Freigeben über


Was ist Microsoft Defender für Storage?

Microsoft Defender for Cloud ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten mit dem Defender für Storage-Plan erkennt.

Defender für Storage trägt zur Verhinderung von schädlichen Dateiuploads, Exfiltration vertraulicher Daten und Datenbeschädigungen bei und stellt die Sicherheit und Integrität Ihrer Daten und Workloads sicher.

Defender für Storage bietet umfassende Sicherheit, indem die Telemetriedaten auf Daten- und Steuerungsebene analysiert werden, die von Azure Blob Storage-, Azure Files- und Azure Data Lake Storage-Diensten generiert werden. Es verwendet erweiterte Bedrohungserkennungsfunktionen, die von Microsoft Threat Intelligence, Microsoft Defender Antivirus und Sensitive Data Discovery unterstützt werden, um potenzielle Bedrohungen zu erkennen und zu minimieren.

Animiertes Diagramm, das zeigt, wie Defender für Storage Daten vor häufigen Bedrohungen schützt.

Defender for Storage enthält:

  • Aktivitätsüberwachung – Erkennen Sie ungewöhnliche und potenziell schädliche Aktivitäten, die Ihre Speicherkonten betreffen, indem Sie Zugriffsmuster und -verhalten analysieren. Dies kann hilfreich sein, um nicht autorisierten Zugriff, Datenexfiltrationsversuche und andere Sicherheitsbedrohungen zu identifizieren.

  • Bedrohungserkennung für vertrauliche Daten – Identifizieren und schützen Sie vertrauliche Daten in Ihren Speicherkonten, indem verdächtige Aktivitäten erkannt werden, die auf eine potenzielle Sicherheitsbedrohung hinweisen können. Defender für Storage verbessert durch die Überwachung auf Aktionen wie ungewöhnliche Datenzugriffsmuster oder potenzielle Datenexfiltration die Sicherheit Ihrer vertraulichen Daten, die in Azure gespeichert sind.

  • Überprüfung auf Schadsoftware – Scannen Sie Ihre Speicherkonten auf Schadsoftware, indem Sie Dateien auf bekannte Bedrohungen und verdächtige Inhalte analysieren. Dadurch können potenzielle Sicherheitsrisiken durch schädliche Dateien identifiziert und abgemildert werden, die möglicherweise in Ihren Azure-Speicherkonten gespeichert oder dorthin hochgeladen werden. Dadurch wird der allgemeine Sicherheitsstatus Ihres Datenspeichers verbessert.

Erste Schritte

Sie können Defender für Storage ohne Agents auf Abonnementebene, Ressourcenebene oder im großen Stil aktivieren.

Wenn Sie Defender für Storage auf Abonnementebene aktivieren, werden alle vorhandenen und neu erstellten Speicherkonten unter diesem Abonnement automatisch eingeschlossen und geschützt. Sie können auch bestimmte Speicherkonten von geschützten Abonnements ausschließen.

Hinweis

Wenn Sie Defender für Storage (klassisch) bereits aktiviert haben und auf die aktuellen Sicherheitsfeatures und Preise zugreifen möchten, müssen Sie zum neuen Tarif migrieren.

Vorteile

Diagramm, das die Vorteile der Verwendung von Defender für Storage zum Schutz Ihrer Daten zeigt.

Defender für Storage bietet folgende Features:

  • Besseren Schutz vor Schadsoftware: Bei der Schadsoftwareüberprüfung werden nahezu in Echtzeit alle Dateitypen überprüft und erkannt, einschließlich der Archive aller hochgeladenen Blobs. Die Lösung bietet schnelle und zuverlässige Ergebnisse, mit denen Sie verhindern können, dass Speicherkonten als Einstiegs- und Verteilungspunkt für Bedrohungen fungieren. Erfahren Sie mehr über die Prüfung auf Schadsoftware.

  • Verbesserte Bedrohungserkennung und Schutz vertraulicher Daten: Die Bedrohungserkennung für vertrauliche Daten unterstützt Sicherheitsexperten bei der effizienten Priorisierung und Untersuchung von Sicherheitswarnungen. Sie berücksichtigt die Vertraulichkeit der gefährdeten Daten und führt so zu einer besseren Erkennung und einem besseren Schutz vor potenziellen Bedrohungen. Diese Funktion reduziert die Wahrscheinlichkeit von Datenpannen, indem die größten Risiken schnell identifiziert und behoben werden. Sie verbessert außerdem den Schutz vertraulicher Daten durch die Erkennung von Vorfällen und verdächtigen Aktivitäten für Ressourcen mit vertraulichen Daten. Informieren Sie sich genauer über die Erkennung von Bedrohungen sensibler Daten.

  • Erkennung von Entitäten ohne Identitäten: Defender für Storage erkennt verdächtige Aktivitäten von Entitäten ohne Identitäten, die mit falsch konfigurierten oder übermäßig freizügigen SAS-Tokens (Shared Access Signatures) auf Ihre Daten zugreifen. Diese Token wurden möglicherweise geleakt oder kompromittiert. Sie können dann die Sicherheit verbessern und das Risiko von nicht autorisiertem Zugriff verringern. Diese Funktion ist eine Erweiterung der Sicherheitswarnungssuite der Aktivitätsüberwachung.

  • Abdeckung der wichtigsten Cloudspeicherbedrohungen: Defender für Storage wird von Microsoft Threat Intelligence, Verhaltensmodellen und Machine Learning-Modellen unterstützt, um ungewöhnliche und verdächtige Aktivitäten zu erkennen. Die Defender für Storage-Sicherheitswarnungen decken die wichtigsten Cloudspeicherbedrohungen ab, z. B. Exfiltration vertraulicher Daten, Datenbeschädigung und Hochladen bösartiger Dateien.

  • Umfassende Sicherheit ohne Aktivierung von Protokollen: Wenn Sie Microsoft Defender für Storage aktivieren, analysiert die Lösung kontinuierlich den Telemetriedatenstrom für Daten und Steuerung von den Azure Blob Storage-, Azure Files- und Azure Data Lake Storage-Diensten. Diagnoseprotokolle müssen für diese Analyse nicht aktiviert werden.

  • Reibungslose Aktivierung im großen Stil: Microsoft Defender für Storage ist eine Lösung ohne Agent, die einfach bereitgestellt werden kann und einen umfassenden Sicherheitsschutz mithilfe einer nativen Azure-Lösung ermöglicht.

Wie funktioniert Defender für Storage?

Aktivitätsüberwachung

Wenn es aktiviert ist, analysiert Defender für Storage kontinuierlich Daten und Protokolle auf Steuerungsebene von geschützten Speicherkonten. Es ist für die Sicherheit nicht erforderlich, Ressourcenprotokolle zu aktivieren. Verwenden Sie Microsoft Threat Intelligence, um verdächtige Signaturen wie böswillige IP-Adressen, Tor-Exitknoten und potenziell gefährliche Apps zu identifizieren. Außerdem werden Datenmodelle erstellt und statistische und maschinelle Lernmethoden verwendet, um Anomalien gegenüber der Baseline zu erkennen, die auf böswilliges Verhalten hindeuten können. Sie erhalten Sicherheitswarnungen für verdächtige Aktivitäten, aber Defender für Storage stellt sicher, dass Sie nicht zu viele ähnliche Warnungen erhalten. Die Aktivitätsüberwachung wirkt sich nicht auf die Leistung, die Erfassungskapazität oder den Zugriff auf Ihre Daten aus.

Diagramm, das zeigt, wie die Aktivitätsüberwachung Bedrohungen für Ihre Daten identifiziert.

Prüfung auf Schadsoftware (unterstützt von Microsoft Defender Antivirus)

Die Überprüfung auf Schadsoftware in Defender für Storage schützt Speicherkonten vor schädlichen Inhalten, indem eine vollständige Schadsoftwareüberprüfung für hochgeladene Inhalte mithilfe von Microsoft Defender Antivirus-Funktionen nahezu in Echtzeit durchgeführt wird. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Jeder Dateityp wird überprüft, und für jede Datei werden Überprüfungsergebnisse zurückgegeben. Die Funktion der Überprüfung auf Schadsoftware ist eine SaaS-Lösung ohne Agent, die eine einfache Einrichtung im großen Stil ohne Wartungsaufwand ermöglicht und die Automatisierung von Reaktionen im großen Stil unterstützt. Dies ist ein konfigurierbares Feature im neuen Defender für Storage-Plan, das pro überprüftem GB berechnet wird. Erfahren Sie mehr über die Prüfung auf Schadsoftware.

Erkennung von Bedrohungen sensibler Daten (unterstützt durch die Erkennung sensibler Daten)

Das Feature Bedrohungserkennung für vertrauliche Daten hilft Sicherheitsteams dabei, Sicherheitswarnungen effizient zu priorisieren und zu untersuchen. Es berücksichtigt die Vertraulichkeit der gefährdeten Daten. Dies führt zu einer besseren Erkennung und trägt zum Schutz vor Datenpannen bei. Die Bedrohungserkennung für vertrauliche Daten wird von der Engine Erkennung vertraulicher Daten unterstützt. Dies ist eine Engine ohne Agent, die Ressourcen mit vertraulichen Daten mithilfe einer Methode zur intelligenten Stichprobenentnahme sucht. Der Dienst ist in Microsoft Purviews sensible Informationstypen (Sensitive Information Types, SITs) und Klassifizierungsbezeichnungen integriert, so dass die Vertraulichkeitseinstellungen Ihrer Organisation nahtlose übernommen werden können.

Dies ist ein konfigurierbares Feature im neuen Defender für Storage-Plan. Sie können es ohne weitere Kosten wahlweise aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Erkennung von Bedrohungen sensibler Daten.

Preis- und Kostenkontrolle

Preise pro Speicherkonto

Der neue Microsoft Defender für Storage-Plan verfügt über vorhersagbare Preise basierend auf der Anzahl von Speicherkonten, die Sie schützen. Die Möglichkeit zur Aktivierung auf Abonnement- oder Ressourcenebene und zum Ausschluss bestimmter Speicherkonten von geschützten Abonnements bietet Ihnen mehr Flexibilität bei der Verwaltung Ihrer Sicherheitsabdeckung. Der Preisplan vereinfacht den Prozess der Kostenberechnung, sodass Sie bei geänderten Anforderungen problemlos skalieren können. Für Speicherkonten mit Transaktionen mit hohem Volumen können zusätzliche Gebühren anfallen.

Prüfung auf Schadsoftware: Abrechnung pro GB, monatliche Begrenzung und Konfiguration

Prüfung auf Schadsoftware wird pro Gigabyte für überprüfte Daten in Rechnung gestellt. Um die Vorhersagbarkeit der Kosten zu gewährleisten, kann eine monatliche Obergrenze für geprüftes Datenvolumen pro Speicherkonto pro Monat festgelegt werden. Diese Obergrenze kann abonnementweit festgelegt werden, was sich auf alle Speicherkonten innerhalb des Abonnements auswirkt. Sie können die Grenze alternativ auch für einzelne Speicherkonten individuell festlegen. Unter geschützten Abonnements können Sie Speicherkonten mit unterschiedlichen Grenzwerten konfigurieren.

Standardmäßig ist der Grenzwert auf 5.000 GB pro Monat und Speicherkonto festgelegt. Sobald dieser Schwellenwert überschritten wird, wird die Überprüfung für die verbleibenden Blobs mit einem Konfidenzintervall von 20 GB beendet. Konfigurationsdetails finden Sie unter Konfigurieren von Defender für Storage.

Wichtig

Die Malwareüberprüfung in Defender für Storage ist in der ersten 30-Tage-Testversion nicht kostenlos enthalten und wird ab dem ersten Tag in Übereinstimmung mit dem Preisschema berechnet, das auf der Preisseite von Defender for Cloud verfügbar ist. Die Schadsoftwareüberprüfung verursacht auch zusätzliche Gebühren für andere Azure-Dienste – Azure Storage-Lesevorgänge, Azure Storage-BLOB-Indizierung und Azure Event Grid-Benachrichtigungen.

Bedarfsbasierte Aktivierung mit präzisen Steuerelementen

Mit Microsoft Defender für Storage können Sie Ihre Daten mit präziser Kontrolle im großen Stil schützen. Sie können konsistente Sicherheitsrichtlinien für alle Ihre Speicherkonten innerhalb eines Abonnements anwenden oder sie für bestimmte Konten anpassen, je nachdem welche geschäftlichen Anforderungen Sie haben. Sie können auch Ihre Kosten steuern, indem Sie die Schutzebene auswählen, die Sie für jede Ressource benötigen. Informationen zu den ersten Schritten finden Sie unter Aktivieren von Defender für Storage.

Überwachung der Schadsoftwareüberprüfungsgrenze

Um einen ununterbrochenen Schutz zu gewährleisten und gleichzeitig die Kosten effektiv zu verwalten, gibt es zwei informative Sicherheitswarnungen, die sich auf die Verwendung von Schadsoftwareüberprüfungsgrenzen beziehen. Die erste Warnung (Malware scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview)) wird ausgelöst, wenn sich Ihre Nutzung 75 % der festgelegten monatlichen Obergrenze nähert, und bietet eine Vorwarnung, um Ihre Obergrenze bei Bedarf anzupassen. Die zweite Warnung (Malware scanning stopped: monthly gigabytes scan cap reached (Preview)) benachrichtigt Sie, wenn die Obergrenze erreicht wurde und die Überprüfung für den Monat angehalten wird, wodurch neue Uploads möglicherweise nicht überprüft werden. Beide Warnungen enthalten Details zu den betroffenen Speicherkonten, um ein schnelles und sachkundiges Handeln zu ermöglichen und sicherzustellen, dass Sie Ihr gewünschtes Sicherheitsniveau ohne unerwartete Kosten aufrechterhalten können.

Grundlegendes zu den Unterschieden zwischen Überprüfung auf Schadsoftware und Analyse der Hashzuverlässigkeit

Defender für Storage bietet zwei Funktionen zum Erkennen schädlicher Inhalte, die in Speicherkonten hochgeladen wurden: Überprüfung auf Schadsoftware und Analyse der Hashzuverlässigkeit.

Malware-Überprüfung

Die Überprüfung auf Schadsoftware verwendet Microsoft Defender Antivirus (MDAV), um Blobs zu überprüfen, die in den Blobspeicher hochgeladen wurden, und bietet eine umfassende Analyse, die umfassende Dateiscans und eine Analyse der Hashzuverlässigkeit umfasst. Dieses Feature bietet eine verbesserte Erkennung von potenziellen Bedrohungen.

Die Überprüfung auf Schadsoftware ist eine kostenpflichtige Add-On-Funktion, die nur für den neuen Plan verfügbar ist.

Analyse der Hashzuverlässigkeit

Die Analyse der Hashzuverlässigkeit erkennt potenzielle Schadsoftware im Blobspeicher und in Azure Files, indem die Hashwerte neu hochgeladener Blobs und Dateien von Microsoft Threat Intelligence mit den Hashwerten bekannter Schadsoftware verglichen werden. Nicht alle Dateiprotokolle und Vorgangstypen werden mit dieser Funktion unterstützt, was dazu führt, dass einige Vorgänge nicht auf potenzielle Schadsoftwareuploads überwacht werden. Zu nicht unterstützten Anwendungsfällen gehören SMB-Dateifreigaben und ein Blob, der mit Put Block und Put Block List erstellt wird. Die Analyse der Hashzuverlässigkeit ist in allen Plänen verfügbar.

Zusammenfassend bietet die Überprüfung auf Schadsoftware, die ausschließlich für den neuen Plan für Blobspeicher verfügbar ist, einen umfassenderen Ansatz für die Erkennung von Schadsoftware. Dies wird erreicht, indem der vollständige Inhalt von Dateien analysiert und die Analyse der Hashzuverlässigkeit in die Scanmethodik integriert wird.