Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Schadsoftwareüberprüfung in Microsoft Defender for Storage verbessert die Sicherheit Ihrer Azure Storage-Konten, indem Schadsoftwarebedrohungen erkannt und minimiert werden. Es verwendet Microsoft Defender Antivirus, um Ihre Speicherinhalte zu scannen und die Datensicherheit und Compliance sicherzustellen.
Defender for Storage bietet zwei Arten von Schadsoftwareüberprüfungen:
Schadsoftwareüberprüfung beim Hochladen: Scannt Blobs automatisch, wenn sie hochgeladen oder geändert werden, wodurch Erkennung nahezu in Echtzeit bereitgestellt wird. Diese Art von Überprüfung eignet sich ideal für Anwendungen, die häufige Benutzeruploads umfassen, wie Webanwendungen oder Plattformen für die Zusammenarbeit. Das Scannen von Inhalten während des Hochladens hilft, zu verhindern, dass schädliche Dateien in Ihre Speicherumgebung gelangen und sich weiterverbreiten.
On-Demand-Schadsoftwareüberprüfung: Ermöglicht es Ihnen, vorhandene Blobs bei Bedarf zu scannen, wodurch sie ideal für die Reaktion auf Vorfälle, Compliance und proaktive Sicherheit geeignet ist. Dieser Überprüfungstyp eignet sich ideal zum Einrichten einer Sicherheitsbasislinie, indem alle vorhandenen Daten überprüft werden, auf Sicherheitswarnungen reagiert wird oder Überwachungen vorbereitet werden.
Diese Optionen helfen Ihnen, Ihre Speicherkonten zu schützen, complianceanforderungen zu erfüllen und die Datenintegrität sicherzustellen.
Note
Schadsoftwareüberprüfung funktioniert nahezu in Echtzeit, aber Scandauern können je nach Dateigröße, Dateityp, Dienstladezeit und Speicherkonto-Leselatenz variieren. Anwendungen, die von Schadsoftwareüberprüfungsergebnissen abhängen, sollten diese potenziellen Abweichungen in Scanzeiten berücksichtigen.
Warum Schadsoftwareüberprüfung wichtig ist
Inhalte, die in den Cloudspeicher hochgeladen werden, können Schadsoftware einführen und Risiken für Ihre Organisation darstellen. Die Überprüfung auf Schadsoftware verhindert, dass schädliche Dateien in Ihre Umgebung gelangen oder sich verbreiten.
Die Schadsoftwareüberprüfung in Defender für Speicher bietet die folgenden Vorteile:
- Erkennen bösartiger Inhalte: Identifiziert und entschärft Schadsoftware.
- Verbessern des Sicherheitsstatus: Fügt eine Ebene hinzu, um die Verbreitung von Schadsoftware zu verhindern.
- Unterstützung der Compliance: Erfüllt gesetzliche Anforderungen.
- Vereinfachen der Sicherheitsverwaltung: Bietet eine cloudeigene, wartungsarme Lösung, die skaliert konfiguriert werden kann.
Wichtigste Funktionen
- Eine integrierte SaaS-Lösung: Ermöglicht eine einfache Aktivierung im großen Stil ohne Wartungsaufwand.
- Umfassende Antischadsoftwarefunktionen: Scannt mit Microsoft Defender Antivirus (MDAV) und erkennt polymorphe und metamorphe Schadsoftware.
- Umfassende Erkennung: Überprüft alle Dateitypen, einschließlich Archiven wie ZIP- und RAR-Dateien, bis zu 50 GB pro Blob.
- Flexible Scanoptionen: Bietet On-Upload- und On-Demand-Scans basierend auf Ihren Anforderungen.
- Integration mit Sicherheitswarnungen: Generiert detaillierte Warnungen in Microsoft Defender for Cloud.
- Unterstützung für Automatisierung: Ermöglicht automatisierte Antworten mithilfe von Azure-Diensten wie Logic Apps und Funktions-Apps.
- Compliance und Überwachung: Protokolliert Überprüfungsergebnisse für Compliance und Überwachung.
- Unterstützung privater Endpunkte: Unterstützt private Endpunkte, um den Datenschutz zu gewährleisten, indem die Gefährdung des öffentlichen Internets beseitigt wird.
Welche Art von Schadsoftwareüberprüfung funktioniert für Ihre Anforderungen?
Wenn Sie sofortigen Schutz für häufige Uploads wünschen, ist die Schadsoftwareüberprüfung beim Hochladen die richtige Wahl. Sie eignet sich am besten zum Überprüfen von Inhalten, die Benutzer in Web-Apps hochladen, um freigegebene Multimediaressourcen zu schützen und Compliance in regulierten Sektoren sicherzustellen. Das Scannen beim Hochladen ist auch wirksam, wenn Sie Partnerdaten integrieren, Plattformen für die Zusammenarbeit schützen oder Datenpipelinen und Machine Learning-Datasets sichern müssen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung beim Hochladen.
Wenn Sie Sicherheitsbaselines einrichten möchten, ist die On-Demand-Schadsoftwareüberprüfung eine gute Wahl. Es bietet auch Flexibilität, Scans basierend auf bestimmten Anforderungen auszuführen. Die On-Demand-Überprüfung eignet sich gut für die Reaktion auf Vorfälle, Compliance und proaktive Sicherheitspraktiken. Sie können sie verwenden, um Scans als Reaktion auf Sicherheitstrigger zu automatisieren, sich mit geplanten Überprüfungen auf Audits vorzubereiten oder proaktiv gespeicherte Daten auf Schadsoftware zu überprüfen. Darüber hinaus trägt die On-Demand-Überprüfung dazu bei, die Sicherheit der Kunden zu gewährleisten und Daten vor der Archivierung oder dem Austausch zu überprüfen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung nach Bedarf.
Bereitstellen von Scan-Ergebnissen
Die Scanergebnisse der Schadsoftwareüberprüfung sind über vier Methoden verfügbar. Nach der Einrichtung werden Scanergebnisse als Blobindextags für jede gescannte Datei im Speicherkonto und als Microsoft Defender for Cloud-Sicherheitswarnungen angezeigt, wenn eine Datei als schädlich identifiziert wird. Sie können die Verwendung von BLOB-Indextags über das Azure-Portal und die REST-API deaktivieren. Sie können zusätzliche Scanergebnismethoden wie Event Grid und Log Analytics konfigurieren. Für diese Methoden ist eine zusätzliche Konfiguration erforderlich. Im nächsten Abschnitt erfahren Sie mehr über die verschiedenen Methoden für Scanergebnisse.
Scanergebnisse
Blobindextags
Blobindextags sind Metadatenfelder in einem Blob. Sie kategorisieren Daten in Ihrem Speicherkonto mithilfe von Schlüssel/Wert-Tagattributen. Diese Tags werden automatisch indiziert und als durchsuchbarer mehrdimensionaler Index verfügbar gemacht, um Daten einfach finden zu können. Benutzende können auswählen, ob die Scanergebnisse für Malware mithilfe von Indextags gespeichert werden sollen oder nicht (standardmäßig werden Indextags verwendet). Die Scanergebnisse sind prägnant und zeigen die Scanergebnisse der Schadsoftwareüberprüfung an (keine Bedrohungen gefunden, Schädlich, Fehler, Nicht gescannt) sowie die Scanzeit der Schadsoftware in UTC in den BLOB-Metadaten als zwei separate Indextags. Andere Ergebnistypen (Warnungen, Ereignisse, Protokolle) bieten weitere Informationen.
Anwendungen können Blobindextags verwenden, um Workflows zu automatisieren, sie sind aber nicht manipulationssicher. Weitere Informationen finden Sie unter Einrichten der Behebung von Schadsoftwareerkennungen.
Note
Der Zugriff auf Indextags erfordert Berechtigungen. Weitere Informationen finden Sie unter Abrufen, Festlegen und Aktualisieren von Blobindextags.
Defender für Cloud Sicherheitswarnungen
Wenn eine schädliche Datei erkannt wird, generiert Microsoft Defender for Cloud eine Microsoft Defender for Cloud-Sicherheitswarnung. Um die Warnung anzuzeigen, wechseln Sie zu Microsoft Defender for Cloud-Sicherheitswarnungen. Die Sicherheitswarnung enthält Details und Kontext für die Datei, den Schadsoftwaretyp sowie empfohlene Untersuchungs- und Wartungsschritte. Um diese Warnungen für die Wartung zu verwenden, haben Sie folgende Möglichkeiten:
- Zeigen Sie Sicherheitswarnungen im Azure-Portal an, indem Sie zu Microsoft Defender für Cloud>Security-Warnungen navigieren.
- Konfigurieren Sie Automatisierungen basierend auf diesen Warnungen.
- Exportieren von Sicherheitswarnungen in eine Sicherheitsinformations- und Ereignisverwaltung (SECURITY Information and Event Management, SIEM). Sie können Sicherheitswarnungen kontinuierlich in Microsoft Sentinel (das SIEM von Microsoft) mithilfe des Microsoft Sentinel-Connectors exportieren, oder in ein anderes SIEM Ihrer Wahl.
Erfahren Sie mehr über das Reagieren auf Sicherheitswarnungen.
Event Grid-Ereignis
Event Grid ist nützlich für die ereignisgesteuerte Automatisierung. Es ist die schnellste Methode, um Ergebnisse mit minimaler Wartezeit in einer Form von Ereignissen zu erhalten, die Sie zum Automatisieren von Reaktionen verwenden können.
Mehrere Endpunkttypen können Ereignisse aus benutzerdefinierten Themen des Ereignisrasters nutzen. Die nützlichsten Endpunkte für Schadsoftwareüberprüfungsszenarien sind:
- Funktions-App (zuvor als Azure-Funktion bezeichnet) – Verwenden Sie eine serverlose Funktion, um Code für automatisierte Antworten wie Verschieben, Löschen oder Quarantäne auszuführen.
- Webhook – zum Verbinden einer Anwendung.
- Event Hubs und Service Bus-Warteschlange – zur Benachrichtigung nachgelagerter Consumer. Erfahren Sie, wie Sie die Schadsoftwareüberprüfung so konfigurieren, dass jedes Überprüfungsergebnis automatisch zu Automatisierungszwecken an ein Event Grid-Thema gesendet wird.
Protokollanalyse
Möglicherweise möchten Sie Ihre Scanergebnisse protokollieren, um Beweise für die Compliance zu haben oder Scanergebnisse zu untersuchen. Durch das Einrichten eines Log Analytics Workspace-Ziels können Sie jedes Scanergebnis in einem zentralisierten Protokoll-Repository speichern, das einfach abzufragen ist. Sie können die Ergebnisse anzeigen, indem Sie zum Zielarbeitsbereich für die Protokollanalyse navigieren und nach der StorageMalwareScanningResults-Tabelle suchen.
Zum Automatisieren von Aktionen basierend auf Scanergebnissen empfiehlt es sich, entweder die Indextags oder Ereignisrasterbenachrichtigungen zu verwenden. Für die Erstellung eines Überwachungspfads mit Scanergebnissen ist Log Analytics die bevorzugte Lösung.
Erfahren Sie mehr über das Einrichten der Protokollierung für die Überprüfung von Schadsoftware.
Tip
Erkunden Sie das Feature zum Scannen von Schadsoftware in Defender for Storage über unser praktisches Labor. Befolgen Sie die Ninja-Schulungsanweisungen für eine detaillierte, schrittweise Anleitung zum Einrichten und Testen der Malware-Überprüfung end-to-End. Konfigurieren Sie Antworten auf Scanergebnisse. Dieses Feature ist Teil des Projekts "Labs", das Kunden hilft, mit Microsoft Defender für Cloud zu beginnen und praktische Erfahrungen mit seinen Funktionen zu erhalten.
Automatisierung der Schadsoftwarebehebung
Das Scannen von Schadsoftware unterstützt die automatisierte Behebung, wie zum Beispiel das Löschen oder das Verschieben verdächtiger Dateien in Quarantäne. Verwalten Sie dies mithilfe von Blob-Indextags oder richten Sie Event Grid-Ereignisse zur Automatisierung ein. Automatisieren Sie die Wartung auf folgende Weise:
Integriertes vorläufiges Löschen bösartiger Blobs, die während des On-Upload- oder On-Demand-Malware-Scans entdeckt wurden
Blockieren des Zugriffs auf nicht gescannte oder schädliche Dateien mithilfe von ABAC (attributbasierte Zugriffskontrolle).
Schädliche Dateien automatisch löschen oder verschieben, um betroffene Dateien mithilfe von Logic Apps (basierend auf Sicherheitswarnungen) oder Event Grid mit Funktions-Apps (basierend auf Scanergebnissen) in Quarantäne zu setzen.
Bereinigte Dateien weiterleiten an einen anderen Speicherort mithilfe von Event Grid und Funktions-Apps.
Erfahren Sie mehr über das Einrichten von Korrekturen für die Schadsoftwareerkennung.
Einrichten der Schadsoftwareüberprüfung
Wenn die Schadsoftwareüberprüfung aktiviert ist, werden die folgenden Aktionen automatisch in Ihrer Umgebung ausgeführt:
Für jedes Speicherkonto, für das Sie die Schadsoftwareüberprüfung aktivieren, wird eine Event Grid-Systemtopic-Ressource in derselben Ressourcengruppe des Speicherkontos erstellt, die vom Schadsoftwareüberprüfungsdienst verwendet wird, um Blobuploadtrigger zu überwachen. Das Entfernen dieser Ressource beschädigt die Funktionalität der Schadsoftwareüberprüfung.
Um Ihre Daten zu scannen, benötigt der Malware-Überprüfungsdienst Zugriff auf Ihre Daten. Während der Dienstaktivierung wird in Ihrem Azure-Abonnement eine neue Datenscannerressource namens
StorageDataScannererstellt und einer systemseitig zugewiesenen verwalteten Identität zugewiesen. Dieser Ressource wird die Rollenzuweisung „Besitzer von Speicherblobdaten“ zugewiesen, die ihr den Zugriff auf Ihre Daten zum Zwecke der Malware-Überprüfung und der Ermittlung vertraulicher Daten ermöglicht.Die Ressource
StorageDataScannerwird ebenfalls den Ressourcenzugriffsregeln der Netzwerk-ACL des Speicherkontos hinzugefügt. Auf diese Weise kann Defender Ihre Daten scannen, wenn der öffentliche Netzwerkzugriff auf das Speicherkonto eingeschränkt ist.Wenn Sie die Schadsoftwareüberprüfung auf Abonnementebene aktivieren, wird eine neue Ressource namens
StorageAccounts/securityOperators/DefenderForStorageSecurityOperatorin Ihrem Azure-Abonnement erstellt. Diese Ressource wird als vom System verwaltete Identität zugewiesen. Sie wird verwendet, um Defender for Storage und die Konfigurationen der Malware-Überprüfung für vorhandene Speicherkonten zu aktivieren und zu reparieren. Darüber hinaus wird überprüft, ob neue Speicherkonten im Abonnement erstellt wurden, um die Malware-Überprüfung zu aktivieren. Diese Ressource verfügt über spezifische Rollenzuweisungen mit den erforderlichen Berechtigungen zum Aktivieren der Schadsoftwareüberprüfung.
Note
Die Schadsoftwareüberprüfung hängt von bestimmten Ressourcen, Identitäten und Netzwerkeinstellungen ab, um ordnungsgemäß zu funktionieren. Wenn Sie eines dieser Änderungen ändern oder löschen, funktioniert die Schadsoftwareüberprüfung nicht mehr. Um den normalen Betrieb wiederherzustellen, schalten Sie es aus und wieder ein.
Unterstützte Inhalte und Einschränkungen
Unterstützte Inhalte
Dateitypen: Alle Dateitypen, einschließlich Archive wie ZIP-Dateien.
Dateigröße: Blobs mit einer Größe von bis zu 50 GB.
Limitations
Nicht unterstützte Speicherkonten: Legacy v1-Speicherkonten werden nicht unterstützt.
Nicht unterstützter Dienst: Das Scannen von Schadsoftware unterstützt Azure Files nicht.
Nicht unterstützte Blobtypen:Anfüge- und Seitenblobs werden nicht unterstützt.
Nicht unterstützte Verschlüsselung: Clientseitige verschlüsselte Blobs können nicht gescannt werden, da der Dienst sie nicht entschlüsseln kann. Blobs, die im Ruhezustand mit kundenverwalteten Schlüsseln (Customer Managed Keys, CMK) verschlüsselt sind, werden unterstützt.
Nicht unterstützte Protokolle: Blobs, die über das Network File System (NFS) 3.0-Protokoll hochgeladen werden, werden nicht gescannt.
Blobindextags: Indextags werden für Speicherkonten mit aktivierten hierarchischen Namespaces (Azure Data Lake Storage Gen2) nicht unterstützt.
Nicht unterstützte Regionen: Einige Regionen werden für die Schadsoftwareüberprüfung noch nicht unterstützt. Der Dienst wird laufend auf neue Regionen ausgedehnt. Die aktuelle Liste der unterstützten Regionen finden Sie unter Verfügbarkeit von Defender for Cloud.
Ereignisraster: Ereignisrasterthemen, für die kein öffentlicher Netzwerkzugriff aktiviert ist (z. B. private Endpunktverbindungen), werden von der Schadsoftwareüberprüfung in Defender für Speicher nicht unterstützt.
Blob kann nach dem Metadatenupdate nicht gescannt werden**:** Wenn die Metadaten eines Blobs bald nach dem Upload aktualisiert werden, kann die Überprüfung beim Hochladen das Blob nicht mehr überprüfen. Um dieses Problem zu vermeiden, empfiehlt es sich, blob-Metadaten entweder in BlobOpenWriteOptions anzugeben oder die Aktualisierung der BLOB-Metadaten zu verzögern, bis das Blob gescannt wurde.
Scanzeitlimits: Je nach Größe und Komplexität dauert es möglicherweise lange, bis einige Blobs gescannt werden. Zip-Dateien mit vielen Einträgen dauern z. B. in der Regel lange, bis sie gescannt werden. Defender erzwingt einen oberen Grenzwert für die Zeitspanne zum Überprüfen eines einzelnen Blobs. Diese Zeit liegt zwischen 30 Minuten und 3 Stunden, je nach Größe des Blobs. Wenn der Scan eines Blobs länger dauert als die zugewiesene Zeit, wird der Scan angehalten und das Scan-Ergebnis wird als „Scan-Zeitüberschreitung“ markiert.
Sonstige Kosten
Azure Services: Schadsoftwareüberprüfung verwendet andere Azure-Dienste, die möglicherweise weitere Kosten verursachen:
Azure Storage-Lesevorgänge
Azure Storage-BLOB-Indizierung (Um die Kosten für die Verwendung von BLOB-Indextags zu reduzieren, können Sie die Verwendung von Indextags zum Speichern von Malware-Scanergebnissen aus dem Azure-Portal oder der REST-API deaktivieren)
Azure Event Grid-Ereignisse
Das Microsoft Defender für Speicherpreisschätzungs-Dashboard kann Ihnen helfen, die erwarteten Gesamtkosten von Defender für Speicher zu schätzen.
Blobscans und Auswirkungen auf IOPS
Jedes Mal, wenn der Schadsoftwarescandienst eine Datei überprüft, löst er einen anderen Lesevorgang aus und aktualisiert das Indextag. Dies gilt sowohl für die Überprüfung beim Hochladen, die nach dem Hochladen oder Ändern des Blobs auftritt, als auch für On-Demand-Überprüfung. Trotz dieser Vorgänge bleibt der Zugang zu den gescannten Daten unberührt. Die Auswirkungen auf Eingabe-/Ausgabevorgänge pro Sekunde (IOPS) sind minimal, wodurch sichergestellt wird, dass diese Vorgänge in der Regel keine erhebliche Last darstellen. Um die Auswirkungen auf IOPS zu verringern, können Sie die Verwendung von Indextags zum Speichern von Schadsoftwarescanergebnissen deaktivieren.
Szenarien, in denen Schadsoftwareüberprüfung unwirksam ist
Während die Schadsoftwareüberprüfung umfassende Erkennungsfunktionen bietet, gibt es bestimmte Szenarien, in denen sie aufgrund von inhärenten Einschränkungen ineffektiv sein kann. Bewerten Sie diese Szenarien sorgfältig, bevor Sie sich für die Aktivierung der Schadsoftwareüberprüfung auf einem Speicherkonto entscheiden:
Chunk-Daten: Malware-Scans sind unwirksam, wenn es darum geht, Bedrohungen in Blobs zu erkennen, die in kleinere Teile unterteilt wurden. Blobs, die den Dateiheader enthalten, aber fehlende Teile der restlichen Datei werden als beschädigt markiert. Bei Blobs, die das Ende der ursprünglichen Datei enthalten, aber nicht den Dateiheader aufweisen, ist die Antimalware-Engine nicht in der Lage, jegliche vorhandene Schadsoftware zu erkennen. Um dieses Risiko zu mindern, sollten Sie andere Sicherheitsmaßnahmen in Betracht ziehen, wie z. B. das Prüfen von Daten auf Malware vor der Segmentierung oder nach deren vollständiger Neuassemblierung.
Verschlüsselte Daten: Die Schadsoftwareüberprüfung unterstützt keine clientseitigen verschlüsselten Daten. Der Dienst kann diese Daten nicht entschlüsseln, sodass Schadsoftware innerhalb dieser verschlüsselten Blobs nicht erkannt wird. Wenn die Verschlüsselung erforderlich ist, scannen Sie die Daten vor dem Verschlüsselungsprozess, oder verwenden Sie unterstützte Verschlüsselungsmethoden wie vom Kunden verwaltete Schlüssel (CMK) zur Verschlüsselung im Ruhezustand.
Sicherungsdaten: Sicherungen bestehen aus Fragmenten aus verschiedenen Dateien. Wenn eine schädliche Datei gesichert wird, wird möglicherweise eine falsch positive Erkennung für die Sicherungsdatei ausgelöst, die selbst nicht böswillig ist.
Berücksichtigen Sie bei der Entscheidung, die Schadsoftwareüberprüfung zu aktivieren, ob andere unterstützte Dateien in das Speicherkonto hochgeladen werden. Bewerten Sie außerdem, ob Angreifer diesen Uploadstream ausnutzen könnten, um Schadsoftware einzuführen.
Unterschiede bei der Erkennung von Schadsoftware zwischen Azure Storage und Endpunktumgebungen
Defender for Storage verwendet dasselbe Antischadsoftwaremodul und up-to-Datumssignaturen wie Defender für Endpunkt, um nach Schadsoftware zu suchen. Wenn Dateien jedoch in Azure Storage hochgeladen werden, fehlen ihnen bestimmte Metadaten, von denen das Antischadsoftwaremodul abhängt. Dieser Mangel an Metadaten kann zu einer höheren Rate von verpassten Erkennungen führen, die in Azure Storage als "falsch negativ" bezeichnet werden, verglichen mit erkennungen, die von Defender für Endpunkt identifiziert wurden.
Nachfolgend finden Sie einige Beispiele für fehlende Metadaten:
Webmarkierung (Mark Of The Web, MOTW): MOTW ist ein Windows-Sicherheitsfeature zur Nachverfolgung von heruntergeladenen Dateien aus dem Internet. Beim Hochladen von Dateien in Azure Storage gehen diese Metadaten jedoch verloren.
Dateipfadkontext: Auf Standardbetriebssystemen kann der Dateipfad weiteren Kontext für die Bedrohungserkennung bereitstellen. So wird beispielsweise eine Datei, die versucht, Änderungen an Systemspeicherorten wie
C:\Windows\System32vorzunehmen, als verdächtig gekennzeichnet und näher analysiert. In Azure Storage kann der Kontext bestimmter Dateipfade innerhalb des Blobs nicht auf die gleiche Weise genutzt werden.Verhaltensdaten: Defender for Storage analysiert den Inhalt von Dateien, ohne sie auszuführen. Die Lösung untersucht die Dateien und emuliert ggf. ihre Ausführung, um sie auf Schadsoftware zu überprüfen. Bestimmte Arten von Schadsoftware, die ihre schädliche Natur nur während der Ausführung offenbaren, werden bei diesem Ansatz allerdings möglicherweise nicht erkannt.
Zugriff und Datenschutz
Datenzugriffsanforderungen
Der Malware-Überprüfungsdienst erfordert Zugriff auf Ihre Daten, um nach Schadsoftware zu suchen. Während der Dienstaktivierung wird eine neue Datenscannerressource namens StorageDataScanner in Ihrem Azure-Abonnement erstellt. Dieser Ressource wird eine systemseitig zugewiesene verwaltete Identität sowie die Rollenzuweisung „Besitzer von Speicherblobdaten” zugewiesen, damit sie auf Ihre Daten zugreifen und sie überprüfen kann.
Wenn die Netzwerkkonfiguration Ihres Speicherkontos auf „Öffentlichen Netzwerkzugriff von ausgewählten virtuellen Netzwerken und IP-Adressen aktivieren“ festgelegt ist, wird die Ressource StorageDataScanner dem Abschnitt „Ressourceninstanzen“ unter der Netzwerkkonfiguration des Speicherkontos hinzugefügt, um den Zugriff zum Überprüfen Ihrer Daten zu ermöglichen.
Datenschutz und regionale Verarbeitung
Regionale Verarbeitung: Die Überprüfung erfolgt innerhalb derselben Azure-Region wie Ihr Speicherkonto, um die Datenhaltungsanforderungen zu erfüllen.
Datenverarbeitung: Gescannte Dateien werden nicht gespeichert. In einigen Fällen können Dateimetadaten (z. B. SHA-256-Hash) zur weiteren Analyse für Microsoft Defender for Endpoint freigegeben werden.
Umgang mit möglichen falsch positiven und falsch negativen Ergebnissen
Falsch positive Ergebnisse
Falsch positive Ergebnisse treten auf, wenn das System eine gutartige Datei fälschlicherweise als böswillig identifiziert. So beheben Sie diese Probleme:
Zur Analyse übermitteln
Verwenden Sie das Portal für Beispielübermittlung, um falsch positive Ergebnisse zu melden.
Wählen Sie beim Übermitteln „Microsoft Defender for Storage“ als Quelle aus.
Unterdrücken von Warnungen
- Erstellen Sie Unterdrückungsregeln in Defender for Cloud, um bestimmte wiederkehrende falsch positive Warnungen zu verhindern.
Beheben von nicht erkannter Schadsoftware (falsch negative Ergebnisse)
Falsch negative Ergebnisse treten auf, wenn das System eine schädliche Datei nicht erkennt. Wenn Sie vermuten, dass ein falsch negatives Ergebnis vorliegt, können Sie die nicht erkannte Schadsoftware melden, indem Sie die Datei zur Analyse über das Sample-Übermittlungsportal übermitteln. Achten Sie darauf, so viel Kontext wie möglich anzugeben, um zu erklären, warum die Datei böswillig ist.
Note
Das regelmäßige Melden falsch positiver und negativer Ergebnisse trägt dazu bei, die Genauigkeit des Schadsoftwareerkennungssystems im Laufe der Zeit zu verbessern.