Informationsschutzrichtlinien

Mit den Defender for Cloud Apps-Dateirichtlinien können Sie eine Vielzahl von automatisierten Prozessen durchsetzen. Richtlinien können für Informationsschutz, fortlaufende Kompatibilitätsprüfungen, rechtliche eDiscovery-Aufgaben und DLP für öffentlich freigegebenen vertraulichen Inhalt festgelegt werden.

Defender for Cloud Apps kann jeden Dateityp auf der Grundlage von mehr als 20 Metadatenfiltern (z. B. Zugriffsebene, Dateityp) überwachen. Weitere Informationen finden Sie unter Dateirichtlinien.

Erkennen und Verhindern der externen Freigabe vertraulicher Daten

Erkennen, wann Dateien mit personenbezogenen Informationen oder anderen vertraulichen Daten in einem Clouddienst gespeichert und für Benutzer*innen außerhalb Ihrer Organisation freigegeben werden, die gegen die Sicherheitsrichtlinie Ihres Unternehmens verstoßen und ein möglicherweise die Compliancestandards verletzen.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Setzen Sie den Filter Zugriffsebene auf Öffentlich (Internet) / Öffentlich / Extern.

3. Wählen Sie unter Untersuchungsmethode den Datenklassifizierungsdienst (Data Classification Service, DCS) aus, und wählen Sie unter Typ auswählen die Art der vertraulichen Informationen, die DCS prüfen soll.

4. Konfigurieren Sie die Governanceaktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Sie können beispielsweise eine Governanceaktion erstellen, die bei erkannten Dateiverstößen in Google Workspace ausgeführt wird und für die Sie die Option Externe Benutzer entfernen und Öffentlichen Zugriff aufheben auswählen.

5. Erstellen Sie die Dateirichtlinie.

Erkennen von extern freigegebenen vertraulichen Daten

Erkennen Sie, wenn in einem Clouddienst gespeicherte Dateien mit der Bezeichnung Vertraulich entgegen den Unternehmensrichtlinien für externe Benutzer*innen freigegeben werden.

Voraussetzungen

• Sie benötigen mindestens eine über App-Connectors verbundene App.

• Aktivieren Sie die Microsoft Purview Information Protection-Integration.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Setzen Sie den Filter Vertraulichkeitsbezeichnung unter Microsoft Purview Information Protection auf Vertraulich oder die entsprechende die Vertraulichkeitsbezeichnung in Ihrem Unternehmen.

3. Setzen Sie den Filter Zugriffsebene auf Öffentlich (Internet) / Öffentlich / Extern.

4. Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig.

5. Erstellen Sie die Dateirichtlinie.

Erkennen und Verschlüsseln vertraulicher ruhender Daten

Erkennen Sie Dateien, die personenbezogene Informationen und andere vertrauliche Daten enthalten, die in einer Cloud-App freigegeben sind, und wenden Sie Vertraulichkeitsbezeichnungen an, um den Zugriff auf Mitarbeiter in Ihrem Unternehmen zu beschränken.

Voraussetzungen

• Sie benötigen mindestens eine über App-Connectors verbundene App.

• Aktivieren Sie die Microsoft Purview Information Protection-Integration.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie unter Untersuchungsmethode den Datenklassifizierungsdienst (Data Classification Service, DCS) aus, und wählen Sie unter Typ auswählen die Art der vertraulichen Informationen, die DCS prüfen soll.

3. Markieren Sie unter Governanceaktionen die Option Vertraulichkeitsbezeichnung anwenden, und wählen Sie die Vertraulichkeitsbezeichnung, die Ihr Unternehmen verwendet, um den Zugriff auf Mitarbeiter des Unternehmens zu begrenzen.

4. Erstellen Sie die Dateirichtlinie.

Hinweis

Die Möglichkeit, eine Vertraulichkeitsbezeichnung direkt in Defender for Cloud Apps anzuwenden, wird derzeit nur für Box, Google Workspace, SharePoint Online und OneDrive for Business unterstützt.

Erkennen veralteter extern freigegebener Daten

Erkennen Sie nicht verwendete und veraltete Dateien, Dateien, die in letzter Zeit nicht aktualisiert wurden oder über einen direkten öffentlichen Link, eine Websuche oder bestimmte externe Benutzer*innen zugänglich sind.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie die Richtlinienvorlage Veraltete extern freigegebene Dateien, und wenden Sie sie an.

3. Passen Sie den Filter Zuletzt geändert entsprechend der Richtlinie Ihrer Organisation an.

4. Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Beispiel:

   • Google Workspace: Setzen Sie die Datei auf privat, und benachrichtigen Sie die Person, die die Datei zuletzt bearbeitet hat.

   • Box: Benachrichtigen Sie den letzten Bearbeiter der Datei.

   • SharePoint online: Setzen Sie die Datei auf privat und schicken Sie eine Übersicht der Richtlinienübereinstimmungen an den Dateibesitzer.

5. Erstellen Sie die Dateirichtlinie.

Erkennen von Datenzugriffen von nicht autorisierten Standorten

Erkennen Sie, wenn basierend auf den gewöhnlichen Standorten Ihrer Organisation auf Dateien von einem nicht autorisierten Standort aus zugegriffen wird, um potenzielle Datenlecks oder böswillige Zugriffe zu identifizieren.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

2. Setzen Sie den Filter Aktivitätstyp auf die gewünschten Datei- und Ordneraktivitäten, z. B. Anzeigen, Herunterladen, Zugreifen und Ändern.

3. Setzen Sie einen Negativfilter auf Speicherort, und geben Sie dann die Länder/Regionen ein, aus denen Ihre Organisation Aktivitäten erwartet.

   • Optional: Sie können den umgekehrten Ansatz anwenden und einen Positivfilter auf Standort setzen, wenn Ihre Organisation den Zugriff aus bestimmten Ländern/Regionen blockiert.

4. Optional: Erstellen Sie Governanceaktionen, die auf erkannte Verstöße angewendet werden sollen (die Verfügbarkeit ist vom jeweiligen Dienst abhängig), z. B. Benutzer sperren.

5. Erstellen Sie die Aktivitätsrichtlinie.

Erkennen und Schützen vertraulicher Datenspeicher auf einer nicht kompatiblen SP-Website

Erkennen Sie Dateien, die als vertraulich gelten und auf einer nicht kompatiblen SharePoint-Website gespeichert werden.

Voraussetzungen

Vertraulichkeitsbezeichnungen werden innerhalb der Organisation konfiguriert und verwendet.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Setzen Sie den Filter Vertraulichkeitsbezeichnung unter Microsoft Purview Information Protection auf Vertraulich oder die entsprechende die Vertraulichkeitsbezeichnung in Ihrem Unternehmen.

3. Setzen Sie einen Negativfilter auf Übergeordneter Ordner, und wählen Sie dann unter Ordner auswählen alle kompatiblen Ordner in Ihrer Organisation aus.

4. Wählen Sie unter Warnungen die Option Warnung für jedes übereinstimmendes Ereignis erstellen.

5. Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Setzen Sie z. B. Box auf Übersicht der Richtlinienübereinstimmungen an Dateibesitzer senden und Unter Administratorquarantäne stellen.

6. Erstellen Sie die Dateirichtlinie.

Erkennen von extern freigegebenem Quellcode

Erkennen Sie, wenn Dateien mit Inhalten, bei denen es sich um Quellcode handeln könnte, für Benutzer*innen außerhalb Ihrer Organisation oder öffentlich freigegeben werden.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie die Richtlinienvorlage Extern freigegebener Quellcode, und wenden Sie sie an.

3. Optional: Passen Sie die Liste der Dateierweiterungen den Quellcode-Dateierweiterungen Ihrer Organisation an.

4. Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. In Box gibt es zum Beispiel Übersicht der Richtlinienübereinstimmungen an Dateibesitzer senden und Unter Administratorquarantäne stellen.

5. Wählen Sie die Richtlinienvorlage aus, und wenden Sie sie an.

Erkennen von nicht autorisierten Zugriffen auf Gruppendaten

Erkennen Sie, wenn bestimmte Dateien aus einer gewissen Benutzergruppe von einem Benutzer, der nicht zu dieser Gruppe gehört, aufgerufen werden, da dies eine potenzielle Insiderbedrohung darstellen könnte.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

2. Wählen Sie unter Reagieren auf die Option Wiederholte Aktivität, und passen Sie Minimum an wiederholten Aktivitäten an, indem Sie einen Zeitrahmen festlegen, der der Richtlinie Ihrer Organisation entspricht.

3. Setzen Sie den Filter Aktivitätstyp auf die gewünschten Datei- und Ordneraktivitäten, z. B. Anzeigen, Herunterladen, Zugreifen und Ändern.

4. Legen Sie einen Positivfilter unter Benutzer auf Von Gruppe, und wählen Sie dann die gewünschten Benutzergruppen.

   Hinweis

   Benutzergruppen können manuell aus unterstützten Apps importiert werden.

5. Legen Sie einen Positivfilter unter Dateien und Ordner auf Bestimmte Dateien oder Ordner, und wählen Sie dann die Dateien und Ordner aus, die der überwachten Benutzergruppe angehören.

6. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Sie können zum Beispiel Benutzer sperren auswählen.

7. Erstellen Sie die Dateirichtlinie.

Erkennen öffentlich zugänglicher S3-Buckets

Erkennen und schützen Sie potenzielle Datenlecks aus AWS-S3-Buckets.

Voraussetzungen

Sie benötigen eine AWS-Instanz, die mit App-Connectors verbunden ist.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie die Richtlinienvorlage Öffentlich zugängliche S3-Buckets (AWS), und wenden Sie sie an.

3. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Setzen Sie z. B. AWS auf Privat, damit die S3-Buckets privat sind.

4. Erstellen Sie die Dateirichtlinie.

Erkennen und Schützen von DSGVO-bezogenen Daten in Dateispeicher-Apps

Erkennen Sie Dateien, die in Cloud-Speicher-Apps freigegeben werden, und schützen sie personenbezogene Informationen und andere vertrauliche Daten, die einer DSGVO-Compliancerichtlinie unterliegen. Wenden Sie dann automatisch Vertraulichkeitsbezeichnungen an, um den Zugriff auf autorisierte Mitarbeiter zu beschränken.

Voraussetzungen

• Sie benötigen mindestens eine über App-Connectors verbundene App.

• Die Microsoft Purview Information Protection-Integration (AIP) ist aktiviert, und die DSGVO-Bezeichnung ist in AIP konfiguriert.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie unter Überprüfungsmethode den Datenklassifizierungsdienst (Data Classification Service, DCS) und unter Typ auswählen mindestens einen Informationstyp aus, der der DSGVO entspricht, z. B. EU-Debitkartennummer, EU-Führerscheinnummer, Nationale/Regionale EU-Ausweisnummer, EU-Reisepassnummer, EU-SSN, SU-Steueridentifikationsnummer.

3. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird, indem Sie Vertraulichkeitsbezeichnung anwenden für jede unterstützte App auswählen.

4. Erstellen Sie die Dateirichtlinie.

Hinweis

Derzeit wird Vertraulichkeitsbezeichnung anwenden nur für Box, Google Workspace, SharePoint Online und OneDrive for Business unterstützt.

Blockieren von Downloads für externe Benutzer*innen in Echtzeit

Verhindern Sie, dass Unternehmensdaten von externen Benutzer*innen exfiltriert werden, indem Sie Dateidownloads in Echtzeit mithilfe der Sitzungssteuerungen von Defender for Cloud Apps blockieren.

Voraussetzungen

• App-Steuerung für bedingten Zugriff für Microsoft Entra-Apps bereitstellen

• Stellen Sie sicher, dass Ihre App eine SAML-basierte App ist, die Microsoft Entra ID für Single Sign-On verwendet. Weitere Informationen über unterstützte Apps finden Sie unter Unterstützte Apps und Clients.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.

2. Wählen Sie für Sitzungssteuerungstyp die Option Dateidownload steuern (mit Überprüfung).

3. Wählen Sie unter Aktivitätsfilter den Befehl Benutzer aus, und setzen Sie einen Positivfilter unter Von Gruppe auf Externe Benutzer.

   Hinweis

   Sie müssen keine App-Filter festlegen, damit diese Richtlinie auf alle Apps angewendet werden kann.

4. Sie können den Dateifilter verwenden, um den Dateityp anzupassen. Dadurch können Sie genauer steuern, welche Art von Dateien die Sitzungsrichtlinie steuert.

5. Klicken Sie unter Aktionen auf Blockieren. Sie können „Blockieren“-Nachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer*innen gesendet werden soll, damit sie verstehen, warum der Inhalt blockiert wird und wie sie sie aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

6. Klicken Sie auf Erstellen.

Erzwingen des schreibgeschützten Modus für externe Benutzer*innen in Echtzeit

Verhindern Sie, dass Unternehmensdaten von externen Benutzer*innen exfiltriert werden, indem Sie Druck- und Kopieren/Einfügen-Aktionen in Echtzeit mithilfe der Sitzungssteuerungen von Defender for Cloud Apps blockieren.

Voraussetzungen

• App-Steuerung für bedingten Zugriff für Microsoft Entra-Apps bereitstellen
• Stellen Sie sicher, dass Ihre App eine SAML-basierte App ist, die Microsoft Entra ID für Single Sign-On verwendet. Weitere Informationen über unterstützte Apps finden Sie unter Unterstützte Apps und Clients.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.

2. Wählen Sie unter Sitzungssteuerungstyp die Option Aktivitäten blockieren.

3. Beim Filter Aktivitätsquelle:

   1. Wählen Sie "Benutzer" aus, und legen Sie "Von" auf "Externe Benutzer" fest.

   2. Setzen Sie einen Positivfilter unter Aktivitätstyp auf Drucken und Ausschneiden/Kopieren.

   Hinweis

   Sie müssen keine App-Filter festlegen, damit diese Richtlinie auf alle Apps angewendet werden kann.

4. Optional: Wählen Sie unter Überprüfungsmethode den zu übernehmenden Überprüfungstyp aus, und legen Sie die erforderlichen Bedingungen für den DLP-Scan fest.

5. Klicken Sie unter Aktionen auf Blockieren. Sie können „Blockieren“-Nachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer*innen gesendet werden soll, damit sie verstehen, warum der Inhalt blockiert wird und wie sie sie aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

6. Klicken Sie auf Erstellen.

Blockieren des Uploads von nicht klassifizierten Dokumenten in Echtzeit

Verhindern, dass Benutzer*innen ungeschützte Daten in die Cloud hochladen, indem Sie die Sitzungssteuerelemente für Defender for Cloud Apps verwenden.

Voraussetzungen

• App-Steuerung für bedingten Zugriff für Microsoft Entra-Apps bereitstellen

• Stellen Sie sicher, dass Ihre App eine SAML-basierte App ist, die Microsoft Entra ID für Single Sign-On verwendet. Weitere Informationen über unterstützte Apps finden Sie unter Unterstützte Apps und Clients.

• Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection müssen in Ihrer Organisation konfiguriert und verwendet werden.

Schritte

1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.

2. Wählen Sie unter Sitzungssteuerungstyp die Option Dateiupload steuern (mit Überprüfung) oder Dateidownload steuern (mit Überprüfung).

   Hinweis

   Sie müssen keine Filter festlegen, um diese Richtlinie für alle Benutzer*innen und Apps zu aktivieren.

3. Setzen Sie einen negativen Dateifilter unter Vertraulichkeitsbezeichnung, und wählen Sie dann die Bezeichnungen aus, die Ihr Unternehmen zum Kategorisieren von klassifizierten Dateien verwendet.

4. Optional: Wählen Sie unter Überprüfungsmethode den zu übernehmenden Überprüfungstyp aus, und legen Sie die erforderlichen Bedingungen für den DLP-Scan fest.

5. Klicken Sie unter Aktionen auf Blockieren. Sie können „Blockieren“-Nachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer*innen gesendet werden soll, damit sie verstehen, warum der Inhalt blockiert wird und wie sie sie aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

6. Klicken Sie auf Erstellen.

Hinweis

Die Liste der Dateitypen, die derzeit von Defender for Cloud Apps für Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection unterstützt, finden Sie unter Integrationsvoraussetzungen für Microsoft Purview Information Protection.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer Organisation

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.