Freigeben über

Einführung in die Schadsoftwareüberprüfung

Die Schadsoftwareüberprüfung in Microsoft Defender for Storage verbessert die Sicherheit Ihrer Azure Storage-Konten, indem Schadsoftwarebedrohungen erkannt und minimiert werden. Es verwendet Microsoft Defender Antivirus, um Ihre Speicherinhalte zu scannen und die Datensicherheit und Compliance sicherzustellen.

Defender for Storage bietet zwei Arten von Schadsoftwareüberprüfungen:

  • Schadsoftwareüberprüfung beim Hochladen: Scannt Blobs automatisch, wenn sie hochgeladen oder geändert werden, wodurch Erkennung nahezu in Echtzeit bereitgestellt wird. Diese Art von Überprüfung eignet sich ideal für Anwendungen, die häufige Benutzeruploads umfassen, wie Webanwendungen oder Plattformen für die Zusammenarbeit. Das Scannen von Inhalten während des Hochladens hilft, zu verhindern, dass schädliche Dateien in Ihre Speicherumgebung gelangen und sich weiterverbreiten.

  • On-Demand-Schadsoftwareüberprüfung: Ermöglicht es Ihnen, vorhandene Blobs bei Bedarf zu scannen, wodurch sie ideal für die Reaktion auf Vorfälle, Compliance und proaktive Sicherheit geeignet ist. Dieser Überprüfungstyp eignet sich ideal zum Einrichten einer Sicherheitsbasislinie, indem alle vorhandenen Daten überprüft werden, auf Sicherheitswarnungen reagiert wird oder Überwachungen vorbereitet werden.

Diese Optionen helfen Ihnen, Ihre Speicherkonten zu schützen, complianceanforderungen zu erfüllen und die Datenintegrität sicherzustellen.

Note

Schadsoftwareüberprüfung funktioniert nahezu in Echtzeit, aber Scandauern können je nach Dateigröße, Dateityp, Dienstladezeit und Speicherkonto-Leselatenz variieren. Anwendungen, die von Schadsoftwareüberprüfungsergebnissen abhängen, sollten diese potenziellen Abweichungen in Scanzeiten berücksichtigen.

Warum Schadsoftwareüberprüfung wichtig ist

Inhalte, die in den Cloudspeicher hochgeladen werden, können Schadsoftware einführen und Risiken für Ihre Organisation darstellen. Die Überprüfung auf Schadsoftware verhindert, dass schädliche Dateien in Ihre Umgebung gelangen oder sich verbreiten.

Die Schadsoftwareüberprüfung in Defender für Speicher bietet die folgenden Vorteile:

  • Erkennen bösartiger Inhalte: Identifiziert und entschärft Schadsoftware.
  • Verbessern des Sicherheitsstatus: Fügt eine Ebene hinzu, um die Verbreitung von Schadsoftware zu verhindern.
  • Supporting compliance: Meets regulatory requirements.
  • Vereinfachen der Sicherheitsverwaltung: Bietet eine cloudeigene, wartungsarme Lösung, die skaliert konfiguriert werden kann.

Key features

  • Eine integrierte SaaS-Lösung: Ermöglicht eine einfache Aktivierung im großen Stil ohne Wartungsaufwand.
  • Umfassende Antischadsoftwarefunktionen: Scannt mit Microsoft Defender Antivirus (MDAV) und erkennt polymorphe und metamorphe Schadsoftware.
  • Comprehensive detection: Scans all file types, including archives like ZIP and RAR files, up to 50 GB per blob.
  • Flexible Scanoptionen: Bietet On-Upload- und On-Demand-Scans basierend auf Ihren Anforderungen.
  • Integration mit Sicherheitswarnungen: Generiert detaillierte Warnungen in Microsoft Defender for Cloud.
  • Unterstützung für Automatisierung: Ermöglicht automatisierte Antworten mithilfe von Azure-Diensten wie Logic Apps und Funktions-Apps.
  • Compliance und Überwachung: Protokolliert Überprüfungsergebnisse für Compliance und Überwachung.
  • Unterstützung privater Endpunkte: Unterstützt private Endpunkte, um den Datenschutz zu gewährleisten, indem die Gefährdung des öffentlichen Internets beseitigt wird.

Welche Art von Schadsoftwareüberprüfung funktioniert für Ihre Anforderungen?

Wenn Sie sofortigen Schutz für häufige Uploads wünschen, ist die Schadsoftwareüberprüfung beim Hochladen die richtige Wahl. Sie eignet sich am besten zum Überprüfen von Inhalten, die Benutzer in Web-Apps hochladen, um freigegebene Multimediaressourcen zu schützen und Compliance in regulierten Sektoren sicherzustellen. Das Scannen beim Hochladen ist auch wirksam, wenn Sie Partnerdaten integrieren, Plattformen für die Zusammenarbeit schützen oder Datenpipelinen und Machine Learning-Datasets sichern müssen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung beim Hochladen.

Wenn Sie Sicherheitsbaselines einrichten möchten, ist die On-Demand-Schadsoftwareüberprüfung eine gute Wahl. Es bietet auch Flexibilität, Scans basierend auf bestimmten Anforderungen auszuführen. Die On-Demand-Überprüfung eignet sich gut für die Reaktion auf Vorfälle, Compliance und proaktive Sicherheitspraktiken. Sie können sie verwenden, um Scans als Reaktion auf Sicherheitstrigger zu automatisieren, sich mit geplanten Überprüfungen auf Audits vorzubereiten oder proaktiv gespeicherte Daten auf Schadsoftware zu überprüfen. Darüber hinaus trägt die On-Demand-Überprüfung dazu bei, die Sicherheit der Kunden zu gewährleisten und Daten vor der Archivierung oder dem Austausch zu überprüfen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung nach Bedarf.

Bereitstellen von Scan-Ergebnissen

Die Scanergebnisse der Schadsoftwareüberprüfung sind über vier Methoden verfügbar. Nach der Einrichtung werden Scanergebnisse als Blobindextags für jede gescannte Datei im Speicherkonto und als Microsoft Defender for Cloud-Sicherheitswarnungen angezeigt, wenn eine Datei als schädlich identifiziert wird. Sie können die Verwendung von BLOB-Indextags über das Azure-Portal und die REST-API deaktivieren. You might choose to configure extra scan result methods, such as Event Grid and Log Analytics; these methods require extra configuration. Im nächsten Abschnitt erfahren Sie mehr über die verschiedenen Methoden für Scanergebnisse.

Diagramm: Anzeigen und Nutzen der Ergebnisse von Überprüfungen auf Schadsoftware.

Scan results

Blobindextags

Blobindextags sind Metadatenfelder in einem Blob. Sie kategorisieren Daten in Ihrem Speicherkonto mithilfe von Schlüssel/Wert-Tagattributen. Diese Tags werden automatisch indiziert und als durchsuchbarer mehrdimensionaler Index verfügbar gemacht, um Daten einfach finden zu können. Benutzende können auswählen, ob die Scanergebnisse für Malware mithilfe von Indextags gespeichert werden sollen oder nicht (standardmäßig werden Indextags verwendet). Die Scanergebnisse sind prägnant und zeigen die Scanergebnisse der Schadsoftwareüberprüfung an (keine Bedrohungen gefunden, Schädlich, Fehler, Nicht gescannt) sowie die Scanzeit der Schadsoftware in UTC in den BLOB-Metadaten als zwei separate Indextags. Andere Ergebnistypen (Warnungen, Ereignisse, Protokolle) bieten weitere Informationen.

Screenshot: ein Beispiel für ein Blob-Index-Tag

Anwendungen können Blobindextags verwenden, um Workflows zu automatisieren, sie sind aber nicht manipulationssicher. Weitere Informationen finden Sie unter Einrichten der Reaktion.

Note

Der Zugriff auf Indextags erfordert Berechtigungen. Weitere Informationen finden Sie unter Abrufen, Festlegen und Aktualisieren von Blobindextags.

Defender für Cloud Sicherheitswarnungen

Wenn eine schädliche Datei erkannt wird, generiert Microsoft Defender for Cloud eine Microsoft Defender for Cloud-Sicherheitswarnung. Um die Warnung anzuzeigen, wechseln Sie zu Microsoft Defender for Cloud-Sicherheitswarnungen. Die Sicherheitswarnung enthält Details und Kontext für die Datei, den Schadsoftwaretyp sowie empfohlene Untersuchungs- und Wartungsschritte. Um diese Warnungen für die Wartung zu verwenden, haben Sie folgende Möglichkeiten:

Erfahren Sie mehr über das Reagieren auf Sicherheitswarnungen.

Event Grid-Ereignis

Event Grid ist nützlich für die ereignisgesteuerte Automatisierung. Es ist die schnellste Methode, um Ergebnisse mit minimaler Wartezeit in einer Form von Ereignissen zu erhalten, die Sie zum Automatisieren von Reaktionen verwenden können.

Ereignisse aus benutzerdefinierten Event Grid-Themen können mit mehreren Endpunkttypen konsumiert werden. Die nützlichsten Endpunkte für Schadsoftwareüberprüfungsszenarien sind:

Logs analytics

Möglicherweise möchten Sie Ihre Scanergebnisse protokollieren, um Beweise für die Compliance zu haben oder Scanergebnisse zu untersuchen. Wenn Sie ein Protokollanalysearbeitsbereichsziel einrichten, können Sie jedes Scanergebnis in einem zentralen Protokollrepository speichern, das einfach abzufragen ist. Sie können die Ergebnisse anzeigen, indem Sie zum Zielarbeitsbereich für die Protokollanalyse navigieren und nach der StorageMalwareScanningResults-Tabelle suchen.

Für die Automatisierung von Aktionen basierend auf Scanergebnissen wird empfohlen, entweder die Indextags oder Ereignisrasterbenachrichtigungen zu verwenden. Für die Erstellung eines Überwachungspfads mit Scanergebnissen ist Log Analytics die bevorzugte Lösung.

Erfahren Sie mehr über das Einrichten der Protokollierung für die Überprüfung von Schadsoftware.

Tip

Erkunden Sie das Feature zum Scannen von Schadsoftware in Defender for Storage über unser praktisches Labor. Follow the Ninja training instructions for a detailed, step-by-step guide on how to set up, and test malware scanning end-to-end. Konfigurieren Sie Antworten auf Scanergebnisse. Dies ist Teil des Projekts „Labs“, das die Kundschaft dabei unterstützt, Microsoft Defender for Cloud zu nutzen und praktische Erfahrungen mit dessen Funktionen bereitzustellen.

Response automation

Die Malware-Überprüfung unterstützt automatisierte Reaktionen, z. B. das Löschen oder das Isolieren (unter Quarantäne stellen) verdächtiger Dateien. Verwalten Sie dies mithilfe von Blob-Indextags oder richten Sie Event Grid-Ereignisse zur Automatisierung ein. Automatisieren Sie Antworten auf folgende Weise:

  • Block access to unscanned or malicious files using ABAC (Attribute-Based Access Control).
  • Schädliche Dateien automatisch löschen oder verschieben, um betroffene Dateien mithilfe von Logic Apps (basierend auf Sicherheitswarnungen) oder Event Grid mit Funktions-Apps (basierend auf Scanergebnissen) in Quarantäne zu setzen.
  • Bereinigte Dateien weiterleiten an einen anderen Speicherort mithilfe von Event Grid und Funktions-Apps.

Erfahren Sie mehr über das Einrichten der Reaktion auf Ergebnisse der Schadsoftwareüberprüfung.

Einrichten der Schadsoftwareüberprüfung

Wenn die Schadsoftwareüberprüfung aktiviert ist, werden die folgenden Aktionen automatisch in Ihrer Umgebung ausgeführt:

  • Für jedes Speicherkonto, für das Sie die Schadsoftwareüberprüfung aktivieren, wird eine Event Grid-Systemtopic-Ressource in derselben Ressourcengruppe des Speicherkontos erstellt, die vom Schadsoftwareüberprüfungsdienst verwendet wird, um Blobuploadtrigger zu überwachen. Das Entfernen dieser Ressource beschädigt die Funktionalität der Schadsoftwareüberprüfung.
  • Um Ihre Daten zu scannen, benötigt der Malware-Überprüfungsdienst Zugriff auf Ihre Daten. Während der Dienstaktivierung wird in Ihrem Azure-Abonnement eine neue Datenscannerressource namens StorageDataScanner erstellt und einer systemseitig zugewiesenen verwalteten Identität zugewiesen. Dieser Ressource wird die Rollenzuweisung „Besitzer von Speicherblobdaten“ zugewiesen, die ihr den Zugriff auf Ihre Daten zum Zwecke der Malware-Überprüfung und der Ermittlung vertraulicher Daten ermöglicht.
  • Die Ressource StorageDataScanner wird ebenfalls den Ressourcenzugriffsregeln der Netzwerk-ACL des Speicherkontos hinzugefügt. Auf diese Weise kann Defender Ihre Daten scannen, wenn der öffentliche Netzwerkzugriff auf das Speicherkonto eingeschränkt ist.
  • Wenn Sie die Schadsoftwareüberprüfung auf Abonnementebene aktivieren, wird eine neue Ressource namens StorageAccounts/securityOperators/DefenderForStorageSecurityOperator in Ihrem Azure-Abonnement erstellt. Dieser Ressource wird eine systemseitig verwaltete Identität zugewiesen. Sie wird verwendet, um Defender for Storage und die Konfigurationen der Malware-Überprüfung für vorhandene Speicherkonten zu aktivieren und zu reparieren. Darüber hinaus wird überprüft, ob neue Speicherkonten im Abonnement erstellt wurden, um die Malware-Überprüfung zu aktivieren. Diese Ressource verfügt über spezifische Rollenzuweisungen mit den erforderlichen Berechtigungen zum Aktivieren der Schadsoftwareüberprüfung.

Note

Die Schadsoftwareüberprüfung hängt von bestimmten Ressourcen, Identitäten und Netzwerkeinstellungen ab, um ordnungsgemäß zu funktionieren. Wenn Sie eines dieser Änderungen ändern oder löschen, funktioniert die Schadsoftwareüberprüfung nicht mehr. Um den normalen Betrieb wiederherzustellen, schalten Sie es aus und wieder ein.

Unterstützte Inhalte und Einschränkungen

Supported content

  • File types: All file types, including archives like ZIP files.

  • File size: Blobs up to 50 GB in size.

Limitations

  • Nicht unterstützte Speicherkonten: Legacy v1-Speicherkonten werden nicht unterstützt.

  • Unsupported service: Malware scanning doesn't support Azure Files.

  • Nicht unterstützte Blobtypen:Anfüge- und Seitenblobs werden nicht unterstützt.

  • Unsupported encryption: Client-side encrypted blobs can't be scanned, as the service can't decrypt them. Blobs, die im Ruhezustand mit kundenverwalteten Schlüsseln (Customer Managed Keys, CMK) verschlüsselt sind, werden unterstützt.

  • Unsupported protocols: Blobs uploaded via the Network File System (NFS) 3.0 protocol aren't scanned.

  • Blobindextags: Indextags werden für Speicherkonten mit aktivierten hierarchischen Namespaces (Azure Data Lake Storage Gen2) nicht unterstützt.

  • Unsupported regions: Some regions aren't yet supported for malware scanning. Der Dienst wird laufend auf neue Regionen ausgedehnt. Die aktuelle Liste der unterstützten Regionen finden Sie unter Verfügbarkeit von Defender for Cloud.

  • Event Grid: Event Grid topics that don't have public network access enabled (such as, private endpoint connections) aren't supported by malware scanning in Defender for Storage.

  • Blob kann nach dem Metadatenupdate nicht gescannt werden**:** Wenn die Metadaten eines Blobs bald nach dem Upload aktualisiert werden, kann die Überprüfung beim Hochladen das Blob nicht mehr überprüfen. To avoid this issue, it's recommended to either specify blob metadata in BlobOpenWriteOptions, or to delay the blob metadata update until after the blob is scanned.

  • Scanzeitlimits: Je nach Größe und Komplexität kann es für einige Blobs sehr lange dauern, bis sie gescannt werden. Zip-Dateien mit vielen Einträgen dauern z. B. in der Regel lange, bis sie gescannt werden. Defender erzwingt einen oberen Grenzwert für die Zeitspanne zum Überprüfen eines einzelnen Blobs. Diese Zeit liegt zwischen 30 Minuten und 3 Stunden, je nach Größe des Blobs. Wenn der Scan eines Blobs länger dauert als die zugewiesene Zeit, wird der Scan angehalten und das Scan-Ergebnis wird als „Scan-Zeitüberschreitung“ markiert.

Other costs

Azure Services: Schadsoftwareüberprüfung verwendet andere Azure-Dienste, die möglicherweise weitere Kosten verursachen:

  • Azure Storage-Lesevorgänge

  • Azure Storage-BLOB-Indizierung (Um die Kosten für die Verwendung von BLOB-Indextags zu reduzieren, können Sie die Verwendung von Indextags zum Speichern von Malware-Überprüfungsergebnissen aus dem Azure-Portal oder der REST-API deaktivieren)

  • Azure Event Grid-Ereignisse

Das Microsoft Defender für Speicherpreisschätzungs-Dashboard kann Ihnen helfen, die erwarteten Gesamtkosten von Defender für Speicher zu schätzen.

Blobscans und Auswirkungen auf IOPS

Jedes Mal, wenn der Schadsoftwarescandienst eine Datei überprüft, löst er einen anderen Lesevorgang aus und aktualisiert das Indextag. Dies gilt sowohl für die Überprüfung beim Hochladen, die nach dem Hochladen oder Ändern des Blobs auftritt, als auch für On-Demand-Überprüfung. Trotz dieser Vorgänge bleibt der Zugang zu den gescannten Daten unberührt. Die Auswirkungen auf Eingabe-/Ausgabevorgänge pro Sekunde (IOPS) sind minimal, wodurch sichergestellt wird, dass diese Vorgänge in der Regel keine erhebliche Last darstellen. Um die Auswirkungen auf IOPS zu verringern, können Sie die Verwendung von Indextags zum Speichern von Schadsoftwarescanergebnissen deaktivieren.

Szenarien, in denen Schadsoftwareüberprüfung unwirksam ist

Während die Schadsoftwareüberprüfung umfassende Erkennungsfunktionen bietet, gibt es bestimmte Szenarien, in denen sie aufgrund von inhärenten Einschränkungen ineffektiv sein kann. Bewerten Sie diese Szenarien sorgfältig, bevor Sie sich für die Aktivierung der Schadsoftwareüberprüfung auf einem Speicherkonto entscheiden:

  • Chunked data: Malware scanning is ineffective at detecting threats in blobs that have been divided into smaller pieces. Blobs, die den Dateiheader enthalten, aber fehlende Teile der restlichen Datei werden als beschädigt markiert. Bei Blobs, die das Ende der Ursprünglichen Datei enthalten, aber nicht den Dateiheader haben, erkennt das Antischadsoftwaremodul keine Schadsoftware. Um dieses Risiko zu mindern, sollten Sie zusätzliche Sicherheitsmaßnahmen in Betracht ziehen, z. B. das Scannen von Daten vor dem Aufteilen oder nachdem sie vollständig wieder zusammengesetzt wurden.

  • Encrypted data: Malware scanning doesn't support client-side encrypted data. Der Dienst kann diese Daten nicht entschlüsseln, sodass Schadsoftware innerhalb dieser verschlüsselten Blobs nicht erkannt wird. Wenn die Verschlüsselung erforderlich ist, scannen Sie die Daten vor dem Verschlüsselungsprozess, oder verwenden Sie unterstützte Verschlüsselungsmethoden wie vom Kunden verwaltete Schlüssel (CMK) zur Verschlüsselung im Ruhezustand.

  • Backup data: Backups consist of fragments from various files. Wenn eine schädliche Datei gesichert wird, kann sie eine falsch positive Erkennung für die Sicherungsdatei auslösen, die selbst nicht böswillig ist.

Berücksichtigen Sie bei der Entscheidung, die Schadsoftwareüberprüfung zu aktivieren, ob andere unterstützte Dateien in das Speicherkonto hochgeladen werden. Bewerten Sie außerdem, ob Angreifer diesen Uploadstream ausnutzen könnten, um Schadsoftware einzuführen.

Unterschiede bei der Erkennung von Schadsoftware zwischen Azure Storage und Endpunktumgebungen

Defender for Storage verwendet dasselbe Antischadsoftwaremodul und up-to-Datumssignaturen wie Defender für Endpunkt, um nach Schadsoftware zu suchen. Wenn Dateien jedoch in Azure Storage hochgeladen werden, fehlen ihnen bestimmte Metadaten, von denen das Antischadsoftwaremodul abhängt. Dieser Mangel an Metadaten kann zu einer höheren Rate von verpassten Erkennungen führen, die in Azure Storage als "falsch negativ" bezeichnet werden, verglichen mit erkennungen, die von Defender für Endpunkt identifiziert wurden.

Nachfolgend finden Sie einige Beispiele für fehlende Metadaten:

  • Webmarkierung (Mark Of The Web, MOTW): MOTW ist ein Windows-Sicherheitsfeature zur Nachverfolgung von heruntergeladenen Dateien aus dem Internet. Beim Hochladen von Dateien in Azure Storage gehen diese Metadaten jedoch verloren.

  • Dateipfadkontext: Auf Standardbetriebssystemen kann der Dateipfad weiteren Kontext für die Bedrohungserkennung bereitstellen. So wird beispielsweise eine Datei, die versucht, Änderungen an Systemspeicherorten wie C:\Windows\System32 vorzunehmen, als verdächtig gekennzeichnet und näher analysiert. In Azure Storage kann der Kontext bestimmter Dateipfade innerhalb des Blobs nicht auf die gleiche Weise genutzt werden.

  • Behavioral data: Defender for Storage analyzes the contents of files without running them. Die Lösung untersucht die Dateien und emuliert ggf. ihre Ausführung, um sie auf Schadsoftware zu überprüfen. Bestimmte Arten von Schadsoftware, die ihre schädliche Natur nur während der Ausführung offenbaren, werden bei diesem Ansatz allerdings möglicherweise nicht erkannt.

Zugriff und Datenschutz

Datenzugriffsanforderungen

Der Malware-Überprüfungsdienst erfordert Zugriff auf Ihre Daten, um nach Schadsoftware zu suchen. Während der Dienstaktivierung wird eine neue Datenscannerressource namens StorageDataScanner in Ihrem Azure-Abonnement erstellt. Dieser Ressource wird eine systemseitig zugewiesene verwaltete Identität sowie die Rollenzuweisung „Besitzer von Speicherblobdaten” zugewiesen, damit sie auf Ihre Daten zugreifen und sie überprüfen kann.

Wenn die Netzwerkkonfiguration Ihres Speicherkontos auf „Öffentlichen Netzwerkzugriff von ausgewählten virtuellen Netzwerken und IP-Adressen aktivieren“ festgelegt ist, wird die Ressource StorageDataScanner dem Abschnitt „Ressourceninstanzen“ unter der Netzwerkkonfiguration des Speicherkontos hinzugefügt, um den Zugriff zum Überprüfen Ihrer Daten zu ermöglichen.

Datenschutz und regionale Verarbeitung

  • Regional processing: Scanning occurs within the same Azure region as your storage account to comply with data residency requirements.

  • Data handling: Scanned files aren't stored. In einigen Fällen können Dateimetadaten (z. B. SHA-256-Hash) zur weiteren Analyse für Microsoft Defender for Endpoint freigegeben werden.

Umgang mit möglichen falsch positiven und falsch negativen Ergebnissen

False positives

Falsch positive Ergebnisse treten auf, wenn das System eine gutartige Datei fälschlicherweise als böswillig identifiziert. So beheben Sie diese Probleme:

  1. Zur Analyse übermitteln

    • Verwenden Sie das Portal für Beispielübermittlung, um falsch positive Ergebnisse zu melden.

    • Wählen Sie beim Übermitteln „Microsoft Defender for Storage“ als Quelle aus.

  2. Suppress alerts

Beheben von nicht erkannter Schadsoftware (falsch negative Ergebnisse)

Falsch negative Ergebnisse treten auf, wenn das System eine schädliche Datei nicht erkennt. Wenn Sie vermuten, dass dies passiert ist, können Sie die nicht erkannte Schadsoftware melden, indem Sie die Datei zur Analyse über das Portal für Beispielübermittlung einreichen. Achten Sie darauf, so viel Kontext wie möglich anzugeben, um zu erklären, warum die Datei böswillig ist.

Note

Das regelmäßige Melden falsch positiver und negativer Ergebnisse trägt dazu bei, die Genauigkeit des Schadsoftwareerkennungssystems im Laufe der Zeit zu verbessern.

Related content