöglicht automatisierte Antworten mithilfe von Azure-Diensten wie Logic Apps und Funktions-Apps.
• Compliance und Überwachung: Protokolliert Überprüfungsergebnisse für Compliance und Überwachung.
• Unterstützung privater Endpunkte: Unterstützt private Endpunkte, um den Datenschutz zu gewährleisten, indem die Gefährdung des öffentlichen Internets beseitigt wird.

Welche Art von Schadsoftwareüberprüfung funktioniert für Ihre Anforderungen?

Wenn Sie sofortigen Schutz für häufige Uploads wünschen, ist die Schadsoftwareüberprüfung beim Hochladen die richtige Wahl. Sie eignet sich am besten zum Überprüfen von Inhalten, die Benutzer in Web-Apps hochladen, um freigegebene Multimediaressourcen zu schützen und Compliance in regulierten Sektoren sicherzustellen. Das Scannen beim Hochladen ist auch wirksam, wenn Sie Partnerdaten integrieren, Plattformen für die Zusammenarbeit schützen oder Datenpipelinen und Machine Learning-Datasets sichern müssen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung beim Hochladen.

Wenn Sie Sicherheitsbaselines einrichten möchten, ist die On-Demand-Schadsoftwareüberprüfung eine gute Wahl. Es bietet auch Flexibilität, Scans basierend auf bestimmten Anforderungen auszuführen. Die On-Demand-Überprüfung eignet sich gut für die Reaktion auf Vorfälle, Compliance und proaktive Sicherheitspraktiken. Sie können sie verwenden, um Scans als Reaktion auf Sicherheitstrigger zu automatisieren, sich mit geplanten Überprüfungen auf Audits vorzubereiten oder proaktiv gespeicherte Daten auf Schadsoftware zu überprüfen. Darüber hinaus trägt die On-Demand-Überprüfung dazu bei, die Sicherheit der Kunden zu gewährleisten und Daten vor der Archivierung oder dem Austausch zu überprüfen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung nach Bedarf.

Bereitstellen von Scan-Ergebnissen

Die Scanergebnisse der Schadsoftwareüberprüfung sind über vier Methoden verfügbar. Nach der Einrichtung werden Scanergebnisse als Blobindextags für jede gescannte Datei im Speicherkonto und als Microsoft Defender for Cloud-Sicherheitswarnungen angezeigt, wenn eine Datei als schädlich identifiziert wird. Sie können zusätzliche Methoden für Scanergebnisse konfigurieren, z. B. Event Grid und Log Analytics. Diese Methoden erfordern eine zusätzliche Konfiguration. Im nächsten Abschnitt erfahren Sie mehr über die verschiedenen Methoden für Scanergebnisse.

Scanergebnisse

Blobindextags

Blobindextags sind Metadatenfelder in einem Blob. Sie kategorisieren Daten in Ihrem Speicherkonto mithilfe von Schlüssel/Wert-Tagattributen. Diese Tags werden automatisch indiziert und als durchsuchbarer mehrdimensionaler Index verfügbar gemacht, um Daten einfach finden zu können. Die Scanergebnisse sind übersichtlich und zeigen das Ergebnis und die UTC-Zeit der Schadsoftwareüberprüfung in den Metadaten des Blobs an. Andere Ergebnistypen (Warnungen, Ereignisse, Protokolle) bieten weitere Informationen.

Anwendungen können Blobindextags verwenden, um Workflows zu automatisieren, sie sind aber nicht manipulationssicher. Weitere Informationen finden Sie unter Einrichten der Reaktion.

Hinweis

Der Zugriff auf Indextags erfordert Berechtigungen. Weitere Informationen finden Sie unter Abrufen, Festlegen und Aktualisieren von Blobindextags.

Defender für Cloud Sicherheitswarnungen

Wenn eine schädliche Datei erkannt wird, generiert Microsoft Defender for Cloud eine Microsoft Defender for Cloud-Sicherheitswarnung. Um die Warnung anzuzeigen, wechseln Sie zu Microsoft Defender for Cloud-Sicherheitswarnungen. Die Sicherheitswarnung enthält Details und Kontext für die Datei, den Schadsoftwaretyp sowie empfohlene Untersuchungs- und Wartungsschritte. Um diese Warnungen für die Wartung zu verwenden, haben Sie folgende Möglichkeiten:

• Zeigen Sie Sicherheitswarnungen im Azure-Portal an, indem Sie zu Microsoft Defender for Cloud>Sicherheitswarnungen navigieren.
• Konfigurieren Sie Automatisierungen basierend auf diesen Warnungen.
• Exportieren von Sicherheitswarnungen in eine Sicherheitsinformations- und Ereignisverwaltung (SECURITY Information and Event Management, SIEM). Sie können Sicherheitswarnungen kontinuierlich in Microsoft Sentinel (das SIEM von Microsoft) mithilfe des Microsoft Sentinel-Connectors exportieren, oder in ein anderes SIEM Ihrer Wahl.

Erfahren Sie mehr über das Reagieren auf Sicherheitswarnungen.

Event Grid-Ereignis

Event Grid ist nützlich für die ereignisgesteuerte Automatisierung. Es ist die schnellste Methode, um Ergebnisse mit minimaler Wartezeit in einer Form von Ereignissen zu erhalten, die Sie zum Automatisieren von Reaktionen verwenden können.

Ereignisse aus benutzerdefinierten Event Grid-Themen können mit mehreren Endpunkttypen konsumiert werden. Die nützlichsten Endpunkte für Schadsoftwareüberprüfungsszenarien sind:

• Funktions-App (früher als Azure-Funktion bezeichnet) – Verwenden Sie eine serverlose Funktion, um Code für automatisierte Reaktionen wie Verschieben, Löschen oder Quarantäne auszuführen.
• Webhook – zum Herstellen einer Verbindung mit einer Anwendung.
• Event Hubs und Service Bus-Warteschlange – zur Benachrichtigung nachgelagerter Consumer. Erfahren Sie, wie Sie die Schadsoftwareüberprüfung so konfigurieren, dass jedes Überprüfungsergebnis automatisch zu Automatisierungszwecken an ein Event Grid-Thema gesendet wird.

Protokollanalyse

Möglicherweise möchten Sie Ihre Scanergebnisse protokollieren, um Beweise für die Compliance zu haben oder Scanergebnisse zu untersuchen. Wenn Sie ein Protokollanalysearbeitsbereichsziel einrichten, können Sie jedes Scanergebnis in einem zentralen Protokollrepository speichern, das einfach abzufragen ist. Sie können die Ergebnisse anzeigen, indem Sie zum Zielarbeitsbereich für die Protokollanalyse navigieren und nach der StorageMalwareScanningResults-Tabelle suchen.

Für die Automatisierung von Aktionen basierend auf Scanergebnissen wird empfohlen, entweder die Indextags oder Ereignisrasterbenachrichtigungen zu verwenden. Für die Erstellung eines Überwachungspfads mit Scanergebnissen ist Log Analytics die bevorzugte Lösung.

Erfahren Sie mehr über das Einrichten der Protokollierung für die Überprüfung von Schadsoftware.

Tipp

Erkunden Sie das Feature zum Scannen von Schadsoftware in Defender for Storage über unser praktisches Labor. Befolgen Sie die Ninja-Schulungsanweisungen für eine detaillierte, schrittweise Anleitung zum Einrichten und Testen der Malware-Überprüfung end-to-End. Konfigurieren Sie Antworten auf Scanergebnisse. Dies ist Teil des Projekts „Labs“, das die Kundschaft dabei unterstützt, Microsoft Defender for Cloud zu nutzen und praktische Erfahrungen mit dessen Funktionen bereitzustellen.

Reaktionsautomatisierung

Die Malware-Überprüfung unterstützt automatisierte Reaktionen, z. B. das Löschen oder das Isolieren (unter Quarantäne stellen) verdächtiger Dateien. Verwalten Sie dies mithilfe von Blob-Indextags oder richten Sie Event Grid-Ereignisse zur Automatisierung ein. Automatisieren Sie Antworten auf folgende Weise:

• Blockieren des Zugriffs auf nicht überprüfte oder schädliche Dateien mithilfe von ABAC (Attribute-Based Access Control, attributbasierte Zugriffssteuerung)
• Schädliche Dateien automatisch löschen oder verschieben, um betroffene Dateien mithilfe von Logic Apps (basierend auf Sicherheitswarnungen) oder Event Grid mit Funktions-Apps (basierend auf Scanergebnissen) in Quarantäne zu setzen.
• Bereinigte Dateien weiterleiten an einen anderen Speicherort mithilfe von Event Grid und Funktions-Apps.

Erfahren Sie mehr über das Einrichten der Reaktion auf Ergebnisse der Schadsoftwareüberprüfung.

Einrichten der Schadsoftwareüberprüfung

Wenn die Schadsoftwareüberprüfung aktiviert ist, werden die folgenden Aktionen automatisch in Ihrer Umgebung ausgeführt:

• Für jedes Speicherkonto, für das Sie die Schadsoftwareüberprüfung aktivieren, wird eine Event Grid-Systemtopic-Ressource in derselben Ressourcengruppe des Speicherkontos erstellt, die vom Schadsoftwareüberprüfungsdienst verwendet wird, um Blobuploadtrigger zu überwachen. Das Entfernen dieser Ressource beschädigt die Funktionalität der Schadsoftwareüberprüfung.
• Um Ihre Daten zu scannen, benötigt der Malware-Überprüfungsdienst Zugriff auf Ihre Daten. Während der Dienstaktivierung wird in Ihrem Azure-Abonnement eine neue Datenscannerressource namens StorageDataScanner erstellt und einer systemseitig zugewiesenen verwalteten Identität zugewiesen. Dieser Ressource wird die Rollenzuweisung „Besitzer von Speicherblobdaten“ zugewiesen, die ihr den Zugriff auf Ihre Daten zum Zwecke der Malware-Überprüfung und der Ermittlung vertraulicher Daten ermöglicht.

• Die Ressource StorageDataScanner wird ebenfalls den Ressourcenzugriffsregeln der Netzwerk-ACL des Speicherkontos hinzugefügt. Auf diese Weise kann Defender Ihre Daten scannen, wenn der öffentliche Netzwerkzugriff auf das Speicherkonto eingeschränkt ist.
• Wenn Sie die Schadsoftwareüberprüfung auf Abonnementebene aktivieren, wird eine neue Ressource namens StorageAccounts/securityOperators/DefenderForStorageSecurityOperator in Ihrem Azure-Abonnement erstellt. Dieser Ressource wird eine systemseitig verwaltete Identität zugewiesen. Sie wird verwendet, um Defender for Storage und die Konfigurationen der Malware-Überprüfung für vorhandene Speicherkonten zu aktivieren und zu reparieren. Darüber hinaus wird überprüft, ob neue Speicherkonten im Abonnement erstellt wurden, um die Malware-Überprüfung zu aktivieren. Diese Ressource verfügt über spezifische Rollenzuweisungen mit den erforderlichen Berechtigungen zum Aktivieren der Schadsoftwareüberprüfung.

Hinweis

Die Schadsoftwareüberprüfung hängt von bestimmten Ressourcen, Identitäten und Netzwerkeinstellungen ab, um ordnungsgemäß zu funktionieren. Wenn Sie eines dieser Änderungen ändern oder löschen, funktioniert die Schadsoftwareüberprüfung nicht mehr. Um den normalen Betrieb wiederherzustellen, schalten Sie es aus und wieder ein.

Unterstützte Inhalte und Einschränkungen

Unterstützte Inhalte

• Dateitypen: Alle Dateitypen, einschließlich Archive wie ZIP-Dateien.

• Dateigröße: Blobs bis zu 50 GB Größe.

Einschränkungen

• Nicht unterstützte Speicherkonten: Legacy v1-Speicherkonten werden nicht unterstützt.

• Nicht unterstützter Dienst: Schadsoftwareüberprüfung unterstützt Azure Files nicht.

• Nicht unterstützte Blobtypen:Anfüge- und Seitenblobs werden nicht unterstützt.

• Nicht unterstützte Verschlüsselung: Clientseitig verschlüsselte Blobs können nicht gescannt werden, da der Dienst sie nicht entschlüsseln kann. Blobs, die im Ruhezustand mit kundenverwalteten Schlüsseln (Customer Managed Keys, CMK) verschlüsselt sind, werden unterstützt.

• Nicht unterstützte Protokolle: Blobs, die über das Network File System (NFS) 3.0-Protokoll hochgeladen wurden, werden nicht gescannt.

• Blobindextags: Indextags werden für Speicherkonten mit aktivierten hierarchischen Namespaces (Azure Data Lake Storage Gen2) nicht unterstützt.

• Nicht unterstützte Regionen: In einigen Regionen wird die Schadsoftwareüberprüfung noch nicht unterstützt. Der Dienst wird laufend auf neue Regionen ausgedehnt. Die aktuelle Liste der unterstützten Regionen finden Sie unter Verfügbarkeit von Defender for Cloud.

• Ereignisraster: Ereignisrasterthemen, für die kein öffentlicher Netzwerkzugriff aktiviert ist (z. B. private Endpunktverbindungen), werden von der Schadsoftwareüberprüfung in Defender für Speicher nicht unterstützt.

• Blob kann nach dem Metadatenupdate nicht gescannt werden**:** Wenn die Metadaten eines Blobs bald nach dem Upload aktualisiert werden, kann die Überprüfung beim Hochladen das Blob nicht mehr überprüfen. Um dieses Problem zu vermeiden, empfiehlt es sich, blob-Metadaten entweder in BlobOpenWriteOptions anzugeben oder die Aktualisierung der BLOB-Metadaten zu verzögern, bis das Blob gescannt wurde.

• Scanzeitlimits: Je nach Größe und Komplexität kann es für einige Blobs sehr lange dauern, bis sie gescannt werden. Zip-Dateien mit vielen Einträgen dauern z. B. in der Regel lange, bis sie gescannt werden. Defender erzwingt einen oberen Grenzwert für die Zeitspanne zum Überprüfen eines einzelnen Blobs. Diese Zeit liegt zwischen 30 Minuten und 3 Stunden, je nach Größe des Blobs. Wenn der Scan eines Blobs länger dauert als die zugewiesene Zeit, wird der Scan angehalten und das Scan-Ergebnis wird als „Scan-Zeitüberschreitung“ markiert.

Sonstige Kosten

Azure Services: Schadsoftwareüberprüfung verwendet andere Azure-Dienste, die möglicherweise weitere Kosten verursachen:

• Azure Storage-Lesevorgänge
• Azure Storage-Blobindizierung
• Azure Event Grid-Ereignisse

Das Microsoft Defender für Speicherpreisschätzungs-Dashboard kann Ihnen helfen, die erwarteten Gesamtkosten von Defender für Speicher zu schätzen.

Blobscans und Auswirkungen auf IOPS

Jedes Mal, wenn der Schadsoftwarescandienst eine Datei überprüft, löst er einen anderen Lesevorgang aus und aktualisiert das Indextag. Dies gilt sowohl für die Überprüfung beim Hochladen, die nach dem Hochladen oder Ändern des Blobs auftritt, als auch für On-Demand-Überprüfung. Trotz dieser Vorgänge bleibt der Zugang zu den gescannten Daten unberührt. Die Auswirkungen auf Eingabe-/Ausgabevorgänge pro Sekunde (IOPS) sind minimal, wodurch sichergestellt wird, dass diese Vorgänge in der Regel keine erhebliche Last darstellen.

Szenarien, in denen Schadsoftwareüberprüfung unwirksam ist

Während die Schadsoftwareüberprüfung umfassende Erkennungsfunktionen bietet, gibt es bestimmte Szenarien, in denen sie aufgrund von inhärenten Einschränkungen ineffektiv sein kann. Bewerten Sie diese Szenarien sorgfältig, bevor Sie sich für die Aktivierung der Schadsoftwareüberprüfung auf einem Speicherkonto entscheiden:

• Daten in Blöcken: Die Überprüfung auf Schadsoftware ist bei der Erkennung von Bedrohungen in Blobs, die in kleinere Teile unterteilt wurden, unwirksam. Blobs, die den Dateiheader enthalten, aber fehlende Teile der restlichen Datei werden als beschädigt markiert. Bei Blobs, die das Ende der Ursprünglichen Datei enthalten, aber nicht den Dateiheader haben, erkennt das Antischadsoftwaremodul keine Schadsoftware. Um dieses Risiko zu mindern, sollten Sie zusätzliche Sicherheitsmaßnahmen in Betracht ziehen, z. B. das Scannen von Daten vor dem Aufteilen oder nachdem sie vollständig wieder zusammengesetzt wurden.

• Verschlüsselte Daten: Die Schadsoftwareüberprüfung unterstützt keine clientseitig verschlüsselten Daten. Der Dienst kann diese Daten nicht entschlüsseln, sodass Schadsoftware innerhalb dieser verschlüsselten Blobs nicht erkannt wird. Wenn die Verschlüsselung erforderlich ist, scannen Sie die Daten vor dem Verschlüsselungsprozess, oder verwenden Sie unterstützte Verschlüsselungsmethoden wie vom Kunden verwaltete Schlüssel (CMK) zur Verschlüsselung im Ruhezustand.

• Sicherungsdaten: Sicherungen bestehen aus Fragmenten aus verschiedenen Dateien. Wenn eine schädliche Datei gesichert wird, kann sie eine falsch positive Erkennung für die Sicherungsdatei auslösen, die selbst nicht böswillig ist.

Berücksichtigen Sie bei der Entscheidung, die Schadsoftwareüberprüfung zu aktivieren, ob andere unterstützte Dateien in das Speicherkonto hochgeladen werden. Bewerten Sie außerdem, ob Angreifer diesen Uploadstream ausnutzen könnten, um Schadsoftware einzuführen.

Unterschiede bei der Erkennung von Schadsoftware zwischen Azure Storage und Endpunktumgebungen

Defender for Storage verwendet dasselbe Antischadsoftwaremodul und up-to-Datumssignaturen wie Defender für Endpunkt, um nach Schadsoftware zu suchen. Wenn Dateien jedoch in Azure Storage hochgeladen werden, fehlen ihnen bestimmte Metadaten, von denen das Antischadsoftwaremodul abhängt. Dieser Mangel an Metadaten kann zu einer höheren Rate von verpassten Erkennungen führen, die in Azure Storage als "falsch negativ" bezeichnet werden, verglichen mit erkennungen, die von Defender für Endpunkt identifiziert wurden.

Nachfolgend finden Sie einige Beispiele für fehlende Metadaten:

• Webmarkierung (Mark Of The Web, MOTW): MOTW ist ein Windows-Sicherheitsfeature zur Nachverfolgung von heruntergeladenen Dateien aus dem Internet. Beim Hochladen von Dateien in Azure Storage gehen diese Metadaten jedoch verloren.

• Dateipfadkontext: Auf Standardbetriebssystemen kann der Dateipfad weiteren Kontext für die Bedrohungserkennung bereitstellen. So wird beispielsweise eine Datei, die versucht, Änderungen an Systemspeicherorten wie C:\Windows\System32 vorzunehmen, als verdächtig gekennzeichnet und näher analysiert. In Azure Storage kann der Kontext bestimmter Dateipfade innerhalb des Blobs nicht auf die gleiche Weise genutzt werden.

• Verhaltensdaten: Defender for Storage analysiert den Inhalt von Dateien, ohne sie auszuführen. Die Lösung untersucht die Dateien und emuliert ggf. ihre Ausführung, um sie auf Schadsoftware zu überprüfen. Bestimmte Arten von Schadsoftware, die ihre schädliche Natur nur während der Ausführung offenbaren, werden bei diesem Ansatz allerdings möglicherweise nicht erkannt.

Zugriff und Datenschutz

Datenzugriffsanforderungen

Der Malware-Überprüfungsdienst erfordert Zugriff auf Ihre Daten, um nach Schadsoftware zu suchen. Während der Dienstaktivierung wird eine neue Datenscannerressource namens StorageDataScanner in Ihrem Azure-Abonnement erstellt. Dieser Ressource wird eine systemseitig zugewiesene verwaltete Identität sowie die Rollenzuweisung „Besitzer von Speicherblobdaten” zugewiesen, damit sie auf Ihre Daten zugreifen und sie überprüfen kann.

Wenn die Netzwerkkonfiguration Ihres Speicherkontos auf „Öffentlichen Netzwerkzugriff von ausgewählten virtuellen Netzwerken und IP-Adressen aktivieren“ festgelegt ist, wird die Ressource StorageDataScanner dem Abschnitt „Ressourceninstanzen“ unter der Netzwerkkonfiguration des Speicherkontos hinzugefügt, um den Zugriff zum Überprüfen Ihrer Daten zu ermöglichen.

Datenschutz und regionale Verarbeitung

• Regionale Verarbeitung: Die Überprüfung erfolgt innerhalb der Azure-Region Ihres Speicherkontos, um die Anforderungen an die Datenresidenz einzuhalten.

• Datenverarbeitung: Gescannte Dateien werden nicht gespeichert. In einigen Fällen können Dateimetadaten (z. B. SHA-256-Hash) zur weiteren Analyse für Microsoft Defender for Endpoint freigegeben werden.

Umgang mit möglichen falsch positiven und falsch negativen Ergebnissen

Falsch positive Ergebnisse

Falsch positive Ergebnisse treten auf, wenn das System eine gutartige Datei fälschlicherweise als böswillig identifiziert. So beheben Sie diese Probleme:

1. Zur Analyse übermitteln

   • Verwenden Sie das Portal für Beispielübermittlung, um falsch positive Ergebnisse zu melden.

   • Wählen Sie beim Übermitteln „Microsoft Defender for Storage“ als Quelle aus.

2. Suppress alerts (Warnungen unterdrücken)

   • Erstellen Sie Unterdrückungsregeln in Defender for Cloud, um bestimmte wiederkehrende falsch positive Warnungen zu verhindern.

Beheben von nicht erkannter Schadsoftware (falsch negative Ergebnisse)

Falsch negative Ergebnisse treten auf, wenn das System eine schädliche Datei nicht erkennt. Wenn Sie vermuten, dass dies passiert ist, können Sie die nicht erkannte Schadsoftware melden, indem Sie die Datei zur Analyse über das Portal für Beispielübermittlung einreichen. Achten Sie darauf, so viel Kontext wie möglich anzugeben, um zu erklären, warum die Datei böswillig ist.

Hinweis

Das regelmäßige Melden falsch positiver und negativer Ergebnisse trägt dazu bei, die Genauigkeit des Schadsoftwareerkennungssystems im Laufe der Zeit zu verbessern.

Zugehöriger Inhalt

• Schadsoftwareüberprüfung beim Hochladen in Microsoft Defender for Storage

• On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage