Freigeben über


Testen der Defender for Storage-Datensicherheitsfeatures

Nachdem Sie Microsoft Defender for Storage aktiviert haben, können Sie den Dienst testen und einen Proof of Concept ausführen. Dadurch können Sie sich mit den Features vertraut machen und überprüfen, ob ihre erweiterten Sicherheitsfunktionen Ihre Speicherkonten effektiv schützen, indem Sie echte Sicherheitswarnungen generieren. In diesem Leitfaden erfahren Sie, wie Sie verschiedene Aspekte der Sicherheitsabdeckung von Defender for Storage testen.

Der Test besteht aus drei Hauptkomponenten:

  • Schadsoftwareüberprüfung (falls aktiviert)
  • Bedrohungserkennung für vertrauliche Daten (falls aktiviert)
  • Aktivitätsüberwachung

Tipp

Ein Praxislab zum Testen der Schadsoftwareüberprüfung in Defender for Storage

Es wird empfohlen, die Ninja-Trainingsanweisungen für detaillierte Schritt-für-Schritt-Anweisungen zum End-to-End-Test der Schadsoftwareüberprüfung mit dem Einrichten von Antworten auf Überprüfungsergebnisse auszuprobieren. Dies ist Teil des Projekts „Labs“, das Kunden dabei unterstützt, Microsoft Defender for Cloud zu nutzen und praktische Erfahrungen mit dessen Funktionen bereitzustellen.

Schadsoftwareüberprüfung

Führen Sie die folgenden Schritte aus, um die Schadsoftwareüberprüfung zu testen, nachdem Sie das Feature aktiviert haben:

  1. Um zu überprüfen, ob das Setup erfolgreich war, laden Sie eine Datei in das Speicherkonto hoch. Sie können das Azure-Portal zum Hochladen einer Datei verwenden.

  2. Überprüfen Sie neue Blobindextags:

    1. Nachdem Sie die Datei hochgeladen haben, schauen Sie sich das Blob an, und untersuchen Sie dessen Blobindextags.

    2. Es sollten zwei neue Tags angezeigt werden: Das Scanergebnis der Schadsoftwareüberprüfung und die Scanzeit der Schadsoftwareüberprüfung.

    3. Die Blobindextags dienen als hilfreiche Möglichkeit, die Scanergebnisse anzuzeigen.

  3. Wenn die neuen Blobindextags nicht angezeigt werden, wählen Sie die Schaltfläche Aktualisieren aus.

Screenshot: Hochladen einer Datei zum Testen der Malware-Überprüfung.

Hinweis

Indextags werden für ADLS Gen nicht unterstützt. Sehen Sie sich die generierte Sicherheitswarnung an, um Ihren Schutz für Premium-Blockblobs zu testen und zu überprüfen.

Laden Sie eine EICAR-Testdatei hoch, um den Upload von Schadsoftware zu simulieren

Führen Sie die folgenden Schritte aus, um einen Schadsoftwareupload mithilfe einer EICAR-Testdatei zu simulieren:

  1. Treffen Sie Vorbereitungen für die EICAR-Testdatei:

    1. Verwenden Sie eine EICAR-Testdatei anstelle von echter Schadsoftware, um Schaden zu vermeiden. Standardisierte Antischadsoftware behandelt EICAR-Testdateien als Schadsoftware.

    2. Schließen Sie einen leeren Ordner aus, um zu verhindern, dass der Antivirenschutz Ihres Endpunkts die Datei löscht. Microsoft Defender for Endpoint-Benutzern (MDE) finden Informationen unter Hinzufügen eines Ausschlusses zu Windows-Sicherheit.

  2. Erstellen Sie die EICAR-Testdatei:

    1. Kopieren Sie die folgende Zeichenfolge: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    2. Fügen Sie die Zeichenfolge in eine TXT-Datei ein, und speichern Sie sie im ausgeschlossenen Ordner.

  3. Laden Sie die EICAR-Testdatei in Ihr Speicherkonto hoch.

  4. Überprüfen Sie das Indextag für das Scanergebnis der Schadsoftwareüberprüfung:

    1. Suchen Sie nach dem Indextag für das Scanergebnis der Schadsoftware mit dem Wert Schädlich.

    2. Wenn die Tags nicht angezeigt werden, wählen Sie die Schaltfläche Aktualisieren aus.

  5. Empfangen Sie eine Microsoft Defender for Cloud-Sicherheitswarnung:

    1. Navigieren Sie über die Suchleiste in Azure zu Microsoft Defender for Cloud.

    2. Wählen Sie Sicherheitswarnungen aus.

  6. Überprüfen Sie die Sicherheitswarnung:

  7. a. Suchen Sie die Warnung mit dem Titel In das Speicherkonto hochgeladene schädliche Datei.

  8. b. Wählen Sie in der Warnung die Schaltfläche Vollständige Details anzeigen aus, um alle zugehörigen Details anzuzeigen.

  9. Weitere Informationen zu Defender for Storage-Sicherheitswarnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.

Bedrohungserkennung für vertrauliche Daten testen

Führen Sie die folgenden Schritte aus, um das Feature zur Bedrohungserkennung für vertrauliche Daten zu testen, indem Sie Testdaten, die vertrauliche Informationen darstellen, in Ihr Speicherkonto hochladen:

  1. Erstellen Sie ein neues Speicherkonto:

    1. Wählen Sie ein Abonnement aus, ohne dass Defender for Storage aktiviert ist.

    2. Erstellen Sie ein neues Speicherkonto mit einem zufälligen Namen unter dem ausgewählten Abonnement.

  2. Richten Sie einen Testcontainer ein:

    1. Navigieren Sie zum Bereich Container im neu erstellten Speicherkonto.

    2. Klicken Sie auf die Schaltfläche + Container, um einen neuen Blobcontainer zu erstellen.

    3. Nennen Sie den neuen Container test-container.

  3. Laden Sie Testdaten hoch:

    1. Öffnen Sie eine Textbearbeitungsanwendung auf Ihrem Computer, z. B. Editor oder Microsoft Word.

    2. Erstellen Sie eine neue Datei, und speichern Sie sie in einem Format wie TXT, CSV oder DOCX.

    3. Fügen Sie der Datei die folgende Zeichenfolge hinzu: ASD 100-22-3333 SSN Text – Diese Zeichenfolge ist ein Test, US (USA), SSN (Sozialversicherungsnummer).

      Screenshot, der zeigt, wie Sie eine Datei in der Schadsoftwareüberprüfung auf Informationen zu Sozialversicherungsnummern testen.

    4. Speichern Sie die Datei, und laden Sie sie in den Container test-container im Speicherkonto hoch.

      Screenshot, der zeigt, wie Sie eine Datei in die Schadsoftwareüberprüfung zum Testen auf Informationen zu Sozialversicherungsnummern hochladen.

  4. Aktivieren Sie Defender for Storage:

    1. Navigieren Sie im Azure-Portal zu Microsoft Defender for Cloud.

    2. Aktivieren Sie Defender for Storage für das Speicherkonto mit aktiviertem Feature zur Ermittlung vertraulicher Daten.

    Die Ermittlung vertraulicher Daten sucht innerhalb der ersten 24 Stunden nach vertraulichen Informationen. Dies tritt auf, wenn Sie es auf Speicherkontoebene aktivieren oder ein neues Speicherkonto unter einem Abonnement erstellen, das durch dieses Feature auf Abonnementebene geschützt ist. Nach dieser ersten Überprüfung führt der Dienst ab dem Zeitpunkt der Aktivierung alle sieben Tage eine Überprüfung auf vertrauliche Informationen durch.

    Hinweis

    Wenn Sie das Feature aktivieren und an den darauffolgenden Tagen vertrauliche Daten hinzufügen, findet die nächste Überprüfung auf neu hinzugefügte Daten innerhalb des nächsten 7-tägigen Überprüfungszyklus statt, abhängig vom Wochentag, an dem die Daten hinzugefügt wurden.

  5. Ändern Sie die Zugriffsebene:

    1. Kehren Sie zum Bereich Container zurück.

    2. Klicken Sie mit der rechten Maustaste auf den Container test-container, und wählen Sie Zugriffsebene ändern aus.

      Screenshot, der zeigt, wie Sie die Zugriffsebene für einen Test der Schadsoftwareüberprüfung ändern.

    3. Wählen Sie die Option Container (anonymer Lesezugriff für Container und Blobs) und dann OK aus.

    Im vorherigen Schritt wird der Inhalt des Blobcontainers im Internet verfügbar gemacht, wodurch innerhalb von 30 bis 60 Minuten eine Sicherheitswarnung ausgelöst wird.

  6. Überprüfen Sie die Sicherheitswarnung:

    1. Navigieren Sie zum Bereich Sicherheitswarnungen.

    2. Suchen Sie nach der Warnung mit dem Titel Die Zugriffsebene eines potenziell vertraulichen Speicherblobcontainers wurde so geändert, dass nicht authentifizierter öffentlicher Zugriff zugelassen wird.

    3. Wählen Sie in der Warnung die Schaltfläche Vollständige Details anzeigen aus, um alle zugehörigen Details anzuzeigen.

      Screenshot, der zeigt, wie Sie eine Warnung für eine Testdatei in der Schadsoftwareüberprüfung anzeigen.

Weitere Informationen zu Defender for Storage-Sicherheitswarnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.

Testaktivitätsüberwachung

Führen Sie die folgenden Schritte aus, um das Aktivitätsüberwachungsfeature zu testen, indem Sie den Zugriff von einem Tor-Exitknoten auf ein Speicherkonto simulieren:

  1. Erstellen Sie ein neues Speicherkonto mit einem beliebigen Namen.

  2. Richten Sie einen Testcontainer ein:

    1. Navigieren Sie zum Bereich Container im Speicherkonto.

    2. Klicken Sie auf die Schaltfläche + Container, um einen neuen Blobcontainer zu erstellen.

    3. Nennen Sie den neuen Container test-container-tor.

  3. Laden Sie eine beliebige Datei in den Container test-container-tor hoch.

  4. Generieren Sie ein SAS-Token (Shared Access Signatures):

    1. Klicken Sie mit der rechten Maustaste auf die hochgeladene Datei, und wählen Sie die Option SAS generieren aus.

    2. Wählen Sie die Schaltfläche SAS-Token und -URL generieren aus.

    3. Kopieren Sie die Blob-SAS-URL.

  5. Laden Sie die Datei mit einem Tor-Browser herunter:

    1. Öffnen Sie den Tor-Browser.

    2. Fügen Sie die SAS-URL in die Adressleiste ein, und drücken Sie die EINGABETASTE.

    3. Laden Sie die Datei herunter, wenn Sie dazu aufgefordert werden.

    Im vorherigen Schritt wird innerhalb von ein bis drei Stunden eine Sicherheitswarnung wegen einer Tor-Anomalie ausgelöst.

  6. Überprüfen Sie die Sicherheitswarnung:

    1. Navigieren Sie zum Bereich Sicherheitswarnungen.

    2. Suchen Sie nach der Warnung Zugriff von einem Tor-Exitknoten auf einen Speicherblobcontainer.

    3. Wählen Sie in der Warnung die Schaltfläche Vollständige Details anzeigen aus, um alle zugehörigen Details anzuzeigen.

Weitere Informationen zu Defender for Storage-Sicherheitswarnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie den Datenschutz und die Bedrohungserkennung in Defender for Storage testen.

Weitere Informationen: