Konfigurieren von Microsoft Defender für Speicher zur Erkennung von Datenbedrohungen

Konfigurieren von Microsoft Defender für Speicher zur Erkennung von Datenbedrohungen

01.08.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Konfiguration und Optimierung von Microsoft Defender für Storage unterstützen. In einem Szenario, in dem die Datenspeicherung in der Cloud für den Betrieb unerlässlich ist, ist der Schutz dieser Daten vor Cyber-Bedrohungen von größter Bedeutung. Defender for Storage bietet eine Azure-native Sicherheitsebene, die ungewöhnliche Aktivitäten und potenzielle Malware in Speicherkonten erkennt und so Datenintegrität und Vertraulichkeit gewährleistet [1].

Einführung

Azure-Speicherkonten (Blob Storage, File Storage, Data Lake Storage usw.) sind wichtige Repositorys für eine Vielzahl von Daten, von Backups und Protokolldateien bis hin zu Anwendungsdaten und vertraulichen Informationen. Der Schutz dieser Vermögenswerte ist von entscheidender Bedeutung, da ein Verstoß zu finanziellen Verlusten, Reputationsschäden und Compliance-Problemen führen kann. Zu den häufigsten Angriffen auf Speicherkonten gehören das Hochladen von Malware, unbefugter Zugriff, Datenexfiltration und Datenmanipulation [2].

Microsoft Defender for Storage, Teil von Microsoft Defender for Cloud, ist eine cloudbasierte Sicherheitslösung, die eine intelligente, kontextbezogene Bedrohungserkennung für Azure-Speicherkonten bietet. Es überwacht kontinuierlich die Aktivitäten über Speicherkonten hinweg, um verdächtiges Verhalten wie Zugriffe von ungewöhnlichen Standorten, Datenexfiltrationsversuche, Malware-Uploads und Kryptomining-Aktivitäten zu identifizieren. Darüber hinaus bietet es erweiterte Funktionen wie Echtzeit-Malware-Scanning für Blobs und Bedrohungserkennung für sensible Daten [3].

Diese Anleitung behandelt die Aktivierung von Defender für Storage auf Abonnement- und Speicherkontoebene, die Konfiguration von Sicherheitswarnungen, die Aktivierung von Malware-Scans und die Erkennung von Bedrohungen für vertrauliche Daten. Es werden Schritt-für-Schritt-Anleitungen, praktische Beispiele und prägnante Erklärungen bereitgestellt, damit der Leser diese Funktionen implementieren, testen und validieren kann. Darüber hinaus werden Sicherheitstipps, Compliance-Checks und Best Practices besprochen, um sicherzustellen, dass Ihre Speicherkonten autonom, professionell und zuverlässig vor den neuesten Bedrohungen geschützt sind.

Warum ist Microsoft Defender for Storage so wichtig?

  • Umfassende Bedrohungserkennung: Identifiziert eine Vielzahl von Bedrohungen, darunter Malware, verdächtige Zugriffe, Datenexfiltration und Kryptomining-Aktivitäten.
  • Echtzeit-Malware-Scanning: Scannt hochgeladene Blobs in Echtzeit mithilfe von Microsoft Threat Intelligence, um schädliche Dateien zu erkennen und zu blockieren, bevor sie Schaden anrichten können.
  • Bedrohungserkennung für sensible Daten: Verwendet Datenklassifizierungsmechanismen, um verdächtige Aktivitäten rund um gespeicherte sensible Daten zu identifizieren, wie z. B. unbefugten Zugriff oder ungewöhnliche Bewegungen.
  • Umsetzbare Sicherheitswarnungen: Generiert detaillierte Sicherheitswarnungen in Microsoft Defender für Cloud und bietet Kontext und Abhilfeempfehlungen.
  • Native Integration mit Azure: Nahtlose Integration in das Azure-Ökosystem unter Nutzung von Azure Monitor und Log Analytics zur Überwachung und Analyse.
  • Compliance: Hilft bei der Einhaltung gesetzlicher Compliance-Anforderungen, die den Schutz und die Überwachung gespeicherter Daten erfordern.

Voraussetzungen

Um Microsoft Defender für Storage zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Aktives Azure-Abonnement: Ein Azure-Abonnement zum Erstellen und Verwalten von Ressourcen.
  2. Administratorzugriff: Ein Konto mit der Rolle „Besitzer“, „Mitwirkender“ oder „Sicherheitsadministrator“ für das Abonnement oder die Ressourcengruppe, in der sich die Speicherkonten befinden.
  3. Vorhandene Azure Storage-Konten: Speicherkonten (Blob, File, Data Lake Gen2), die Sie schützen möchten.

Schritt für Schritt: Konfigurieren von Microsoft Defender für Storage

Lassen Sie uns Defender for Storage aktivieren und seine Funktionen konfigurieren.

1. Aktivieren von Defender für Speicher auf Abonnementebene

Die beste Vorgehensweise besteht darin, Defender for Storage auf Abonnementebene zu aktivieren, um alle vorhandenen und zukünftigen Speicherkonten automatisch zu schützen.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit a andas Konto, das über die erforderlichen Berechtigungen verfügt.
  3. Geben Sie im oberen Suchfeld „Microsoft Defender for Cloud“ ein und wählen Sie es aus den Ergebnissen aus.
  4. Wählen Sie im linken Navigationsbereich von Defender for Cloud Umgebungseinstellungen aus.
  5. Wählen Sie das Abonnement aus, in dem Sie Defender for Storage aktivieren möchten.

  6. Suchen Sie auf der Seite mit den Defender-Plänen nach „Speicher“ und schalten Sie den Status auf „Aktiviert“ um.

  7. Klicken Sie für den Speicherplan auf „Einstellungen“, um die erweiterten Optionen anzuzeigen.

    • Malware-Scan beim Hochladen: Stellen Sie sicher, dass diese Option aktiviert ist. Dies ermöglicht eine Malware-Überprüfung für hochgeladene Blobs nahezu in Echtzeit.
    • Bedrohungserkennung sensibler Daten: Stellen Sie sicher, dass diese Option aktiviert ist. Dies ermöglicht die Erkennung verdächtiger Aktivitäten rund um sensible Daten.
    • Sicherheitsereignisse für Azure Storage: Stellen Sie sicher, dass diese Option „Ein“ ist. Dies ermöglicht die Überwachung von Zugriffs- und Netzwerkaktivitäten.

  8. Klicken Sie auf Speichern.

    • Erklärung: Durch die Aktivierung von Defender for Storage auf Abonnementebene wird sichergestellt, dass alle Speicherkonten innerhalb dieses Abonnements (vorhandene und neue) geschützt sind. Zu den Standardeinstellungen gehören die Suche nach Malware in Uploads und die Erkennung von Bedrohungen für sensible Daten.

2. Defender auf Speicherstatus für ein bestimmtes Konto prüfen

Obwohl im Abonnement aktiviert, empfiehlt es sich, den Status einzelner Konten zu überprüfen.

  1. Navigieren Sie im Azure-Portal zu einem Ihrer Speicherkonten.
  2. Wählen Sie im linken Navigationsbereich des Speicherkontos unter „Sicherheit + Netzwerk“ die Option Microsoft Defender für Cloud aus.
  3. Sie sollten sehen, dass der Status von „Microsoft Defender for Storage“ „Aktiviert“ ist.

3. Konfigurieren von Sicherheitswarnungen und Benachrichtigungen

Warnungen sind für die Benachrichtigung von Sicherheitsteams über erkannte Bedrohungen unerlässlich.

  1. Wählen Sie im linken Navigationsbereich von Defender für Cloud Sicherheitswarnungen aus.

  2. Hier können Sie alle von Defender for Storage und anderen Defender for Cloud-Lösungen generierten Warnungen anzeigen.

  3. Um E-Mail-Benachrichtigungen für Warnungen zu konfigurieren, wählen Sie im linken Navigationsbereich von Defender für Cloud Umgebungseinstellungen aus.

  4. Wählen Sie Abonnement.
  5. Wählen Sie im linken Navigationsbereich E-Mail-Benachrichtigungen aus.
  6. Fügen Sie die E-Mail-Adressen der Sicherheitsadministratoren hinzu, die die Warnungen erhalten sollen.
  7. Legen Sie den Schweregrad der Warnungen fest, für die Sie Benachrichtigungen erhalten möchten (z. B. „Hoch“, „Mittel“).
  8. Klicken Sie auf Speichern.

4. Konfigurieren des Malware-Scannens (Malware-Scannen beim Hochladen) und der Bedrohungserkennung für sensible Daten

Diese Funktionen sind standardmäßig aktiviert, wenn Defender für Storage im Abonnement aktiviert wird, können jedoch bei Bedarf pro Speicherkonto angepasst werden.

  1. Navigieren Sie im Azure-Portal zu einem bestimmten Speicherkonto.
  2. Wählen Sie im linken Navigationsbereich unter „Sicherheit + Netzwerk“ Microsoft Defender for Cloud aus.
  3. Klicken Sie auf „Einstellungen“.
  4. Sie können Optionen für „Nach Malware in Uploads suchen“ und „Bedrohungen für sensible Daten erkennen“ sehen.
  5. Stellen Sie sicher, dass beide Optionen für dieses Speicherkonto „Aktiviert“ sind, wenn Sie eine andere Konfiguration auf Abonnementebene benötigen.
  6. Klicken Sie auf Speichern.

Validierung und Tests

Es ist wichtig, die Wirksamkeit von Defender for Storage zu testen, um sicherzustellen, dass erwartete Bedrohungen erkannt und davor gewarnt werden.

1. Malware-Erkennung testen (On-Upload-Scan)

  1. Szenario: Laden Sie eine harmlose Malware-Testdatei (z. B. die EICAR-Datei, bei der es sich um ein Antiviren-Testmuster handelt) in einen Blob-Container im geschützten Speicherkonto hoch.
    • Sie können die EICAR-Datei unter „https://www.eicar.org/download-and-test/“ herunterladen.
    • Erstellen Sie eine Textdatei mit folgendem Inhalt und speichern Sie sie als „eicar.com.txt“: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  2. Erwartete Aktion: Defender for Storage sollte die EICAR-Datei als Malware erkennen und eine Sicherheitswarnung generieren.
  3. Verifizierung:
    • Navigieren Sie im Azure-Portal zu Microsoft Defender for Cloud > Sicherheitswarnungen.
    • Suchen Sie nach einer Warnung mit dem Titel „Malware in einem Container erkannt“.Speichersystem oder ähnliches. Die Warnung muss Details zur Datei, zum Container und zum Speicherkonto enthalten.

2. Testen der Erkennung verdächtiger Aktivitäten (Datenexfiltration)

Die Simulation der Datenexfiltration ist komplexer und muss in einer isolierten Testumgebung durchgeführt werden. Wir können jedoch einen ungewöhnlichen Zugriff simulieren, der eine Warnung auslösen könnte.

  1. Szenario: Greifen Sie über eine IP-Adresse oder einen geografischen Standort auf das Speicherkonto zu, der/die normalerweise nicht von Ihrer Organisation verwendet wird. Verwenden Sie beispielsweise ein VPN, um den Zugriff aus einem anderen Land zu simulieren.
  2. Erwartete Aktion: Defender für Speicher generiert möglicherweise eine Warnung über „Ungewöhnlicher Zugriff auf ein Speicherkonto“ oder „Verdächtige Zugriffsaktivität“.
  3. Verifizierung:
    • Navigieren Sie im Azure-Portal zu Microsoft Defender for Cloud > Sicherheitswarnungen.
    • Suchen Sie nach Warnungen im Zusammenhang mit anomalen Zugriffsaktivitäten.

3. Testen der Bedrohungserkennung für sensible Daten

Um die Erkennung vertraulicher Daten zu testen, benötigen Sie Daten, die in Ihrem Speicherkonto als vertraulich eingestuft sind, und führen eine Aktivität aus, die Defender for Storage für diese Daten als verdächtig einstufen würde. Beispielsweise eine Vielzahl von Dokumenten-Downloads mit Kreditkarteninformationen.

  1. Szenario: Laden Sie einige Textdateien in einen Blob-Container hoch, die vertrauliche Datenmuster enthalten (z. B. fiktive Kreditkartennummern, fiktive Sozialversicherungsnummern). Simulieren Sie dann einen Massenzugriff oder Download dieser Dateien.
  2. Erwartete Aktion: Defender for Storage generiert möglicherweise Warnungen wie „Ungewöhnlicher Zugriff auf sensible Daten“ oder „Potenzielle Exfiltration sensibler Daten“.
  3. Verifizierung:
    • Navigieren Sie im Azure-Portal zu Microsoft Defender for Cloud > Sicherheitswarnungen.
    • Suchen Sie nach Warnungen im Zusammenhang mit sensiblen Daten.

Sicherheitstipps und Best Practices

  • Auf Abonnementebene aktivieren: Aktivieren Sie Defender für Speicher nach Möglichkeit auf Abonnementebene, um eine vollständige, automatische Abdeckung für alle Speicherkonten sicherzustellen.
  • Warnungen überprüfen und anpassen: Überwachen Sie die von Defender for Storage generierten Warnungen. Passen Sie die Benachrichtigungseinstellungen an und untersuchen Sie Fehlalarme, um die Erkennung zu verfeinern.
  • SIEM/SOAR-Integration: Integrieren Sie Defender for Cloud-Warnungen (einschließlich Defender for Storage-Warnungen) mit Ihrem SIEM (z. B. Microsoft Sentinel) und SOAR für eine zentrale Ansicht der Sicherheit und Automatisierung der Reaktion auf Vorfälle.
  • Prinzip der geringsten Rechte: Stellen Sie sicher, dass nur die erforderlichen Entitäten (Benutzer, Anwendungen) Zugriff auf Speicherkonten haben und zwar mit den geringstmöglichen Rechten.
  • Verschlüsselung im Ruhezustand und während der Übertragung: Während Defender for Storage vor Bedrohungen schützt, stellen Sie sicher, dass Ihre Daten im Ruhezustand (standardmäßig in Azure Storage) und während der Übertragung (mit HTTPS) immer verschlüsselt sind.
  • Netzwerkzugriffskontrolle: Verwenden Sie Speicherfirewalls, Dienstendpunkte oder private Endpunkte, um den Netzwerkzugriff auf Ihre Speicherkonten einzuschränken.
  • Benutzerschulung: Machen Sie Benutzer auf die Risiken aufmerksam, die das Hochladen schädlicher Dateien mit sich bringt, und auf die Wichtigkeit, verdächtige Aktivitäten zu melden.

Allgemeine Fehlerbehebung

  • Defender for Storage ist nicht aktiviert:
    • Stellen Sie sicher, dass der „Speicher“-Plan in Microsoft Defender für Cloud „aktiviert“ ist, sowohl auf Abonnementebene als auch auf Speicherkontoebene, sofern individuell konfiguriert.
    • Bestätigen Sie, dass das Abonnement über die entsprechende Lizenz verfügt (häufig im Security Center Standard enthalten).
  • Es werden keine Warnungen generiert:
    • Überprüfen Sie, ob die E-Mail-Benachrichtigungseinstellungen im Security Center korrekt sind.
    • Bestätigen Sie, dass Diagnoseprotokolle für das Speicherkonto an Log Analytics gesendet werden (falls verwendet). Obwohl Defender for Storage sich zum Generieren von Warnungen nicht direkt auf Diagnoseprotokolle verlässt, sind sie für die Untersuchung nützlich.
    • Stellen Sie sicher, dass die Aktivität, die Sie testen, tatsächlich eine Defender for Storage-Erkennungsregel auslöst. Je nach Kontext können einige Aktivitäten als normal angesehen werden.
  • False Positives (Warnungen für legitime Aktivitäten):
    • Untersuchen Sie die Warnung auf dem PortalDefender für Cloud, um den Grund für die Warnung zu verstehen.
    • Wenn es sich um eine legitime Aktivität handelt, können Sie die Warnung unterdrücken (mit Vorsicht) oder Ihre Speicherkonto-/Anwendungseinstellungen anpassen, um zu verhindern, dass die Aktivität als verdächtig gekennzeichnet wird.
    • Geben Sie Microsoft Feedback zu Fehlalarmen, um die Bedrohungsanalyse zu verbessern.
  • Malware-Scan funktioniert nicht:
    • Stellen Sie sicher, dass „Malware-Scan hochladen“ in den Defender for Storage-Einstellungen für das entsprechende Konto aktiviert ist.
    • Bestätigen Sie, dass die Datei, die Sie hochladen, ein unterstützter Dateityp für die Suche nach Malware (insbesondere Blobs) ist.
    • Nach dem Hochladen der Datei kann es zu einer leichten Verzögerung bei der Generierung der Warnung kommen.

Fazit

Microsoft Defender for Storage ist eine unverzichtbare Lösung zum Schutz der in Azure gespeicherten Daten vor der sich ständig weiterentwickelnden Bedrohungslandschaft. Durch die ordnungsgemäße Aktivierung und Konfiguration ihrer Funktionen zur Malware-Erkennung, Aktivitätsüberwachung und Bedrohungserkennung für sensible Daten können Unternehmen ihre Cloud-Sicherheitslage erheblich verbessern. Die Fähigkeit, verdächtige Aktivitäten in Echtzeit zu erkennen und darauf aufmerksam zu machen, ermöglicht eine schnelle Reaktion auf Vorfälle und minimiert die Auswirkungen potenzieller Verstöße. Mit diesem praktischen Leitfaden sind Sicherheitsexperten und IT-Administratoren bestens gerüstet, um Microsoft Defender for Storage zu konfigurieren, zu validieren und zu verwalten und sicherzustellen, dass ihre wertvollsten Datenbestände sicher und konform bleiben.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Defender für Speicher?. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-introduction [2] Microsoft Learn. Defender for Storage-Sicherheitsbedrohungen und -Warnungen. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-threats-alerts [3] Microsoft Learn. Stellen Sie Microsoft Defender für Speicher bereit. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-storage-plan [4] Microsoft Learn. Microsoft Defender for Storage-Upload-Malware-Scan. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/on-upload-malware-scanning [5] Microsoft Learn. Konfigurieren Sie Malware-Scans in Microsoft Defender for Storage. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-configure-malware-scan [6] Microsoft Learn. Aktivieren Sie Microsoft Defender für Storage über das Azure-Portal. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-azure-portal-enablement