Aktivieren von Microsoft Defender for Storage (klassisch)

In diesem Artikel wird erläutert, wie Sie Microsoft Defender für Speicher (klassisch) für Ihre Abonnements mithilfe verschiedener Vorlagen wie PowerShell, REST-API und anderen aktivieren und konfigurieren.

Sie können auch ein Upgrade auf den neuen Microsoft Defender for Storage-Plan durchführen, und erweiterte Sicherheitsfunktionen verwenden, beispielweise die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Profitieren Sie von einer vorhersehbaren und präzisen Preisstruktur, die pro Speicherkonto berechnet wird, mit zusätzlichen Kosten für Transaktionen mit hohem Volumen. Dieser neue Preisplan umfasst auch alle neuen Sicherheitsfeatures und Erkennungen.

Microsoft Defender for Storage ist eine Azure-native Sicherheitsintelligenzebene, die ungewöhnliche und potenziell schädliche Versuche erkennt, auf Ihre Speicherkonten zuzugreifen oder sie auszunutzen. Es verwendet erweiterte Bedrohungserkennungsfunktionen und Microsoft Defender Threat Intelligence-Daten , um kontextbezogene Sicherheitswarnungen bereitzustellen. Diese Warnungen enthalten Schritte zur Behandlung der erkannten Bedrohungen und zur Verhinderung künftiger Angriffe.

Microsoft Defender for Storage analysiert kontinuierlich Transaktionen von Azure Blob Storage-, Azure Data Lake Storage- und Azure Files-Diensten . Wenn potenziell schädliche Aktivitäten erkannt werden, werden Sicherheitswarnungen generiert. Microsoft Defender für Cloud zeigt Warnungen mit Details zu verdächtigen Aktivitäten, geeigneten Untersuchungsschritten, Wartungsaktionen und Sicherheitsempfehlungen an.

Die analysierte Telemetrie von Azure Blob Storage umfasst Vorgangstypen wie Get Blob, Put Blob, Get Container ACL, List Blobs und Get Blob Properties. Beispiele für analysierte Azure Files Vorgangstypen sind Get File, Create File, List Files, Get File Properties und Put Range.

Defender for Storage Classic greift nicht auf Speicherkontodaten zu und hat keine Auswirkungen auf die Leistung.

Erfahren Sie mehr über die Vorteile, Features und Einschränkungen von Defender für Storage. Weitere Informationen zu Defender für Storage finden Sie auch in der Episode „Defender für Storage“ der Videoreihe „Defender for Cloud in der Praxis“.

Verfügbarkeit

Aspekt	Details
Status des Release:	Allgemeine Verfügbarkeit (General Availability, GA)
Preise:	Microsoft Defender for Storage wird im Azure-Portal abgerechnet, wie in den Preisdetails und den Defender-Plänen gezeigt.
Geschützte Speichertypen:	Blob Storage (Standard/Premium StorageV2, Blockblobs) Azure Files (über REST-API und SMB) Azure Data Lake Storage Gen2 (Standard/Premium-Konten mit aktivierten hierarchischen Namespaces)
Wolken	Kommerzielle Cloud-Dienste Azure Government (nur beim Tarif pro Transaktion) Microsoft Azure, betrieben von 21Vianet Verbundene AWS-Konten

Einrichten des Tarifs „Preise pro Transaktion“ für ein Speicherkonto

Sie können Microsoft Defender für Storage mit den Preisen pro Transaktion für Ihre Konten auf mehrere Arten konfigurieren:

• ARM-Vorlage
• PowerShell
• Azure-Befehlszeilenschnittstelle

ARM-Vorlage

Wenn Sie Microsoft Defender für Storage mithilfe einer ARM-Vorlage für ein bestimmtes Speicherkonto mit den Preisen pro Transaktion aktivieren möchten, verwenden Sie die vorbereitete Azure-Vorlage.

Wenn Sie Defender für Storage für das Konto deaktivieren möchten, gehen Sie wie folgt vor:

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zum Speicherkonto.
3. Wählen Sie im Menü des Speicherkontos im Abschnitt „Sicherheit und Netzwerk“ die Option Microsoft Defender for Cloud aus.
4. Wählen Sie Deaktivieren aus.

PowerShell

So aktivieren Sie Microsoft Defender für Storage mithilfe von PowerShell für ein bestimmtes Speicherkonto mit den Preisen pro Transaktion:

1. Installieren Sie das Azure Az PowerShell-Modul, sofern es noch nicht installiert ist.

2. Verwenden Sie das Cmdlet „Connect-AzAccount“, um sich bei Ihrem Azure-Konto anzumelden. Erfahren Sie mehr über die Anmeldung bei Azure mit Azure PowerShell.

3. Aktivieren Sie Microsoft Defender für Storage mit dem Cmdlet Enable-AzSecurityAdvancedThreatProtection für das gewünschte Speicherkonto:

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"
   

   Ersetzen Sie <subscriptionId>, <resource-group> und <storage-account> durch die Werte für Ihre Umgebung.

Wenn Sie die Preise pro Transaktion für ein bestimmtes Speicherkonto deaktivieren möchten, verwenden Sie das Cmdlet Disable-AzSecurityAdvancedThreatProtection:

Disable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/"

Erfahren Sie mehr über die Verwendung von PowerShell mit Microsoft Defender for Cloud.

Azure CLI

So aktivieren Sie Microsoft Defender für Storage mithilfe der Azure CLI für ein bestimmtes Speicherkonto mit den Preisen pro Transaktion:

1. Installieren Sie die Azure CLI, sofern sie noch nicht installiert ist.

2. Verwenden Sie den Befehl az login, um sich bei Ihrem Azure-Konto anzumelden. Erfahren Sie mehr über die Anmeldung bei Azure mit der Azure CLI.

3. Aktivieren Sie Microsoft Defender für Storage mit dem Befehl az security atp storage update für Ihr Abonnement:

   az security atp storage update \
   --resource-group <resource-group> \
   --storage-account <storage-account> \
   --is-enabled true
   

Um Microsoft Defender für Speicher (klassisch) für Ihr Abonnement zu deaktivieren, verwenden Sie den az security atp storage update Folgenden Befehl:

az security atp storage update \
--resource-group <resource-group> \
--storage-account <storage-account> \
--is-enabled false

Erfahren Sie mehr über den Befehl az security atp storage.

Ausschließen eines Speicherkontos aus einem geschützten Abonnement im „Pro Transaktion“-Tarif

Wenn ein Abonnement Microsoft Defender für Speicher aktiviert hat, sind alle aktuellen und zukünftigen Azure Storage-Konten in diesem Abonnement geschützt. Sie können bestimmte Speicherkonten aus Defender for Storage-Schutz mit dem Azure-Portal, PowerShell oder der Azure CLI ausschließen.

Es empfiehlt sich, Defender for Storage für das gesamte Abonnement zu aktivieren, um alle vorhandenen und zukünftigen Speicherkonten darin zu schützen. Es gibt jedoch einige Fälle, in denen Benutzer bestimmte Speicherkonten aus Defender-Schutz ausschließen möchten.

Der Ausschluss von Speicherkonten aus geschützten Abonnements erfordert Folgendes:

1. Fügen Sie ein Tag hinzu, um das Erben der Abonnementaktivierung zu blockieren.
2. Deaktivieren Sie Defender for Storage (klassisch).

Entfernen des Azure Storage-Kontoschutzes für ein Abonnement mit Preismodell pro Transaktion

Zum Ausschließen eines Azure Storage-Kontos aus dem Schutz von Microsoft Defender for Storage (klassisch) verwenden Sie:

• PowerShell
• Azure-Befehlszeilenschnittstelle

Verwenden von PowerShell zum Ausschließen eines Azure Storage-Kontos

1. Wenn Sie das Azure Az PowerShell-Modul nicht installiert haben, installieren Sie es mithilfe der Anweisungen in der Azure PowerShell-Dokumentation.

2. Stellen Sie mithilfe eines authentifizierten Kontos mit dem Cmdlet Connect-AzAccount eine Verbindung mit Azure her, wie unter Anmelden mit Azure PowerShell erläutert.

3. Definieren Sie das Tag AzDefenderPlanAutoEnable für das Speicherkonto mit dem Cmdlet Update-AzTag (ersetzen Sie die ResourceId durch die Ressourcen-ID des relevanten Speicherkontos):

   Update-AzTag -ResourceId <resourceID> -Tag @{"AzDefenderPlanAutoEnable" = "off"} -Operation Merge
   

   Wenn Sie diesen Schritt überspringen, erhalten Ihre nicht getaggten Ressourcen weiterhin tägliche Updates von den Aktivierungsrichtlinien auf Abonnementebene. Diese Richtlinie aktiviert Defender for Storage erneut für das Konto. Unter Verwenden von Tags zum Organisieren von Azure-Ressourcen und Verwaltungshierarchie erfahren Sie mehr über Tags.

4. Deaktivieren Sie Microsoft Defender für Speicher für das gewünschte Konto im entsprechenden Abonnement mit dem Cmdlet Disable-AzSecurityAdvancedThreatProtection (mithilfe der gleichen Ressourcen-ID):

   Disable-AzSecurityAdvancedThreatProtection -ResourceId <resourceId>
   

   Erfahren Sie mehr über dieses Cmdlet.

Verwenden der Azure CLI zum Ausschließen eines Azure Storage-Kontos

1. Wenn Sie die Azure CLI nicht installiert haben, installieren Sie sie mithilfe der Anweisungen in der Azure CLI-Dokumentation.

2. Stellen Sie mithilfe eines authentifizierten Kontos eine Verbindung mit Azure her, indem Sie den Befehl login verwenden, wie unter Anmelden mit der Azure CLI beschrieben, und geben Sie bei entsprechender Aufforderung Ihre Kontoanmeldeinformationen ein:

   az login
   

3. Definieren Sie das Tag AzDefenderPlanAutoEnable für das Speicherkonto mit dem Befehl tag update (ersetzen Sie die ResourceId durch die Ressourcen-ID des relevanten Speicherkontos):

   az tag update --resource-id MyResourceId --operation merge --tags AzDefenderPlanAutoEnable=off
   

   Wenn Sie diesen Schritt überspringen, erhalten Ihre Ressourcen ohne Tag weiterhin tägliche Updates von der Aktivierungsrichtlinie auf Abonnementebene. Diese Richtlinie ermöglicht erneut die Aktivierung von Defender for Storage für das Konto.

   Tipp

   Erfahren Sie mehr über Tags unter az tag.

4. Deaktivieren Sie Microsoft Defender für Speicher für das gewünschte Konto im entsprechenden Abonnement mit dem Befehl security atp storage (mithilfe der gleichen Ressourcen-ID):

   az security atp storage update --resource-group MyResourceGroup  --storage-account MyStorageAccount --is-enabled false
   

   Erfahren Sie mehr über diesen Befehl.

Ausschließen eines Azure Databricks-Speicherkontos

Ausschließen eines aktiven Databricks-Arbeitsbereichs

Microsoft Defender für Storage kann bestimmte aktive Databricks-Arbeitsbereichsspeicherkonten ausschließen, wenn der Plan bereits für ein Abonnement aktiviert ist.

So schließen Sie einen aktiven Databricks-Arbeitsbereich aus:

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Azure Databricks>Your Databricks workspace>Tags.

3. Geben Sie im Feld Name die Zeichenfolge AzDefenderPlanAutoEnable ein.

4. Geben Sie im Feld „Wert“ den Wert off ein, und wählen Sie dann Übernehmen aus.

   

5. Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen>Your subscription.

6. Legen Sie den Defender for Storage-Plan auf Aus fest, und wählen Sie Speichern aus.

   

7. Aktivieren Sie Defender for Storage (klassisch) mit einer der unterstützten Methoden erneut (Sie können Defender for Storage (klassisch) nicht über das Azure-Portal aktivieren).

Das Speicherkonto des Databricks-Arbeitsbereichs erbt die Tags, und diese verhindern, dass Defender for Storage aktiviert wird.

Verhindern der automatischen Aktivierung für ein neues Databricks-Arbeitsbereichsspeicherkonto

Wenn Sie einen neuen Databricks-Arbeitsbereich erstellen, können Sie ein Tag hinzufügen, das verhindert, dass Ihr Microsoft Defender for Storage-Konto automatisch aktiviert wird.

Um die automatische Aktivierung eines neuen Databricks-Speicherkontos zu verhindern:

1. Führen Sie diese Schritte aus, um einen neuen Azure Databricks-Arbeitsbereich zu erstellen.

2. Geben Sie auf der Registerkarte „Tags“ ein Tag mit dem Namen AzDefenderPlanAutoEnable ein.

3. Geben Sie den Wert off ein.

   

4. Befolgen Sie die Anweisungen zum Erstellen Ihres neuen Azure Databricks-Arbeitsbereichs.

Das Microsoft Defender for Storage-Konto erbt das Tag des Databricks-Arbeitsbereichs. Dadurch wird verhindert, dass Defender for Storage automatisch aktiviert wird.

Deaktivieren von Microsoft Defender für Speicher (klassisch)

Deaktivieren der Preise pro Transaktion für ein Abonnement

• Terraform-Vorlage
• Bicep-Vorlage
• ARM-Vorlage
• PowerShell
• Azure-Befehlszeilenschnittstelle
• REST-API

Terraform-Vorlage

Wenn Sie Microsoft Defender for Storage (klassisch) mithilfe einer Terraform-Vorlage auf Abonnementebene mit den Preisen pro Transaktion deaktivieren möchten, fügen Sie Ihrer Vorlage den folgenden Codeschnipsel mit Ihrer Abonnement-ID als parent_id-Wert hinzu:

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Security/pricings@2022-03-01"
  name = "StorageAccounts"
  parent_id = "<subscriptionId>"
  body = jsonencode({
    properties = {
      pricingTier = "Free"
    }
  })
}

Erfahren Sie mehr unter AzAPI-Referenz für die ARM-Vorlage.

Bicep-Vorlage

Wenn Sie Microsoft Defender for Storage (klassisch) mithilfe von Bicep auf Abonnementebene mit den Preisen pro Transaktion deaktivieren möchten, fügen Sie Ihrer Bicep-Vorlage Folgendes hinzu:

resource symbolicname 'Microsoft.Security/pricings@2022-03-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Free'
  }
}

Erfahren Sie mehr unter AzAPI-Referenz für die Bicep-Vorlage.

ARM-Vorlage

Um Microsoft Defender für Speicher (klassisch) auf Abonnementebene mit Transaktionspreisen mithilfe einer ARM-Vorlage zu deaktivieren, fügen Sie diesen JSON-Codeausschnitt dem Ressourcenabschnitt Ihrer ARM-Vorlage hinzu:

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2022-03-01",
  "name": "StorageAccounts",
  "properties": {
    "pricingTier": "Free",
  }
}

Erfahren Sie mehr unter AzAPI-Referenz für die ARM-Vorlage.

PowerShell

So deaktivieren Sie Microsoft Defender für Speicher (klassisch) auf der Ebene des Abonnements mit pro Transaktion berechneten Preisen unter Verwendung von PowerShell:

1. Installieren Sie das Azure Az PowerShell-Modul, sofern es noch nicht installiert ist.

2. Verwenden Sie das Cmdlet Connect-AzAccount, um sich bei Ihrem Azure-Konto anzumelden. Erfahren Sie mehr über die Anmeldung bei Azure mit Azure PowerShell. Deaktivieren Sie Microsoft Defender für Speicherplatz für Ihr Abonnement mit dem Set-AzSecurityPricing Cmdlet:

   Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Free"
   

Azure CLI

So deaktivieren Sie Microsoft Defender für Datenspeicher auf Abonnementebene mit einer Abrechnung pro Transaktion mithilfe der Azure CLI.

1. Installieren Sie die Azure CLI, sofern sie noch nicht installiert ist.

2. Verwenden Sie den Befehl az login, um sich bei Ihrem Azure-Konto anzumelden. Erfahren Sie mehr über die Anmeldung bei Azure mit der Azure CLI.

3. Verwenden Sie die folgenden Befehle, um die Abonnement-ID und den Namen festzulegen:

   az account set --subscription "<subscriptionId or name>"
   

   Ersetzen Sie <subscriptionId> durch Ihre Abonnement-ID.

4. Deaktivieren Sie Microsoft Defender für Speicher für Ihr Abonnement mit dem az security pricing create Befehl:

   az security pricing create -n StorageAccounts --tier "free"
   

Um den Plan zu deaktivieren, setzen Sie den Eigenschaftswert -tier auf free.

Erfahren Sie mehr über den Befehl az security pricing create.

REST-API

Wenn Sie Microsoft Defender für Storage mithilfe der Microsoft Defender for Cloud-REST-API auf Abonnementebene mit den Preisen pro Transaktion aktivieren möchten, erstellen Sie eine PUT-Anforderung mit dem folgenden Endpunkt und Text:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/pricings/StorageAccounts?api-version=2022-03-01

{
"properties": {
    "pricingTier": "Standard",
    "subPlan": "PerTransaction"
    }
}

Ersetzen Sie {subscriptionId} durch Ihre Abonnement-ID.

Legen Sie zum Deaktivieren des Plans den Eigenschaftswert -pricingTier auf Free fest, und entfernen Sie den Parameter subPlan.

Erfahren Sie mehr über das Aktualisieren von Defender-Plänen mit der REST-API in HTTP, Java, Go und JavaScript.

Nächste Schritte

• Sehen Sie sich die Warnungen für Azure Storage an.
• Erfahren Sie mehr über die Features und Vorteile von Azure Defender für Storage.
• Sehen Sie sich häufige Fragen zu Defender für Storage (klassisch) an.