Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bei bedarfsgesteuertem Scannen von Schadsoftware in Microsoft Defender für den Speicher können Sie vorhandene Blobs und Dateien in Ihren Azure Storage Konten bei Bedarf scannen. Diese Funktion bietet Flexibilität beim Scannen gespeicherter Daten als Reaktion auf sich ständig weiterentwickelnde Sicherheitsanforderungen, Complianceanforderungen oder Sicherheitsvorfälle, um sicherzustellen, dass Ihre Daten kontinuierlich geschützt sind.
Durch die Verwendung von Microsoft Defender Antivirus mit den neuesten Malwaredefinitionen bietet die On-Demand-Überprüfung eine cloudnative Lösung. Es ist keine zusätzliche Infrastruktur oder zusätzlicher Betriebsaufwand erforderlich. Bei diesem Ansatz werden Lücken in der Abdeckung behoben, insbesondere bei Daten, die vor der Aktivierung der Überprüfung hochgeladen wurden. Er hilft auch, wenn neue Bedrohungen entstehen, sodass Sie gespeicherte Dateien proaktiv absichern und potenzielle Gefährdungen in Cloudumgebungen reduzieren können.
Gängige Anwendungsfälle für die On-Demand-Schadsoftwareüberprüfung
Die On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage bietet die folgenden Vorteile:
- Reagieren auf Sicherheitsereignisse: Scannen Sie Speicherkonten sofort, wenn Sicherheitswarnungen oder verdächtige Aktivitäten erkannt werden.
- Sicherstellen der Compliance: Führen Sie geplante oder bedarfsgesteuerte Scans aus, um datenschutzrechtliche und gesetzliche Complianceanforderungen zu erfüllen.
- Proaktive Sicherheitsverwaltung: Legen Sie wiederkehrende Scans fest, um eine fortlaufend sichere Umgebung zu erhalten.
- Erstellen einer Sicherheitsbaseline: Überprüfen Sie vorhandene Daten, wenn Defender for Storage zum ersten Mal aktiviert wird, um eine Baseline für zukünftige Sicherheit einzurichten.
Schadsoftware kann Cloudspeicherumgebungen infiltrieren und ein erhebliches Risiko für Organisationen darstellen. On-Demand-Schadsoftwareüberprüfung bietet eine integrierte, cloudnative Lösung, um diese Bedrohungen zu erkennen und zu mindern, indem Ihre vorhandenen Daten auf schädliche Inhalte überprüft werden.
Gleiche Aspekte wie bei der Überprüfung beim Hochladen
Die folgenden Abschnitte gelten sowohl für die On-Demand- als auch für die On-Upload-Schadsoftwareüberprüfung.
- Zusätzliche Kosten: einschließlich Azure Storage-Lesevorgänge, Blobindizierung und Event Grid-Benachrichtigungen
- Anzeigen und Verwenden von Scan-Ergebnissen: Methoden wie Blob-Index-Tags, Sicherheitswarnungen von Defender for Cloud, Event Grid-Ereignisse und Log Analytics.
- Automatisierung der Schadsoftwarebehebung: Automatisieren Sie Aktionen wie Blockieren, Löschen oder Verschieben von Dateien basierend auf Scanergebnissen.
- Unterstützte Inhalte und Einschränkungen: behandelt unterstützte Dateitypen und -größen, Verschlüsselung und Regionsbeschränkungen
- Zugriff und Datenschutz: Details dazu, wie der Dienst auf Ihre Daten zugreift und diese verarbeitet, einschließlich Datenschutzaspekten
- Handhabung falscher Positivergebnisse und falscher Negativergebnisse: Schritte zum Senden von Dateien zur Überprüfung und Erstellen von Unterdrückungsregeln.
- Blobüberprüfungen und Auswirkungen auf IOPS: Erfahren Sie, wie Überprüfungen weitere Lesevorgänge auslösen und Blobindextags aktualisieren.
Ausführliche Informationen zu diesen Themen finden Sie in der Einführung in die Malware-Überprüfung.
On-Demand-Scans initiieren
Grundlegendes zum On-Demand-Scanprozess
Kostenabschätzung: Bevor Sie einen Scan initiieren, schätzt das Azure-Portal die Kosten auf Basis der Metrik "Speicherkapazität" und des Datenvolumens. Sie erhalten Einblicke in die potenziellen Scankosten.
Scaninitiierung: Sie können Scans manuell über das Azure-Portal starten, sie programmgesteuert mithilfe der REST-API auslösen oder über Logic Apps, Automation Runbooks oder PowerShell-Skripts automatisieren. Sie können Scannen in verschiedene Workflows integrieren.
Auflisten und Senden von Blobs zum Scannen: Sobald Sie eine Überprüfung initiiert haben, listet das System alle unterstützten Blobs und Dateien im Speicherkonto auf und sendet sie parallel zur Überprüfung. Je nach Anzahl und Größe von Objekten kann dieser Vorgang einige Minuten bis zu mehreren Stunden dauern.
Monitoring progress: Sie können den Scanstatus über das Azure Portal oder die API nachverfolgen. Sie erhalten Details zur Anzahl der gescannten Objekte, übersprungenen Objekte, Datenvolume, erkannte schädliche Objekte, Scanstatus und Dauer.
Abschluss und Ergebnisse: Nachdem alle Objekte gescannt wurden, markiert das System den Scan als abgeschlossen und liefert eine Zusammenfassung der Ergebnisse. Sie können die API auch verwenden, um die Details der letzten Überprüfung abzufragen.
Wichtige Aspekte
- Einschränkung einzelner Scans: Für jedes Speicherkonto kann jeweils nur eine Überprüfung bei Bedarf ausgeführt werden.
- Abbruch: Sie können Scans nur während der ersten Phasen des Scans abbrechen.
Voraussetzungen
Berechtigungen: Die integrierte Rolle "Sicherheitsadministrator" kann verwendet werden. Erstellen Sie für den geringsten privilegierten Zugriff eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
Microsoft.Security/defenderForStorageSettings/startMalwareScan/action
Microsoft.Security/defenderForStorageSettings/malwareScans/read
Microsoft.Security/defenderForStorageSettings/malwareScans/cancelMalwareScan/action
Defender für den Speicher mit On-Upload-Schadsoftwareüberprüfung: Muss für das Abonnement oder das einzelne Speicherkonto aktiviert sein.
Über das Azure-Portal
Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Ihrem Speicherkonto.
Wählen Sie unter Sicherheit und Netzwerk die Option Microsoft Defender for Cloud aus.
Überprüfen Sie im Abschnitt " On-Demand-Schadsoftwareüberprüfung " die geschätzten Kosten basierend auf dem Datenvolumen.
Wählen Sie "Speicherkonto scannen" für Schadsoftware aus, um die Überprüfung zu starten. Bestätigen Sie die Aktion, wenn Sie dazu aufgefordert werden.
Überwachung des Fortschritts
Der Scanstatus und die Ergebnisse werden alle 20-30 Sekunden aktualisiert.
Sie können Details wie Scanstatus, gescannte Objekte, GB gescannt, gefundene Bedrohungen und Scandauer anzeigen.
Überprüfen der Ergebnisse:
Wenn die Überprüfung Bedrohungen findet, lesen Sie die Details im Abschnitt "Sicherheitsvorfälle und Warnungen ".
Aktualisieren Sie die Seite, wenn Benachrichtigungen nicht sofort angezeigt werden.
Hinweis
Wenn Sie eine laufende Überprüfung abbrechen möchten, wählen Sie Abbrechen aus. Der Abbruch ist nur während der Anfangsphase des Scans möglich, bevor der Status Warten auf den Abschluss erreicht wird. Sobald der Scan diesen Status oder höher eingibt, können Sie ihn nicht abbrechen.
Verwenden der REST-API
Scan starten
Führen Sie die folgenden Schritte aus, um eine Schadsoftwareüberprüfung mithilfe der REST-API zu starten:
Request URL (Anforderungs-URL):
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/startMalwareScan?api-version=2024-10-01-previewAuthentifizierung:
- Stellen Sie sicher, dass Sie ein gültiges Bearertoken erhalten. Sie benötigen dieses Token, um auf die API zuzugreifen.
Beispiel:
POST https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount/providers/Microsoft.Security/defenderForStorageSettings/current/StartMalwareScan?api-version=2024-10-01-preview Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi...
Überprüfen des Scanstatus und der Ergebnisse
Nachdem Sie einen Scan gestartet haben, verwenden Sie die folgenden Befehle, um den Status zu überprüfen und die Ergebnisse zu überprüfen:
Request URL (Anforderungs-URL):
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest?api-version=2024-10-01-previewAntwort Beispiel:
{ "scanId": "abcd1234-5678-90ab-cdef-1234567890ab", "scanStatus": "InProgress", "scanStartTime": "2024-10-03T12:34:56Z", "scanSummary": { "blobs": { "totalBlobsScanned": 150, "maliciousBlobsCount": 2, "skippedBlobsCount": 0, "scannedBlobsInGB": 10.5 }, "files": { "totalFilesScanned": 205 "maliciousFilesCount": 1, "skippedFilesCount": 0, "failedFilesCount": 0, "scannedFilesInGB": 9.76 } "estimatedScanCostUSD": 3.2 }
Abbrechen eines Scans
Sie können eine laufende Überprüfung nur während der ersten Phasen abbrechen. Sobald der Scan den Status "WaitingForCompletion " erreicht oder darüber hinaus erreicht hat, können Sie ihn nicht abbrechen. Um den Scan abzubrechen, senden Sie die folgende Abbruchanforderung:
Request URL (Anforderungs-URL):
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/providers/Microsoft.Security/defenderForStorageSettings/current/malwareScans/latest/cancelMalwareScan?api-version=2024-10-01-preview
Kostenaspekte
Bevor Sie mit einem On-Demand-Scan beginnen, stellt das Azure Portal eine Kostenschätzung basierend auf der Metrik "Speicherkapazität" bereit, die alle paar Stunden aktualisiert wird. Die Schätzung wird in USD angezeigt und gibt die Kosten pro gescanntem GB an. Im Gegensatz zum On-Upload-Scan gibt es keine monatliche Obergrenze, und die Kosten basieren vollständig auf der Nutzung.
Bewährte Methoden für die Kostenkontrolle
- Überprüfen von Kostenschätzungen: Überprüfen Sie immer die geschätzten Kosten im Azure-Portal, bevor Sie eine Überprüfung initiieren.
- Scanhäufigkeit wohlüberlegt festlegen: Planen oder automatisieren Sie Scans basierend auf Risiken. Konzentrieren Sie sich dabei auf Daten mit hoher Priorität, um unnötige Kosten zu vermeiden.
- Effizientes Automatisieren: Stellen Sie sicher, dass die Automatisierung Scans nur bei Bedarf auslöst, z. B. als Reaktion auf bestimmte Ereignisse oder Warnungen.
Bewährte Methoden
Um die Effektivität der On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage zu maximieren, sollten Sie die folgenden Empfehlungen berücksichtigen:
Integrieren in Incident Response: Verwenden Sie die On-Demand-Überprüfung, um Sicherheitsvorfälle schnell zu beheben, indem Sie potenziell kompromittierte Dateien als Reaktion auf Warnungen scannen.
Automatisieren von Compliancescans: Richten Sie automatische, regelmäßige Scans ein, um die fortlaufende Einhaltung gesetzlicher Anforderungen und Überwachungsbereitschaft sicherzustellen. Verwenden Sie Logic Apps oder Runbooks, um diesen Prozess zu optimieren.
Einrichten einer automatisierten Bereinigung für die Erkennung von Schadsoftware: Aktivieren Sie Soft-Delete für bösartige Blobs, oder konfigurieren Sie automatisierte Workflows, die auf die Erkennung von Schadsoftware reagieren, wie z.B. das Verschieben infizierter Dateien in Quarantäne oder das Weiterleiten sauberer Dateien.
Proaktives Verwalten von Kosten: Überprüfen Sie im Azure-Portal bereitgestellte Kostenschätzungen stets vor dem Initiieren von Scans, insbesondere bei großen Datasets oder häufigen Scans.
Konsistentes Überwachen von Ergebnissen: Überwachen Sie kontinuierlich Scanergebnisse und Sicherheitswarnungen, um über potenzielle Bedrohungen auf dem Laufenden zu bleiben und rechtzeitig Maßnahmen zu ergreifen.