Bereitstellen von Microsoft Defender für Speicher
Microsoft Defender für Speicher ist eine native Azure-Lösung. Sie bietet eine fortschrittliche Intelligenzebene zur Erkennung und Abwehr von Bedrohungen in Speicherkonten. Sie nutzt Microsoft Threat Intelligence, Microsoft Defender Antimalware-Technologien und die Erkennung vertraulicher Daten. Sie schützt Dienste von Azure Blob Storage, Azure Files und Azure Data Lake Storage Gen2. Der Dienst bietet eine umfassende Warnungssuite, eine Überprüfung auf Schadsoftware in Quasi-Echtzeit (als Add-On) und die Bedrohungserkennung für vertrauliche Daten ohne zusätzliche Kosten. Auf diese Weise können Sie potenzielle Sicherheitsbedrohungen mit detaillierten Informationen schnell erkennen, bewerten und darauf reagieren. Er unterstützt Sie dabei, schwerwiegende Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern, einschließlich dem Hochladen bösartiger Dateien, die Exfiltration sensibler Daten und Datenbeschädigung.
Mit Microsoft Defender für Speicher können Organisationen ihren Schutz anpassen und konsistente Sicherheitsrichtlinien erzwingen, indem sie den Dienst mit präziser Kontrolle und Flexibilität für Abonnements und Speicherkonten aktivieren.
Tipp
Wenn Sie derzeit Microsoft Defender für Speicher (klassisch) verwenden, sollten Sie eine Migration zum neuen Plan in Erwägung ziehen, der mehrere Vorteile gegenüber dem klassischen Plan bietet.
Informationen zu Preisen und regionaler Verfügbarkeit finden Sie auf der Preisseite von Defender for Cloud.
Voraussetzungen
Bevor Sie Microsoft Defender für Speicher aktivieren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen und Voraussetzungen verfügen. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Defender für Speicher.
Einrichten und Konfigurieren von Microsoft Defender für Speicher
Um Microsoft Defender für Speicher zu aktivieren und zu konfigurieren, um maximalen Schutz sowie eine Kostenoptimierung zu gewährleisten, stehen die folgenden Optionen zur Verfügung:
- Aktivieren/deaktivieren Sie Microsoft Defender für Speicher auf Abonnement- und Speicherkontoebene.
- Aktivieren/deaktivieren Sie die konfigurierbaren Funktionen für Malware-Scans oder die Erkennung von Bedrohungen vertraulicher Daten.
- Legen Sie eine monatliche Obergrenze für die Überprüfung auf Schadsoftware pro Speicherkonto und Monat fest, um die Kosten zu steuern (Standardwert: 5.000 GB).
- Konfigurieren Sie Methoden, um festzulegen, wie Sie auf Ergebnisse der Überprüfung auf Schadsoftware reagieren.
- Konfigurieren Sie Methoden zum Speichern der Protokolle, die die Ergebnisse der Überprüfung auf Schadsoftware enthalten.
Tipp
Für die Überprüfung auf Schadsoftware können erweiterte Konfigurationen vorgenommen werden, mit denen Sicherheitsteams unterschiedliche Workflows und Anforderungen unterstützen können.
- Überschreiben Sie Einstellungen auf Abonnementebene, um bestimmte Speicherkonten mit benutzerdefinierten Konfigurationen zu konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.
Es gibt mehrere Möglichkeiten, Defender für Speicher zu aktivieren und zu konfigurieren:
- Verwenden der in Azure integrierten Richtlinie (empfohlene Methode),
- Programmgesteuert mithilfe von Infrastructure-as-Code-Vorlagen, einschließlich
- Verwendung des Azure-Portals
- Verwendung von PowerShell
- Direkt mit der REST-API.
Wir empfehlen, Defender für Speicher über eine Richtlinie zu aktivieren. Diese Methode erleichtert die Aktivierung im großen Stil und stellt sicher, dass eine konsistente Sicherheitsrichtlinie auf alle vorhandenen und zukünftigen Speicherkonten innerhalb des definierten Bereichs (z. B. ganze Verwaltungsgruppen) angewendet wird. Dadurch bleiben die Speicherkonten mit Defender für Speicher gemäß der definierten Konfiguration der Organisation geschützt.