Einführung in die Schadsoftwareüberprüfung

Die Schadsoftwareüberprüfung in Microsoft Defender for Storage verbessert die Sicherheit Ihrer Azure Storage-Konten, indem Schadsoftwarebedrohungen erkannt und minimiert werden. Es verwendet Microsoft Defender Antivirus (MDAV), um Ihre Speicherinhalte zu scannen, um die Datensicherheit und Compliance sicherzustellen.

Defender for Storage bietet zwei Arten von Schadsoftwareüberprüfungen:

• Scannen von Schadsoftware beim Hochladen: Überprüft Blobs automatisch, wenn sie hochgeladen oder geändert werden, was eine schnelle Erkennung ermöglicht. Diese Art von Überprüfung eignet sich ideal für Anwendungen, die häufige Benutzeruploads umfassen, wie Webanwendungen oder Plattformen für die Zusammenarbeit. Das Scannen von Inhalten beim Hochladen hilft, das Risiko zu verringern, dass schädliche Dateien Ihre Speicherumgebung erreichen und sich weiter verbreiten.

• On-Demand-Schadsoftwareüberprüfung: Ermöglicht es Ihnen, vorhandene Blobs bei Bedarf manuell zu scannen. Dieser Scantyp wird verwendet, um eine Sicherheitsbasislinie für gespeicherte Daten einzurichten, während der Reaktion auf Vorfälle auf Sicherheitswarnungen zu reagieren, Complianceanforderungen zu unterstützen und proaktive Sicherheitsprüfungen in Ihrer gesamten Umgebung durchzuführen.

Diese Überprüfungsmodi helfen Ihnen, Ihre Speicherkonten zu schützen, die Complianceanforderungen zu erfüllen und die Datenintegrität aufrechtzuerhalten.

Warum Schadsoftwareüberprüfung wichtig ist

Inhalte, die in den Cloudspeicher hochgeladen werden, können Schadsoftware einführen und Sicherheitsrisiken erzeugen. Die Schadsoftwareüberprüfung verhindert, dass schädliche Dateien in Ihre Umgebung gelangen oder sich verbreiten.

Zu den wichtigsten Vorteilen gehören:

• Erkennen bösartiger Inhalte: Identifiziert und entschärft Schadsoftware.
• Verbessern des Sicherheitsstatus: Fügt eine Ebene hinzu, um die Verbreitung von Schadsoftware zu verhindern.
• Unterstützung der Compliance: Erfüllt gesetzliche Anforderungen.
• Vereinfachen der Sicherheitsverwaltung: Bietet eine cloudeigene, wartungsarme Lösung, die skaliert konfiguriert werden kann.

Wichtigste Funktionen

• Integrierte SaaS-Lösung: Einfach zu aktivieren, ohne Wartung der Infrastruktur.
• Erweiterte Antischadsoftwarefunktionen: Verwendet MDAV, um polymorphe und metamorphe Schadsoftware in allen Dateitypen zu erkennen.
• Umfassende Erkennung: Überprüft alle Dateitypen, einschließlich Archiven wie ZIP- und RAR-Dateien, bis zu 50 GB pro Blob.
• Flexible Scanoptionen: Bietet sowohl On-Upload- als auch On-Demand-Scans.
• Sicherheitswarnungen: Generiert detaillierte Warnungen in Microsoft Defender für Cloud.
• Automatisierungsunterstützung: Integriert in Logik-Apps, Funktions-Apps und Ereignisraster, um automatisierte Antworten auf Scanergebnisse zu erstellen.
• Compliance und Auditing: Protokolliert Scan-Ergebnisse für Audit- und Compliance-Anforderungen.
• Unterstützung privater Endpunkte: Unterstützt private Endpunkte, wodurch die Gefährdung des öffentlichen Internets reduziert wird.
• Automatisierte Schadsoftwarebehebung: Soft-löscht bösartige Blobs, die durch beim Hochladen und On-Demand-Malware-Überprüfung erkannt wurden.

Wählen Sie die richtige Scanoption aus.

Verwenden Sie die Überprüfung von Schadsoftware beim Hochladen , wenn Sie Schutz vor schädlichen Uploads benötigen – ideal für Webanwendungen, vom Benutzer generierte Inhalte, Partnerintegrationen oder freigegebene Inhaltspipelinen. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung beim Hochladen.

Verwenden Sie die Überprüfung von Schadsoftware bei Bedarf , wenn Sie Flexibilität beim Scannen benötigen – zum Einrichten von Sicherheitsgrundwerten, zum Reagieren auf Warnungen, zur Vorbereitung auf Audits oder zum Überprüfen gespeicherter Daten vor archivierung oder Austausch. Weitere Informationen finden Sie unter Schadsoftwareüberprüfung nach Bedarf.

Ergebnisse der Schadsoftwareüberprüfung

Schadsoftware-Scanergebnisse sind über vier Methoden verfügbar. Nach dem Setup werden Scanergebnisse als BLOB-Indextags für jede gescannte Datei und als Microsoft Defender für Cloud-Sicherheitswarnungen angezeigt, wenn eine Datei als böswillig identifiziert wird. Sie können die Verwendung von BLOB-Indextags im Azure-Portal oder über die REST-API deaktivieren. Sie können auch zusätzliche Scanergebnismethoden konfigurieren, z. B. Event Grid und Log Analytics, die zusätzliche Konfiguration erfordern. In den nächsten Abschnitten werden die einzelnen Scanergebnismethoden ausführlicher beschrieben.

Blobindextags

Blob-Indextags stellen durchsuchbare Schlüsselwertattribute für Blobs bereit. Standardmäßig protokolliert Defender für Storage das Ergebnis der Schadsoftwareüberprüfung in zwei Index-Tags bei jedem gescannten Blob.

• Scanergebnis:No threats found, Malicious, , Erroroder Not scanned
• Scanzeit (UTC)

Sie können die Verwendung von BLOB-Indextags im Azure-Portal oder über die REST-API deaktivieren.

Blob-Indextags sind so konzipiert, dass präzise Scanergebnisse für schnelle Filter- und Automatisierungsszenarien bereitgestellt werden. Indextags sind jedoch nicht manipulationssicher. Benutzer mit Berechtigungen zum Ändern von Tags können sie ändern, sodass sie nicht als alleinige Sicherheitskontrolle verwendet werden sollten. Verwenden Sie für sicherheitsrelevante Workflows stattdessen Warnungen, Ereignisrasterereignisse oder Log Analytics.

Defender für Cloud Sicherheitswarnungen

Wenn eine schädliche Datei erkannt wird, generiert Microsoft Defender für Cloud eine Sicherheitswarnung. Zu diesen Warnungen gehören Details zur Datei, zur Art der erkannten Schadsoftware sowie zu empfohlenen Untersuchungs- und Korrekturschritten.

Defender für Cloud-Sicherheitswarnungen sind nützlich für die Untersuchung und automatisierte Reaktion. Sie haben folgende Möglichkeiten:

• Zeigen Sie Sicherheitswarnungen im Azure-Portal an, indem Sie zu Microsoft Defender für Cloud>Security-Warnungen navigieren.
• Konfigurieren Sie Workflowautomatisierungen , um Korrekturaktionen auszulösen, wenn Warnungen generiert werden.
• Exportieren Sie Sicherheitswarnungen in ein SIEM-System (Security Information and Event Management). Sie können Warnungen kontinuierlich mit dem Microsoft Sentinel-Connector oder einem anderen SIEM Ihrer Wahl nach Microsoft Sentinel exportieren.

Erfahren Sie mehr über das Reagieren auf Sicherheitswarnungen.

Event Grid-Ereignisse

Event Grid bietet nahezu echtzeitbasierte Übermittlung von Schadsoftwarescanergebnissen für ereignisgesteuerte Automatisierung. Diese Methode ist optional und erfordert eine zusätzliche Konfiguration, bietet aber die schnellste Möglichkeit, automatisierte Antworten basierend auf Scanergebnissen auszulösen.

Event Grid unterstützt mehrere Endpunkttypen für die Verarbeitung von Ereignissen, darunter:

• Funktions-Apps – Führen Sie serverlosen Code aus, um gescannte Dateien zu verschieben, zu löschen, zu isolieren oder zu verarbeiten.

• Webhooks – Benachrichtigen externer Anwendungen oder Dienste.

• Event Hubs und Service Bus-Warteschlangen – Leiten Sie Ereignisse für Scan-Ergebnisse an nachgelagerte Verbraucher oder Verarbeitungspipelines weiter.

Event Grid wird empfohlen, wenn Sie eine geringe Latenz benötigen und automatisierte Workflows, die sofort auf die Ergebnisse von Schadsoftware-Scans reagieren. Erfahren Sie mehr über das Einrichten von Event Grid für die Überprüfung auf Schadsoftware.

Log Analytics

Log Analytics bietet ein zentrales, abfragbares Repository für Schadsoftwarescanergebnisse. Diese Methode ist optional und erfordert zusätzliche Konfiguration, eignet sich jedoch ideal für Compliance-, Überwachungs- und historische Untersuchungen, bei denen detaillierte Aufzeichnungen von Scanergebnissen erforderlich sind.

Wenn Log Analytics aktiviert ist, wird jedes Schadsoftwarescanergebnis in die StorageMalwareScanningResults Tabelle im konfigurierten Log Analytics-Arbeitsbereich geschrieben. Sie können diese Tabelle abfragen, um Scanergebnisse zu überprüfen, Muster zu untersuchen oder Complianceberichte zu generieren.

Log Analytics wird empfohlen, um einen Überwachungspfad zu erstellen oder eine eingehende Analyse durchzuführen. Verwenden Sie für die Automatisierung mit geringer Latenz stattdessen BLOB-Indextags oder Event Grid. Erfahren Sie mehr über das Einrichten der Protokollierung für die Überprüfung von Schadsoftware.

Automatisierte Schadsoftwarebehebung

Das Scannen von Schadsoftware unterstützt automatisierte Antworten, sodass Sie sofort und konsistent auf Scanergebnisse reagieren können. Sie können Automatisierungen basierend auf Blob-Index-Tags, Sicherheitswarnungen von Defender for Cloud oder Event Grid-Ereignissen erstellen, abhängig von Ihren Workflow-Anforderungen.

Zu den allgemeinen Antwortmustern gehören:

• Aktivieren der integrierten vorläufigen Löschung für schädliche Dateien, sodass erkannte Schadsoftware automatisch verschoben oder gelöscht wird, ohne dass benutzerdefinierte Workflows erforderlich sind.

• Blockieren des Zugriffs auf ungescannte oder schädliche Dateien mittels attributbasierter Zugriffskontrolle (ABAC).

• Löschen oder Verschieben bösartiger Dateien an einen Quarantänespeicherort mithilfe von Logik-Apps, die durch Sicherheitswarnungen ausgelöst werden, oder Funktions-Apps, die von Ereignisrasterereignissen ausgelöst werden.

• Weiterleiten sauberer Dateien an einen anderen Speicherort mit Event Grid und Funktions-Apps.

Erfahren Sie mehr über das Einrichten von Antwortaktionen für die Schadsoftwareüberprüfung.

Durch Schadsoftwareüberprüfung bereitgestellte Ressourcen

Wenn schadsoftwareüberprüfung aktiviert ist, stellt Defender for Storage automatisch mehrere Azure-Ressourcen bereit, die für Scanvorgänge erforderlich sind:

• Thema zum Ereignisrastersystem: Erstellt in derselben Ressourcengruppe wie das Speicherkonto. Dieses Systemthema wartet auf Blob-Upload-Ereignisse und löst beim Hochladen einen Malware-Scan aus. Durch das Entfernen dieser Ressource wird die Schadsoftwareüberprüfung nicht mehr funktionieren.

• StorageDataScanner Ressource: Eine verwaltete Dienstressource, die in Ihrem Abonnement mit einer vom System zugewiesenen verwalteten Identität erstellt wurde. Diese Identität erhält die Rolle Storage Blob Data Owner, um Blob-Daten für Malware-Scans und die Ermittlung sensibler Daten lesen zu können. Außerdem werden sie den Regeln der Netzwerkzugriffssteuerungsliste (Network Access Control List, ACL) des Speicherkontos hinzugefügt, um die Überprüfung zuzulassen, wenn der Zugriff auf öffentliche Netzwerke eingeschränkt ist.

• DefenderForStorageSecurityOperator Ressource (Aktivierung auf Abonnementebene): Erstellt, wenn die Schadsoftwareüberprüfung auf Abonnementebene aktiviert ist. Diese Identität konfiguriert, repariert und verwaltet Die Einstellungen für die Überprüfung von Schadsoftware in vorhandenen und neu erstellten Speicherkonten. Sie enthält die erforderlichen Rollenzuweisungen, um diese Vorgänge auszuführen.

Diese Ressourcen sind erforderlich, damit schadsoftwareüberprüfung funktioniert. Wenn eine dieser Elemente gelöscht oder geändert wird, funktioniert die Schadsoftwareüberprüfung möglicherweise nicht mehr.

Unterstützte Inhalte und Einschränkungen

Unterstützte Inhalte

• Dateitypen: Alle Dateitypen werden unterstützt, einschließlich komprimierter Archive wie ZIP- und RAR-Dateien.

• Dateigröße: Blobs bis zu 50 GB können gescannt werden.

Limitations

• Nicht unterstützte Speicherkonten: Ältere v1-Speicherkonten werden nicht unterstützt.

• Nicht unterstützte Dienste: Azure Files wird nicht unterstützt.

• Nicht unterstützte Blobtypen:Anfüge- und Seitenblobs werden nicht unterstützt.

• Nicht unterstützte clientseitige Verschlüsselung: Clientseitige verschlüsselte Blobs können nicht gescannt werden, da der Dienst sie nicht entschlüsseln kann. Blobs, die im Ruhezustand mit kundenverwalteten Schlüsseln (Customer Managed Keys, CMK) verschlüsselt sind, werden unterstützt.

• Nicht unterstützte Protokolle: Blobs, die mit dem Network File System (NFS) 3.0-Protokoll hochgeladen wurden, werden nicht gescannt.

• Blob-Indextags: Indextags werden für Speicherkonten mit aktivierten hierarchischen Namespaces (Azure Data Lake Storage Gen2) nicht unterstützt.

• Nicht unterstützte Regionen: Nicht alle Regionen unterstützen derzeit die Schadsoftwareüberprüfung. Die Liste mit den neuesten Informationen finden Sie unter Verfügbarkeit von Defender für Cloud.

• Ereignisraster: Ereignisrasterthemen, für die kein öffentlicher Netzwerkzugriff aktiviert ist (z. B. solche, die private Endpunkte verwenden), werden für die Übermittlung von Scanergebnissen nicht unterstützt.

• Zeitpunkt der Metadatenaktualisierung: Wenn die Metadaten eines Blobs bald nach dem Upload aktualisiert werden, schlägt die Überprüfung während des Uploads möglicherweise fehl. Um dies zu vermeiden, empfiehlt es sich, entweder Metadaten anzugeben BlobOpenWriteOptionsoder Metadatenaktualisierungen zu verzögern, bis die Überprüfung abgeschlossen ist.

• Scanzeitlimits: Große oder komplexe Blobs können das Timeoutfenster von Defender überschreiten (30 Minuten bis 3 Stunden, abhängig von blob-Größe und Struktur). Zip-Dateien mit vielen geschachtelten Einträgen benötigen in der Regel mehr Zeit zum Scannen. Wenn ein Scan die zugewiesene Zeit überschreitet, wird das Ergebnis als Timeout des Scans markiert.

Überlegungen zu Leistung und Kosten

Blobscans und Auswirkungen auf IOPS

Jede Malware-Überprüfung führt einen zusätzlichen Lesevorgang durch und aktualisiert die Blob-Indextags. Diese Vorgänge generieren zusätzliche E/A, haben jedoch in der Regel minimale Auswirkungen auf die Speicherleistung (IOPS). Der Zugriff auf die gescannten Daten bleibt während des Scannens nicht betroffen, und Anwendungen können weiterhin ohne Unterbrechung in das Blob lesen oder schreiben.

Sie können die Auswirkungen von IOPS verringern, indem Sie BLOB-Indextags für den Scanergebnisspeicher deaktivieren.

Zusätzliche Kosten

Das Scannen von Schadsoftware kann zusätzliche Kosten für abhängige Azure-Dienste verursachen, darunter:

• Azure Storage-Lesevorgänge
• Azure Storage-BLOB-Indizierung (wenn Indextags verwendet werden)
• Azure Event Grid-Ereignisse

Verwenden Sie das Microsoft Defender for Storage Price Estimate-Dashboard , um End-to-End-Kosten zu schätzen.

Szenarien, in denen Schadsoftwareüberprüfung unwirksam ist

Während schadsoftwareüberprüfung umfassende Erkennungsfunktionen bietet, verhindern bestimmte Datenmuster oder Uploadszenarien, dass der Dienst Schadsoftware genau identifiziert. Berücksichtigen Sie diese Fälle, bevor Sie die Schadsoftwareüberprüfung für ein Speicherkonto aktivieren:

• Gestückelte Daten: Die Erkennung schlägt möglicherweise fehl, wenn eine Datei in Stücken hochgeladen wird. Reine Header-Fragmente werden als beschädigt markiert, während reine Tail-Fragmente harmlos erscheinen können. Scannen Sie Daten vor dem Chunking oder nach dem Zusammensetzen, um die Abdeckung sicherzustellen.

• Verschlüsselte Daten: Die Schadsoftwareüberprüfung unterstützt keine clientseitigen verschlüsselten Daten. Der Dienst kann diese Daten nicht entschlüsseln, sodass Schadsoftware innerhalb dieser verschlüsselten Blobs nicht erkannt wird. Wenn Verschlüsselung erforderlich ist, scannen Sie Daten vor der Verschlüsselung, oder verwenden Sie unterstützte Verschlüsselungs-at-Rest-Methoden wie kundenverwaltete Schlüssel (CMK), wobei Azure Storage die Entschlüsselung für den Zugriff behandelt.

• Sicherungsdaten: Sicherungsdateien können Fragmente von zuvor gescannten oder schädlichen Inhalten enthalten. Da der Scanner das Fragment selbst und nicht den ursprünglichen Dateikontext auswertet, generieren Sicherungen möglicherweise Warnungen, obwohl die Sicherungsdatei insgesamt nicht bösartig ist.

Bewerten Sie diese Szenarien als Teil Ihres Bedrohungsmodells, insbesondere, wenn nicht vertrauenswürdige oder vom Benutzer generierte Inhalte in das Speicherkonto hochgeladen werden können.

Erkennungsunterschiede zwischen Speicher- und Endpunktumgebungen

Defender for Storage verwendet dieselben Antischadsoftwaremodul- und Signaturupdates wie Defender für Endpunkt. Wenn Dateien jedoch in Azure Storage gescannt werden, sind bestimmte kontextbezogene Metadaten, die auf Endpunkten verfügbar sind, nicht vorhanden. Dieser Kontextmangel kann zu einer höheren Wahrscheinlichkeit von verpassten Erkennungen (falsch negative Ergebnisse) im Vergleich zum Scannen auf einem Endpunkt führen.

Beispiele für fehlenden oder nicht verfügbaren Kontext sind:

• Mark of the Web (MOTW): MOTW identifiziert Dateien, die aus dem Internet stammen, diese Metadaten werden jedoch nicht beibehalten, wenn Dateien in Azure Storage hochgeladen werden.

• Dateipfadkontext: Die Endpunktüberprüfung wertet den Dateipfad aus, um zu bestimmen, ob eine Datei mit sensiblen Systemspeicherorten interagiert (z. B C:\Windows\System32. ). Blob-Speicher stellt keinen entsprechenden pfadbasierten Kontext bereit.

• Verhaltensdaten: Defender for Storage führt statische Analysen und eingeschränkte Emulation durch, beobachtet jedoch nicht das Laufzeitverhalten. Einige Schadsoftware offenbart nur bösartiges Verhalten während der Ausführung und wird möglicherweise nicht allein durch statische Überprüfung erkannt.

Zugriff und Datenschutz

Datenzugriffsanforderungen

Um Daten auf Schadsoftware zu überprüfen, benötigt der Dienst Zugriff auf die Blobs innerhalb Ihres Speicherkontos. Wenn schadsoftwareüberprüfung aktiviert ist, stellt Azure automatisch eine Ressource bereit, die in Ihrem Abonnement benannt ist StorageDataScanner . Diese Ressource verwendet eine vom System zugewiesene verwaltete Identität und erhält die Rolle " Storage Blob Data Owner ", um Daten zu lesen und zu scannen.

Wenn Ihr Speicherkonto so konfiguriert ist, dass der Zugriff auf öffentliche Netzwerke nur aus ausgewählten virtuellen Netzwerken oder IP-Adressen möglich ist, wird die StorageDataScanner Ressource dem Abschnitt "Ressourceninstanzen" der Netzwerkkonfiguration für Speicherkonten hinzugefügt. Dadurch wird sichergestellt, dass der Scanner auch dann auf Ihre Daten zugreifen kann, wenn der Zugriff auf das öffentliche Netzwerk eingeschränkt ist.

Datenschutz und regionale Verarbeitung

• Regionale Verarbeitung: Schadsoftwareüberprüfungen werden in derselben Azure-Region wie Ihr Speicherkonto durchgeführt, um die Datenaufbewahrung und Complianceanforderungen zu unterstützen.

• Datenverarbeitung: Gescannte Dateien werden nicht vom Dienst gespeichert. In begrenzten Fällen können Dateimetadaten wie der SHA-256-Hash für Microsoft Defender für Endpunkt zur weiteren Analyse freigegeben werden.

Falsch positive und falsch negative Ergebnissen verarbeiten

Falsch positive Ergebnisse

Ein falsch positives Ergebnis tritt auf, wenn eine gutartige Datei fälschlicherweise als böswillig identifiziert wird. Wenn Sie glauben, dass eine Datei falsch gekennzeichnet wurde, können Sie die folgenden Aktionen ausführen:

1. Übermitteln der Datei für die Neuanalyse

   Verwenden Sie das Beispielübermittlungsportal , um ein falsch positives Ergebnis zu melden.
   Wählen Sie beim Übermitteln Microsoft Defender für Speicher als Quelle aus.

2. Wiederholte Warnungen unterdrücken

   Erstellen Sie Warnungsunterdrückungsregeln in Defender for Cloud, um Rauschen von wiederkehrenden falsch positiven Warnungen in Ihrer Umgebung zu reduzieren.

Beheben von nicht erkannter Schadsoftware (falsch negative Ergebnisse)

Ein falsch negatives Ergebnis tritt auf, wenn eine schädliche Datei nicht erkannt wird. Wenn Sie glauben, dass Malware übersehen wurde, übermitteln Sie die Datei zur Analyse über das Sample Submission Portal. Stellen Sie so viel Kontext wie möglich bereit, um zu unterstützen, warum Sie der Meinung sind, dass die Datei böswillig ist.

Verwandte Inhalte

• Schadsoftwareüberprüfung beim Hochladen in Microsoft Defender for Storage

• On-Demand-Schadsoftwareüberprüfung in Microsoft Defender for Storage