Bedrohungsschutzrichtlinien

  • Artikel

Mit Defender for Cloud Apps können Sie Verwendungen mit hohem Risiko und Probleme mit der Cloudsicherheit sowie ungewöhnliches Benutzerverhalten erkennen und Bedrohungen in Ihren genehmigten Cloudanwendungen abwenden. Erhalten Sie einen Einblick in Benutzer- und Administratoraktivitäten, und definieren Sie Richtlinien, die automatisch auf verdächtiges Verhalten oder Aktivitäten hinweisen, die Sie als risikoreich betrachten. Profitieren Sie von den riesigen Datenmengen zu Bedrohungsanalyse und Sicherheitsuntersuchung von Microsoft, um sicherzustellen, dass Ihre genehmigten Apps über alle erforderlichen Sicherheitskontrollen verfügen, um sie rund um die Uhr zu beaufsichtigen.

Hinweis

Bei der Integration von Defender for Cloud Apps in Microsoft Defender for Identity werden die Richtlinien von Defender for Identity auch auf der Richtlinienseite angezeigt. Eine Liste der Defender for Identity-Richtlinien finden Sie unter Sicherheitswarnungen.

Erkennen und Steuern von Benutzeraktivitäten von unbekannten Standorten

Automatische Erkennung des Benutzerzugriffs oder von Aktivitäten von unbekannten Standorten, an denen noch nie Personen Ihrer Organisation waren.

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

Diese Erkennung wird standardmäßig automatisch so konfiguriert, dass Sie benachrichtigt werden, wenn von neuen Standorten aus zugegriffen wird. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

Erkennen eines kompromittierten Kontos durch unmöglichen Standort (unmöglicher Ortswechsel)

Automatische Erkennung eines Benutzerzugriffs oder einer Aktivität von zwei verschiedenen Standorten innerhalb eines kürzeren Zeitraums, der für einen Ortswechsel erforderlich wäre

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

  1. Diese Erkennung wird standardmäßig automatisch so konfiguriert, dass Sie benachrichtigt werden, wenn von Standorten aus zugegriffen wird, von denen der Zugriff nicht möglich ist. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

  2. Optional: Sie können Anomalieerkennungsrichtlinien anpassen:

    • Anpassen des Erkennungsumfangs in Bezug auf Benutzer*innen und Gruppen

    • Auswählen der zu berücksichtigenden Anmeldetypen

    • Festlegen Ihrer Vertraulichkeitseinstellung für Warnungen

  3. Erstellen der Anomalieerkennungsrichtlinie

Erkennen verdächtiger Aktivitäten von einem „abwesenden“ Mitarbeiter

Erkennen Sie, wenn ein Benutzer, der sich in unbezahltem Urlaub befindet und auf keinerlei Organisationsressource aktiv sein sollte, auf eine der Cloud-Ressourcen Ihrer Organisation zugreift.

Voraussetzungen

  • Sie benötigen mindestens eine über App-Connectors verbundene App.

  • Erstellen Sie eine Sicherheitsgruppe in Microsoft Entra ID für die Benutzer, die in unbezahltem Urlaub sind, und fügen Sie alle Benutzer*innen hinzu, die Sie überwachen möchten.

Schritte

  1. Wählen Sie auf dem Bildschirm Benutzergruppen die Option Benutzergruppe erstellen, und importieren Sie die entsprechende Microsoft Entra-Gruppe.

  2. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

  3. Setzen Sie den Filter Benutzergruppe auf den Namen der Benutzergruppen, die Sie in Microsoft Entra ID für die Benutzer*innen in unbezahltem Urlaub erstellt haben.

  4. Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Sie können Benutzer sperren auswählen.

  5. Erstellen Sie die Dateirichtlinie.

Erkennen und Benachrichtigen, wenn veraltetes Browserbetriebssystem verwendet wird

Erkennen, wenn ein/e Benutzer*in einen Browser mit einer veralteten Clientversion verwendet, die möglicherweise Compliance- oder Sicherheitsrisiken für Ihre Organisation darstellt.

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

  2. Setzen Sie den Filter für Benutzer-Agent-Tag auf Veralteter Browser und Veraltetes Betriebssystem.

  3. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Wählen Sie unter Alle Apps die Option Benutzer benachrichtigen aus, damit Ihre Benutzer*innen auf die Warnung reagieren und die erforderlichen Komponenten aktualisieren können.

  4. Erstellen Sie die Aktivitätsrichtlinie.

Erkennen und Benachrichtigen, wenn Administratoraktivitäten bei riskanten IP-Adressen erkannt werden

Erkennen Sie Administratoraktivitäten, die von einer IP-Adresse ausgeführt werden, die als riskant angesehen wird, und benachrichtigen Sie den Systemadministrator zur weiteren Untersuchung, oder legen Sie eine Governanceaktion für das Administratorkonto fest.

Voraussetzungen

  • Sie benötigen mindestens eine über App-Connectors verbundene App.

  • Wählen Sie unter dem Zahnradsymbol „Einstellungen“ die IP-Adressbereiche und anschließend „+“ aus, um IP-Adressbereiche für Ihre internen Subnetze und deren ausgehende öffentliche IP-Adressen hinzuzufügen. Setzen Sie die Kategorie auf Intern.

Schritte

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

  2. Setzen Sie Reagieren auf auf Einzelne Aktivität.

  3. Setzen Sie den Filter IP-Adresse auf die KategorieRiskant.

  4. Setzen Sie den Filter Verwaltungsaktivität auf True.

  5. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Wählen Sie unter Alle Apps die Option Benutzer benachrichtigen aus, damit Ihre Benutzer*innen auf die Warnung reagieren und die erforderlichen Komponenten Vorgesetzten des Benutzers benachrichtigen aktualisieren können.

  6. Erstellen Sie die Aktivitätsrichtlinie.

Erkennen von Aktivitäten nach Dienstkonto von externen IP-Adressen

Erkennen Sie Dienstkontoaktivitäten, die von einer nicht internen IP-Adresse stammen. Dies könnte auf verdächtiges Verhalten oder ein kompromittiertes Konto hinweisen.

Voraussetzungen

  • Sie benötigen mindestens eine über App-Connectors verbundene App.

  • Wählen Sie unter dem Zahnradsymbol „Einstellungen“ die IP-Adressbereiche und anschließend „+“ aus, um IP-Adressbereiche für Ihre internen Subnetze und deren ausgehende öffentliche IP-Adressen hinzuzufügen. Setzen Sie die Kategorie auf Intern.

  • Standardisieren Sie eine Namenskonvention für Dienstkonten in Ihrer Umgebung, z. B. legen Sie alle Kontonamen so fest, dass sie mit „svc“ beginnen.

Schritte

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

  2. Setzen Sie den Filter Benutzer auf Name und dann Beginnt mit, und geben Sie dann Ihre Namenskonvention ein, z. B. svc.

  3. Setzen Sie den Filter IP-Adresse auf Kategorie ungleich Sonstige und Unternehmen.

  4. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig.

  5. Erstellen Sie die Richtlinie.

Erkennen von Massendownloads (Datenexfiltration)

Erkennen Sie, wenn ein/e bestimmte/r Benutzer*in innerhalb kurzer Zeit eine große Anzahl von Dateien herunterlädt oder darauf zugreift.

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

  2. Setzen Sie den Filter IP-Adressen auf Tag ungleich Microsoft Azure. Dadurch werden nicht interaktive gerätebasierte Aktivitäten ausgeschlossen.

  3. Legen Sie den Filter Aktivitätstypen fest, und wählen Sie dann alle relevanten Downloadaktivitäten aus.

  4. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig.

  5. Erstellen Sie die Richtlinie.

Erkennen möglicher Aktivität von Ransomware

Automatische Erkennung potenzieller Aktivitäten von Ransomware.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

  1. Diese Erkennung wird standardmäßig automatisch so konfiguriert, dass Sie benachrichtigt werden, wenn ein potenzielles Ransomware-Risiko erkannt wird. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

  2. Es ist möglich, den Umfang der Erkennung zu konfigurieren und die Governance-Aktionen anzupassen, die beim Auslösen einer Warnung ausgeführt werden sollen. Weitere Informationen dazu, wie Defender for Cloud Apps Ransomware erkennen, finden Sie unter Schutz Ihrer Organisation vor Ransomware.

Hinweis

Dies gilt für Microsoft 365, Google Workspace, Box und Dropbox.

Erkennen von Schadsoftware in der Cloud

Erkennen Sie Dateien, die Schadsoftware in Ihren Cloudumgebungen enthalten, indem Sie die Integration von Defender for Cloud Apps in die Microsoft Threat Intelligence-Engine verwenden.

Voraussetzungen

  • Für die Erkennung von Microsoft 365-Schadsoftware benötigen Sie eine gültige Microsoft Defender-Lizenz für Microsoft 365 P1.
  • Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

  • Diese Erkennung wird automatisch standardmäßig so konfiguriert, dass Sie benachrichtigt werden, wenn eine Datei erkannt wurde, die möglicherweise Malware enthält. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

Erkennen einer nicht autorisierten Administratorübernahme

Erkennen Sie wiederholte Administratoraktivitäten, die auf böswillige Absichten hinweisen können.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

  2. Setzen Sie Reagieren auf auf Wiederholte Aktivität, und passen Sie Minimum an wiederholten Aktivitäten an, indem Sie einen Zeitrahmen festlegen, der der Richtlinie Ihrer Organisation entspricht.

  3. Setzen Sie den Filter Benutzer auf Von Gruppe, und wählen Sie als zugehörige Administratorgruppe Nur Akteur.

  4. Setzen Sie den Filter Aktivitätstyp auf alle Aktivitäten in Zusammenhang mit Passwortaktualisierungen, Änderungen und Zurücksetzungen.

  5. Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig.

  6. Erstellen Sie die Richtlinie.

Erkennen verdächtiger Regeln zur Posteingangsänderung

Wenn eine verdächtige Posteingangsregel für den Posteingang eines Benutzers festgelegt wurde, kann dies darauf hindeuten, dass das Benutzerkonto kompromittiert ist und dass das Postfach verwendet wird, um Spam und Schadsoftware in Ihrer Organisation zu verteilen.

Voraussetzungen

  • Verwenden von Microsoft Exchange für E-Mail.

Schritte

  • Diese Erkennung wird automatisch standardmäßig so konfiguriert, dass Sie benachrichtigt werden, wenn eine verdächtige Posteingangsregel festgelegt wurde. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

Erkennen von kompromittierten Anmeldeinformationen

Wenn Internetkriminelle an gültige Passwörter von berechtigten Benutzern gelangen, geben sie diese Anmeldedaten häufig weiter. Dies erfolgt normalerweise durch eine Veröffentlichung im Dark Web oder auf Past Sites oder durch den Handel oder Verkauf der Anmeldeinformationen auf dem Schwarzmarkt.

Defender for Cloud Apps verwendet die Bedrohungserkennung von Microsoft, um diese Anmeldedaten den in Ihrer Organisation verwendeten Anmeldedaten zuzuordnen.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

Diese Erkennung wird sofort automatisch konfiguriert, um Sie zu benachrichtigen, wenn Anmeldedaten kompromittiert worden sein könnten. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

Erkennen von anomalen Dateidownloads

Erkennen, wenn Benutzer*innen im Vergleich zur Baseline ungewöhnlich viele Dateien in einer einzigen Sitzung herunterladen. Dies könnte auf eine Sicherheitsverletzung hinweisen.

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

  1. Diese Erkennung wird sofort automatisch konfiguriert, um Sie über anomale Downloads zu informieren. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

  2. Es ist möglich, den Umfang der Erkennung zu konfigurieren und die Aktion anzupassen, die beim Auslösen einer Warnung ausgeführt werden soll.

Erkennen von anomalen Dateifreigaben durch einen Benutzer

Erkennen Sie, wenn Benutzer*innen im Vergleich zur Baseline ungewöhnlich viele Dateifreigaben in einer einzelnen Sitzung vornehmen, da dies auf eine versuchte Sicherheitsverletzung hindeuten könnte.

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

  1. Diese Erkennung wird sofort automatisch konfiguriert, um Sie zu benachrichtigen, wenn Benutzer*innen mehrere Dateifreigaben vornehmen. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

  2. Es ist möglich, den Umfang der Erkennung zu konfigurieren und die Aktion anzupassen, die beim Auslösen einer Warnung ausgeführt werden soll.

Erkennen von anomalen Aktivitäten aus seltenen Ländern/Regionen

Erkennen Sie Aktivitäten, die von einem Standort aus durchgeführt werden, den der Benutzer oder jegliche Benutzer in Ihrem Unternehmen noch nie bzw. in letzter Zeit nicht besucht hat/haben.

Voraussetzungen

Sie benötigen mindestens eine App, die über App-Connectors verbunden oder über die App-Steuerung für bedingten Zugriff mit Sitzungskontrollen integriert ist.

Schritte

  1. Diese Erkennung wird sofort automatisch konfiguriert, um Sie über anomale Aktivitäten aus seltenen Ländern/Regionen zu informieren. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

  2. Es ist möglich, den Umfang der Erkennung zu konfigurieren und die Aktion anzupassen, die beim Auslösen einer Warnung ausgeführt werden soll.

Hinweis

Die Erkennung von anomalen Standorten erfordert einen anfänglichen Lernzeitraum von 7 Tagen. Während des Lernzeitraums generiert Defender for Cloud Apps keine Warnungen für neue Standorte.

Erkennen von Aktivitäten seitens gekündigter Benutzer

Erkennen Sie, wenn ein Benutzer, der nicht mehr für Ihre Organisation tätig ist, eine Aktivität in einer genehmigten App ausführt. Dies kann auf böswillige Aktivitäten durch einen gekündigten Mitarbeiter hinweisen, der weiterhin Zugriff auf Unternehmensressourcen hat.

Voraussetzungen

Sie benötigen mindestens eine über App-Connectors verbundene App.

Schritte

  1. Diese Erkennung wird sofort automatisch konfiguriert, um Sie zu benachrichtigen, wenn eine Aktivität von einem gekündigten Mitarbeiter ausgeführt wird. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

  2. Es ist möglich, den Umfang der Erkennung zu konfigurieren und die Aktion anzupassen, die beim Auslösen einer Warnung ausgeführt werden soll.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer Organisation

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.