Backups sind ein zentraler Bestandteil jeder IT Sicherheitsstrategie. Dabei sind sie bereits wesentlicher Bestandteil von gezielten Angriffen, insbesondere im Zusammenhang mit Ransomware. Daher erweitert Microsoft die Backup Ebene um eine sicherheitsrelevante Überwachungsschicht.
Was ist Azure Backup überhaupt?
Azure Backup ist ein cloudbasierter Dienst von Microsoft zur Sicherung und Wiederherstellung von Daten und Workloads. Es werden Server, Datenbanken, Dateifreigaben in der Cloud als auch On-Premise und viele weitere Azure Ressourcen unterstützt. Die Verwaltung erfolgt zentral über Recovery Services Vaults mit definierten Sicherungs- und Aufbewahrungsrichtlinien.
Was Azure Backup Threat Detection ist
Azure Backup Threat Detection ist eine neue Funktion von Azure Backup, welche sicherheitsrelevante Aktivitäten und Konfigurationsänderungen im Backup-Umfeld überwacht und Abweichungen vom normalen Verhalten erkennt.
Als Ergebnis werden potenziell schädliche Aktionen sichtbar, bevor die Wiederherstellbarkeit von Daten beeinträchtigt wird.
Wesentlicher Bestandteil ist dabei die Erkennung von Verhaltensmustern - welche vom Normalzustand abweichen. Ergänzend werden Sicherheits-Signale aus Microsoft Defender for Cloud verwendet um Anomalien in Backup-Wiederherstellungspunkten zu identifizieren.
Zentrale Funktionen im Überblick
Azure Backup Threat Detection bezieht sich auf sicherheitsrelevante Vorgänge rund um Sicherungen:
- Erkennung ungewöhnlicher Löschvorgänge von Backup-Daten oder Recovery Points
- Überwachung von Änderungen an Backup-Richtlinien und Schutzkonfigurationen
- Hinweise auf verdächtige Aktivitäten im Zugriff auf Backup-Ressourcen
- Bewertung von Ereignissen im zeitlichen und inhaltlichen Zusammenhang
Diese Funktionen unterscheiden sich vom klassischen Backup Monitoring, das eher den Zustand, Erfolg oder Fehler von Jobs betrachtet.
Integration in bestehende Security Strukturen
Ein zentraler Vorteil liegt in der Einbindung in Microsoft Defender for Cloud. Alarme aus Azure Backup Threat Detection werden dort zusammen mit anderen sicherheitsrelevanten Signalen zusammengefasst. Damit wird eine zentrale Anlaufstelle für eine ganzheitlichere Bewertung und Reaktion beibehalten.
Dadurch bleiben Infrastruktur- und Sicherheitsteams auf Augenhöhe und schaffen einen gemeinsamen Kontext für Reaktionen auf Auffälligkeiten.
Vorteile für Betrieb und Sicherheit
- Aktivitäten im Backup-Bereich werden besser sichtbar und sicherheitsrelevante Änderungen bleiben nicht unbemerkt
- Durch frühzeitige Hinweise können Maßnahmen eingeleitet werden, bevor Sicherungen dauerhaft beeinträchtigt werden
- Zugriffskontrollen und Rollenmodelle werden um einen Fokus auf das Erkennen ungewöhnlicher Backup-Verhaltensweisen erweitert
Voraussetzungen und Einsatzbereich
Die Funktion setzt voraus, dass Microsoft Defender for Servers (Plan 1 oder Plan 2) aktiviert ist und dass die Region die Vorschau unterstützt. Zudem muss Threat Detection explizit aktiviert werden, in der Regel auf Ebene des Recovery Services Vaults.
Vorsicht: Vorschauversion und eingeschränkte Verfügbarkeit
Wichtig zu wissen ist, dass Azure Backup Threat Detection noch nicht allgemein verfügbar (GA) ist. Die Funktion befindet sich derzeit in öffentlicher Vorschau (Public Preview), was bedeutet, dass sich Feature-Umfang, Verhalten und Support-Optionen noch ändern können.
In dieser Preview ist Threat Detection derzeit nur in ausgewählten Regionen verfügbar. Dazu gehören unter anderem:
- West Central US
- West Europe
- North Europe
- Switzerland North
- UK South
- UK West
- Central US
- East US, East US2
- Canada Central
- Australia East
Fazit
Azure Backup Threat Detection ergänzt Azure Backup um eine gezielte Funktion zur Erkennung ungewöhnlicher Aktivitäten im Sicherungsumfeld. Dabei inkludiert Microsoft die Funktionalität in bereits bestehende Lizenzen und hält so die Schwelle für die Nutzung niedrig. Die Funktionalität bietet einen deutlichen Mehrwert.
Eine sorgfältige Prüfung der Verfügbarkeit in der eigenen Region und der Voraussetzungen für den produktiven Einsatz ist empfehlenswert, bevor die Funktion breit ausgerollt wird.