Bereitstellen von Microsoft Defender für Storage
Microsoft Defender for Storage ist eine systemeigene Azure-Lösung, die eine erweiterte Ebene der Intelligenz für die Bedrohungserkennung und -entschärfung in Speicherkonten bietet, die von Microsoft Threat Intelligence, Microsoft Defender Antimalware-Technologien und vertraulicher Datenermittlung unterstützt wird. Mit dem Schutz für Azure Blob Storage-, Azure-Dateien- und Azure Data Lake Storage-Dienste bietet es eine umfassende Warnungssuite, nahezu echtzeitbasierte Schadsoftwareüberprüfung (Add-On) und vertrauliche Datenbedrohungen (keine zusätzlichen Kosten), sodass schnelle Erkennung, Triage und Reaktion auf potenzielle Sicherheitsbedrohungen mit kontextbezogenen Informationen ermöglicht werden. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung.
Mit Microsoft Defender für Storage können Organisationen ihren Schutz anpassen und konsistente Sicherheitsrichtlinien erzwingen, indem sie ihn mit präziser Kontrolle und Flexibilität für Abonnements und Speicherkonten aktivieren.
Tipp
Wenn Sie derzeit Microsoft Defender für Storage (klassisch) verwenden, sollten Sie eine Migration zum neuen Plan in Erwägung ziehen, der mehrere Vorteile gegenüber dem klassischen Plan bietet.
Verfügbarkeit
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemeine Verfügbarkeit (General Availability, GA) |
| Funktionsverfügbarkeit: | – Aktivitätsüberwachung (Sicherheitswarnungen) – Allgemeine Verfügbarkeit (GA) - Schadsoftwareüberprüfung – Allgemeine Verfügbarkeit (GA) – Erkennung von Bedrohungen sensibler Daten (Ermittlung sensibler Daten) – Vorschau Weitere Informationen finden Sie auf der Preisseite. |
| Erforderliche Rollen und Berechtigungen: | Für die Erkennung von Schadsoftware und die Erkennung vertraulicher Daten auf Abonnement- und Speicherkontoebene benötigen Sie Besitzerrollen (Besitzer/Speicherkontobesitzer) oder bestimmte Rollen mit entsprechenden Datenaktionen. Zum Aktivieren der Aktivitätsüberwachung benötigen Sie die Berechtigungen eines „Sicherheitsadministrators“. Erfahren Sie mehr zu den erforderlichen Berechtigungen. |
| Clouds: |  Kommerzielle Azure-Clouds* Azure Government (Unterstützung der Aktivitätsüberwachung nur im klassischen Plan) Azure China 21Vianet Verknüpfte AWS-Konten |
*Azure DNS Zone wird für die Erkennung vertraulicher Daten durch Schadsoftware und die Erkennung vertraulicher Daten nicht unterstützt.
Voraussetzungen für die Schadsoftwareüberprüfung
Zum Aktivieren und Konfigurieren der Schadsoftwareüberprüfung müssen Sie über Besitzerrollen (z. B. Abonnementbesitzer oder Speicherkontobesitzer) oder bestimmte Rollen mit den erforderlichen Datenaktionen verfügen. Erfahren Sie mehr zu den erforderlichen Berechtigungen.
Einrichten und Konfigurieren von Microsoft Defender für Storage
Um Microsoft Defender für Storage zu aktivieren und zu konfigurieren, um maximalen Schutz sowie eine Kostenoptimierung zu gewährleisten, stehen die folgenden Konfigurationsoptionen zur Verfügung:
- Aktivieren/deaktivieren Sie Microsoft Defender für Storage auf Abonnement- und Speicherkontoebene.
- Aktivieren/Deaktivieren sie die konfigurierbaren Features für die Schadsoftwareüberprüfung oder die Erkennung vertraulicher Daten.
- Legen Sie eine monatliche Obergrenze ("Capping") für die Schadsoftwareüberprüfung pro Speicherkonto pro Monat fest, um die Kosten zu steuern (Standardwert ist 5.000 GB).
- Konfigurieren Sie Methoden zum Einrichten der Reaktion auf Ergebnisse der Malware-Überprüfung.
- Konfigurieren Sie Methoden zum Speichern der Protokolle mit den Ergebnissen der Malware-Überprüfung.
Tipp
Für die Funktion der Prüfung auf Schadsoftware können erweiterte Konfigurationen vorgenommen werden, mit denen Sicherheitsteams unterschiedliche Workflows und Anforderungen unterstützen können.
- Überschreiben Sie Einstellungen auf Abonnementebene, um bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen zu konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.
Es gibt mehrere Möglichkeiten, Defender für Storage zu aktivieren und zu konfigurieren: über eine integrierte Azure-Richtlinie (empfohlene Methode), programmgesteuert unter Verwendung von Infrastructure-as-Code-Vorlagen (einschließlich Terraform-, Bicep- und ARM-Vorlagen), über das Azure-Portal oder direkt mit der REST-API.
Die Aktivierung von Defender für Storage über eine Richtlinie wird empfohlen, da dies die Aktivierung im großen Stil erleichtert und sicherstellt, dass eine konsistente Sicherheitsrichtlinie auf alle vorhandenen und zukünftigen Speicherkonten innerhalb des definierten Bereichs (z. B. ganze Verwaltungsgruppen) angewandt wird. Dadurch bleiben die Speicherkonten mit Defender für Storage gemäß der definierten Konfiguration der Organisation geschützt.
Hinweis
Um die Migration zurück zum klassischen Legacyplan zu verhindern, müssen Sie die alten Defender für Storage-Richtlinien deaktivieren. Suchen und deaktivieren Sie Richtlinien mit dem Namen Configure Azure Defender for Storage to be enabled, Azure Defender for Storage should be enabled oder Configure Microsoft Defender for Storage to be enabled (per-storage account plan), oder lehnen Sie Richtlinien ab, die die Deaktivierung des klassischen Plans verhindern.