Bewährte Methoden zum Schutz Ihrer organization mit Defender für Cloud-Apps

  • Artikel

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender und kann über das Portal unter aufgerufen werden: https://security.microsoft.com. Microsoft 365 Defender korreliert Signale der Microsoft Defender Suite über Endpunkte, Identitäten, E-Mails und SaaS-Apps hinweg, um Erkennung, Untersuchung und leistungsstarke Reaktionsfunktionen auf Incidentebene bereitzustellen. Es verbessert Ihre betriebstechnische Effizienz durch eine bessere Priorisierung und kürzere Reaktionszeiten, die Ihre organization effektiver schützen. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Dieser Artikel enthält bewährte Methoden zum Schutz Ihrer organization mithilfe von Microsoft Defender for Cloud Apps. Diese bewährten Methoden stammen aus unserer Erfahrung mit Defender für Cloud-Apps und den Erfahrungen von Kunden wie Ihnen.

In diesem Artikel werden die folgenden bewährten Methoden erläutert:

Ermitteln und Bewerten von Cloud-Apps

Durch die Integration von Defender für Cloud Apps in Microsoft Defender for Endpoint können Sie Cloud Discovery über Ihr Unternehmensnetzwerk oder sichere Webgateways hinaus verwenden. Dank der kombinierten Benutzer- und Geräteinformationen können Sie Risikobenutzer oder -geräte identifizieren. Darüber hinaus können Sie ermitteln, welche Apps diese Risikobenutzer und -geräte verwenden und im Defender für Endpunkt-Portal weitere Untersuchungen durchführen.

Bewährte Methode: Aktivieren von Shadow IT Discovery mithilfe von Defender für Endpunkt
Detail: Cloud Discovery analysiert von Defender für Endpunkt erfasste Datenverkehrsprotokolle und vergleicht ermittelte Apps mit dem Cloud-App-Katalog, um Konformitäts- und Sicherheitsinformationen bereitzustellen. Durch Konfigurieren von Cloud Discovery erhalten Sie Einblick in die Cloudnutzung, Schatten-IT und eine ständige Überwachung auf nicht sanktionierte Apps, die von Ihren Benutzern verwendet werden.
Weitere Informationen:

Bewährte Methode: Konfigurieren von App Discovery-Richtlinien zur proaktiven Identifizierung risikobehafteter, nicht konformer und beliebter Apps
Details: Mit App Discovery-Richtlinien ist es einfacher, die signifikanten ermittelten Anwendungen in Ihrer Organisation zu verfolgen, um sie effizient zu verwalten. Erstellen Sie Richtlinien, um bei Erkennung neuer Apps, die als risikobehaftet, nicht konform, beliebt oder mit hoher Anzahl identifiziert werden, Warnungen zu erhalten.
Weitere Informationen:

Bewährte Methode: Verwalten von OAuth-Apps, die von Ihren Benutzern autorisiert werden
Detail: Viele Benutzer erteilen Apps von Drittanbietern gelegentlich OAuth-Berechtigungen, um auf ihre Kontoinformationen zuzugreifen. Dabei gewähren sie unbeabsichtigt auch Zugriff auf ihre Daten in anderen Cloud-Apps. Normalerweise hat die IT-Abteilung keinen Einblick in diese Apps. Daher ist es schwierig, das Sicherheitsrisiko einer App gegen den Produktivitätsgewinn, den sie bietet, abzuwägen.

Defender für Cloud-Apps bietet Ihnen die Möglichkeit, die App-Berechtigungen, die Ihren Benutzern gewährt wurden, zu untersuchen und zu überwachen. Sie können diese Informationen verwenden, um eine potenziell verdächtige App zu identifizieren, und wenn Sie feststellen, dass sie riskant ist, können Sie den Zugriff darauf sperren.
Weitere Informationen:

Anwenden von Cloudgovernancerichtlinien

Bewährte Methode: Versehen von Apps mit Tags und Exportieren von Blockierungsskripts
Detail: Nachdem Sie die Liste der in Ihrem Unternehmen ermittelten Apps überprüft haben, können Sie Ihre Umgebung gegen die unerwünschte Nutzung von Apps schützen. Sie können Apps, die von Ihrer Organisation genehmigt sind, das Tag Sanktioniert und nicht genehmigten Apps das Tag Nicht sanktioniert zuweisen. Sie können nicht sanktionierte Apps mithilfe von Ermittlungsfiltern überwachen oder ein Skript exportieren, um nicht sanktionierte Apps mithilfe Ihrer lokalen Sicherheitsvorkehrungen zu blockieren. Mithilfe von Tags und Exportskripts können Sie Ihre Apps organisieren und Ihre Umgebung schützen, indem Sie nur den Zugriff auf sichere Apps zulassen.
Weitere Informationen:

Begrenzen der Offenlegung freigegebener Daten und Erzwingen von Kollaborationsrichtlinien

Bewährte Methode: Verbinden von Office 365
Detail: Wenn Sie Office 365 mit Defender für Cloud-Apps verbinden, erhalten Sie sofortigen Einblick in die Aktivitäten und Dateien, auf die ihre Benutzer zugreifen, und bietet Governanceaktionen für Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics.
Weitere Informationen:

Bewährte Methode: Verbinden Ihrer Apps
Detail: Wenn Sie Ihre Apps mit Defender für Cloud-Apps verbinden, erhalten Sie bessere Einblicke in die Aktivitäten, bedrohungserkennungs- und Governancefunktionen Ihrer Benutzer. Um zu ermitteln, welche App-APIs von Drittanbietern unterstützt werden, wechseln Sie zu Verbinden von Apps.

Weitere Informationen:

Bewährte Methode: Erstellen von Richtlinien zum Aufheben der Freigabe mit persönlichen Konten
Detail: Wenn Sie Office 365 mit Defender für Cloud-Apps verbinden, erhalten Sie sofortigen Einblick in die Aktivitäten und Dateien, auf die ihre Benutzer zugreifen, und bietet Governanceaktionen für Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics.
Weitere Informationen:

Ermitteln, Klassifizieren und Bezeichnen regulierter und sensibler Daten, die in der Cloud gespeichert werden

Bewährte Methode: Integration in Microsoft Purview Information Protection
Detail: Durch die Integration in Microsoft Purview Information Protection können Sie Vertraulichkeitsbezeichnungen automatisch anwenden und optional Verschlüsselungsschutz hinzufügen. Nach Aktivierung der Integration können Sie Bezeichnungen als eine Governanceaktion zuweisen, Dateien nach Klassifizierung anzeigen, Dateien anhand der Klassifizierungsebene untersuchen und detaillierte Richtlinien erstellen, um sicherzustellen, dass klassifizierte Dateien ordnungsgemäß behandelt werden. Wenn Sie die Integration nicht aktivieren, können Sie nicht von der Möglichkeit profitieren, Dateien in der Cloud automatisch zu überprüfen, zu benennen und zu verschlüsseln.
Weitere Informationen:

Bewährte Methode: Erstellen von Richtlinien zur Offenlegung von Daten
Detail: Mithilfe von Dateirichtlinien können Sie die gemeinsame Nutzung von Informationen erkennen und Ihre Cloud-Apps auf vertrauliche Informationen durchsuchen. Erstellen Sie die folgenden Dateirichtlinien, um bei Erkennung der Offenlegung von Daten gewarnt zu werden:

  • Extern freigegebene Dateien mit sensiblen Daten
  • Extern freigegebene und als vertraulich gekennzeichnete Dateien
  • Für nicht autorisierte Domänen freigegebene Dateien
  • Schützen sensibler Dateien in SaaS-Apps

Weitere Informationen:

Bewährte Methode: Überprüfen von Berichten auf der Seite Dateien
Detail: Nachdem Sie verschiedene SaaS-Apps über App-Connectors verbunden haben, überprüft Defender für Cloud Apps dateien, die von diesen Apps gespeichert sind. Darüber hinaus wird eine Datei bei jeder Änderung erneut überprüft. Auf der Seite Dateien können Sie die Arten von Daten, die in Ihren Cloud-Apps gespeichert sind, verstehen und untersuchen. Um die Untersuchung zu erleichtern, können Sie nach Domänen, Gruppen, Benutzern, Erstellungsdatum, Erweiterung, Dateiname und -typ, Datei-ID, Vertraulichkeitsbezeichnung und mehr filtern. Mit diesen Filtern haben Sie die Kontrolle darüber, wie Sie Dateien untersuchen möchten, um sicherzustellen, dass Ihre Daten nicht gefährdet sind. Sobald Sie ein besseres Verständnis haben, wie Ihre Daten genutzt werden, können Sie Richtlinien erstellen, um nach sensiblen Inhalten in diesen Dateien zu suchen.
Weitere Informationen:

Erzwingen von DLP- und Konformitätsrichtlinien für in der Cloud gespeicherte Daten

Bewährte Methode: Verhindern, dass vertrauliche Daten für externe Benutzer freigegeben werden
Detail: Erstellen Sie eine Dateirichtlinie, die erkennt, wenn ein Benutzer versucht, eine Datei mit der Vertraulichkeitsbezeichnung Vertraulich für eine Person außerhalb Ihres organization zu freigeben, und konfigurieren Sie die Governanceaktion, um externe Benutzer zu entfernen. Diese Richtlinie stellt sicher, dass vertrauliche Daten Ihre Organisation nicht verlassen und externe Benutzer keinen Zugriff darauf haben.
Weitere Informationen:

Blockieren und Schützen des Downloads sensibler Daten auf nicht verwaltete oder risikobehafteten Geräten

Bewährte Methode: Verwalten und Steuern des Zugriffs auf Geräte mit hohem Risiko
Detail: Verwenden Sie „App-Steuerung für bedingten Zugriff“ zum Festlegen von Kontrollmechanismen für Ihre SaaS-Apps. Sie können Sitzungsrichtlinien zur Überwachung Ihrer Sitzungen mit hohem Risiko und geringer Vertrauenswürdigkeit erstellen. Analog dazu können Sie Sitzungsrichtlinien erstellen, um Downloads durch Benutzer zu blockieren und zu schützen, die versuchen, auf nicht verwalteten oder risikobehafteten Geräten auf sensible Daten zuzugreifen. Wenn Sie keine Sitzungsrichtlinien erstellen, um Sitzungen mit hohem Risiko zu überwachen, verlieren Sie die Möglichkeit, Downloads im Webclient zu blockieren und zu schützen, sowie die Möglichkeit, Sitzungen mit geringem Vertrauen sowohl in Microsoft- als auch in Apps von Drittanbietern zu überwachen.
Weitere Informationen:

Sichern der Zusammenarbeit mit externen Benutzern durch Erzwingen von Sitzungskontrollen in Echtzeit

Bewährte Methode: Überwachen von Sitzungen mit externen Benutzern mithilfe von „App-Steuerung für bedingten Zugriff“
Detail: Um die Zusammenarbeit in Ihrer Umgebung abzusichern, können Sie eine Sitzungsrichtlinie erstellen, um Sitzungen zwischen Ihren internen und externen Benutzern zu überwachen. Dies gibt Ihnen nicht nur die Möglichkeit, die Sitzung zwischen Ihren Benutzern zu überwachen (und sie zu benachrichtigen, dass ihre Sitzungsaktivitäten überwacht werden), sondern ermöglicht Ihnen auch, bestimmte Aktivitäten einzuschränken. Bei der Erstellung von Sitzungsrichtlinien zur Überwachung von Aktivitäten können Sie die Apps und Benutzer auswählen, die Sie überwachen möchten.
Weitere Informationen:

Erkennen von Cloudbedrohungen, kompromittierten Konten, böswilligen Insidern und Ransomware

Bewährte Methode: Optimieren von Anomalierichtlinien, Festlegen von IP-Adressbereichen, Senden von Feedback zu Benachrichtigungen
Detail: Richtlinien zur Anomalieerkennung bieten vordefinierte User and Entity Behavior Analytics (UEBA) und maschinelles Lernen (ML), sodass Sie in der gesamten Cloudumgebung eine erweiterte Bedrohungserkennung direkt ausführen können.

Richtlinien zur Anomalieerkennung werden ausgelöst, wenn die Benutzer in Ihrer Umgebung ungewöhnliche Aktivitäten durchführen. Defender für Cloud-Apps überwacht kontinuierlich die Aktivitäten Ihrer Benutzer und verwendet UEBA und ML, um das normale Verhalten Ihrer Benutzer zu lernen und zu verstehen. Sie können die Richtlinieneinstellungen auf die Anforderungen Ihrer Organisation abstimmen. Sie können z. B. die Empfindlichkeit einer Richtlinie festlegen und eine Richtlinie auf eine bestimmte Gruppe anwenden.

  • Optimieren und Begrenzen von Richtlinien zur Anomalieerkennung: Um beispielsweise die Anzahl falsch positiver Ergebnisse innerhalb der Warnung „Unmöglicher Ortswechsel“ zu reduzieren, können Sie den Schieberegler für die Empfindlichkeit der Richtlinie auf „Niedrig“ festlegen. Wenn es in Ihrer Organisation Benutzer gibt, die häufig auf Geschäftsreisen sind, können Sie sie einer Benutzergruppe hinzufügen und diese Gruppe im Rahmen der Richtlinie auswählen.

  • FESTLEGEN VON IP-Bereichen: Defender für Cloud Apps kann bekannte IP-Adressen identifizieren, sobald IP-Adressbereiche festgelegt wurden. Wenn IP-Adressenbereiche konfiguriert sind, können Sie die Weise, wie Protokolle und Warnungen angezeigt und untersucht werden, mit Tags versehen, kategorisieren und anpassen. Das Hinzufügen von IP-Adressenbereichen trägt dazu bei, falsch positive Erkennungen zu reduzieren und die Genauigkeit von Warnungen zu verbessern. Wenn Sie sich entscheiden, Ihre IP-Adressen nicht hinzuzufügen, sehen Sie möglicherweise eine erhöhte Anzahl falsch positiver Ergebnisse und Warnungen, die untersucht werden müssen.

  • Senden von Feedback zu Warnungen

    Wenn Sie Warnungen zurückweisen oder auflösen, stellen Sie sicher, dass Sie uns Feedback mit dem Grund für die Zurückweisung der Warnung oder ihrer Auflösung senden. Diese Informationen helfen Defender für Cloud-Apps, unsere Warnungen zu verbessern und falsch positive Ergebnisse zu reduzieren.

Weitere Informationen:

Bewährte Methode: Erkennen von Aktivitäten an unerwarteten Orten oder in unerwarteten Ländern
Detail: Erstellen Sie eine Richtlinie für Aktivitäten, um benachrichtigt zu werden, wenn sich Benutzer an unerwarteten Orten oder in unerwarteten Ländern/Regionen anmelden. Diese Warnungen können Sie vor möglicherweise kompromittierten Sitzungen in Ihrer Umgebung warnen, sodass Sie Bedrohungen erkennen und beseitigen können, ehe sie auftreten.
Weitere Informationen:

Bewährte Methode: Erstellen von Richtlinien für OAuth-Apps
Detail: Erstellen Sie eine Richtlinie für OAuth-Apps, um benachrichtigt zu werden, wenn eine OAuth-App bestimmte Kriterien erfüllt. So können Sie sich beispielsweise benachrichtigen lassen, wenn auf eine bestimmte App, die eine hohe Berechtigungsstufe erfordert, von mehr als 100 Benutzern zugegriffen wurde.
Weitere Informationen:

Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen

Bewährte Methode: Verwenden des Überwachungspfads von Aktivitäten bei Untersuchungen von Warnungen
Detail: Warnungen werden ausgelöst, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht mit Ihren Richtlinien übereinstimmen. Die Untersuchung von Warnungen ist wichtig, um zu verstehen, ob in Ihrer Umgebung eine mögliche Bedrohung vorliegt.

Sie können eine Warnung untersuchen, indem Sie sie auf der Seite Warnungen auswählen und den Überwachungspfad von Aktivitäten im Zusammenhang mit dieser Warnung einsehen. Der Überwachungspfad liefert Einblick in Aktivitäten des gleichen Typs, des gleichen Benutzers, der gleichen IP-Adresse und des gleichen Standorts, sodass Sie den gesamten Verlauf einer Warnung nachvollziehen können. Wenn eine Warnung eine weitere Untersuchung verlangt, erstellen Sie einen Plan zur Auflösung dieser Warnungen in Ihrer Organisation.

Wenn Warnungen abgetan werden, ist es wichtig, zu untersuchen und zu verstehen, warum sie unwichtig sind oder ob sie falsch positiv sind. Wenn es ein hohes Maß an solchen Aktivitäten gibt, könnten Sie auch erwägen, die Richtlinie, die die Warnung auslöst, zu überprüfen und anzupassen.
Weitere Informationen:

Sichern der IaaS-Dienste und benutzerdefinierten Apps

Bewährte Methode: Verbinden von Azure, AWS und GCP
Detail: Wenn Sie jede dieser Cloudplattformen mit Defender für Cloud Apps verbinden, können Sie Ihre Funktionen zur Bedrohungserkennung verbessern. Durch Überwachen der Administrator- und Anmeldeaktivitäten für diese Dienste können Sie mögliche Brute-Force-Angriffe, die böswillige Nutzung eines privilegierten Benutzerkontos und andere Bedrohungen in Ihrer Umgebung erkennen und sich benachrichtigen lassen. Beispielsweise können Sie Risiken wie ungewöhnliches Löschen von VMs oder sogar Identitätswechselaktivitäten in diesen Apps aufdecken.
Weitere Informationen:

Bewährte Methode: Integrieren benutzerdefinierter Apps
Detail: Um zusätzlichen Einblick in Aktivitäten aus Ihren Branchen-Apps zu erhalten, können Sie benutzerdefinierte Apps in Defender für Cloud-Apps integrieren. Sobald benutzerdefinierte Apps konfiguriert wurden, werden Informationen darüber angezeigt, wer sie verwendet, die IP-Adressen, von denen sie verwendet werden, und wie viel Datenverkehr in und aus der App kommt.

Darüber hinaus können Sie eine benutzerdefinierte App als App mit dem Typ „App-Steuerung für bedingten Zugriff“ integrieren, um Sitzungen mit niedriger Vertrauenswürdigkeit zu überwachen.
Weitere Informationen: