Tutorial: Ermitteln und Verwalten der Schatten-IT

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender und kann über das Portal unter aufgerufen werden: https://security.microsoft.com. Microsoft 365 Defender korreliert Signale aus der Microsoft Defender Suite über Endpunkte, Identitäten, E-Mails und SaaS-Apps hinweg, um Erkennung, Untersuchung und leistungsstarke Reaktionsfunktionen auf Incidentebene bereitzustellen. Es verbessert Ihre betriebstechnische Effizienz durch eine bessere Priorisierung und kürzere Reaktionszeiten, die Ihre organization effektiver schützen. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Wenn IT-Administratoren gefragt werden, wie viele Cloud-Apps von ihren Mitarbeitern verwendet werden, gehen sie im Durchschnitt von 30 bis 40 aus. Tatsächlich werden allerdings durchschnittlich mehr als 1.000 verschiedene Apps von den Mitarbeitern einer Organisation verwendet. Schatten-IT hilft Ihnen dabei, zu erkennen, welche Apps verwendet werden und welche Risikostufe Sie haben. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die niemand überprüft hat, und sind möglicherweise nicht mit Ihren Sicherheits- und Compliancerichtlinien konform. Da Ihre Mitarbeiter von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zugreifen können, reicht es nicht mehr aus, Regeln und Richtlinien für Ihre Firewalls zu haben.

In diesem Tutorial erfahren Sie, wie Sie Cloud Discovery einsetzen können, um zu ermitteln, welche Apps verwendet werden und welche Risiken diese bergen, um Richtlinien zu konfigurieren, mit denen neue riskante Apps ermittelt werden, die verwendet werden, und um die Sanktionierung für diese Apps aufzuheben, damit sie nativ über Ihren Proxy oder Ihre Firewall blockiert werden können.

• Ermitteln und Identifizieren von Schatten-IT
• Auswertung und Analyse
• Verwalten Ihrer Apps
• Erweiterte Berichte zur Schatten-IT-Ermittlung
• Kontrollieren von sanktionierten Apps

So entdecken und verwalten Sie Schatten-IT in Ihrem Netzwerk

Folgen Sie diesem Prozess, um Shadow IT Cloud Discovery in Ihrer Organisation einzuführen.

Phase 1: Ermitteln und Identifizieren von Schatten-IT

1. Ermitteln von Schatten-IT: Führen Sie Cloud Discovery aus, um den Sicherheitsstatus Ihrer Organisation zu ermitteln und herauszufinden, welche Anwendungen in Ihrem Netzwerk verwendet werden. Weitere Informationen finden Sie unter Einrichten von Cloud Discovery. Dies kann mithilfe einer der folgenden Methoden erfolgen:

   • Steigen Sie schnell in Cloud Discovery ein – durch Integration mit Microsoft Defender für Endpunkt. Durch diese native Integration können Sie direkt Daten zum netzwerkinternen und -externen Clouddatenverkehr auf Ihren Windows 10- und Windows 11-Geräten sammeln.

   • Für die Abdeckung auf allen Geräten, die mit Ihrem Netzwerk verbunden sind, ist es wichtig, den Defender for Cloud Apps-Protokollsammler auf Ihren Firewalls und anderen Proxys bereitzustellen, um Daten von Ihren Endpunkten zu sammeln und zur Analyse an Defender für Cloud Apps zu senden.

   • Integrieren Sie Defender für Cloud Apps in Ihren Proxy. Defender für Cloud-Apps lässt sich nativ in einige Proxys von Drittanbietern integrieren, einschließlich Zscaler.

   Da für einzelne Benutzergruppen, Regionen und Unternehmensgruppen unterschiedliche Richtlinien gelten können, sollten Sie einen dedizierten Shadow IT-Bericht für jede dieser Einheiten erstellen. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter fortlaufender Berichte.

   Sobald Cloud Discovery auf Ihrem Netzwerk ausgeführt wird, sollten Sie sich die generierten fortlaufenden Berichte und das Cloud Discovery-Dashboard ansehen, um sich einen Eindruck von den in Ihrer Organisation verwendeten Apps zu machen. Es ist eine gute Idee, sie nach Kategorie zu betrachten, da Sie häufig feststellen, dass nicht sanktionierte Apps für legitime arbeitsbezogene Zwecke verwendet werden, die nicht von einer sanktionierten App adressiert wurden.

2. Ermitteln der Risikostufen Ihrer Apps: Verwenden Sie den Defender für Cloud Apps-Katalog, um die Risiken zu untersuchen, die mit jeder ermittelten App verbunden sind. Der Defender für Cloud-App-Katalog umfasst über 31.000 Apps, die anhand von über 90 Risikofaktoren bewertet werden. Die Risikofaktoren umfassen einerseits allgemeine Informationen zur App (wo befindet sich der Hauptsitz des App-Anbieters und wer ist der Herausgeber), andererseits aber auch Sicherheitsmaßnahmen und Kontrollen (Unterstützung der Verschlüsselung im Ruhezustand und Überwachungsprotokolle zur Benutzeraktivität). Weitere Informationen finden Sie unter Arbeiten mit Risikobewertungen.

   • Wählen Sie im Microsoft 365 Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wechseln Sie dann zur Registerkarte Ermittelte Apps. Filtern Sie die Liste der in Ihrem organization ermittelten Apps nach den Risikofaktoren, die Sie befürchten. Beispielsweise können Sie erweiterte Filter verwenden, um alle Apps mit einer Risikobewertung unter 8 zu finden.

   • Sie können einen Drilldown in die App durchführen, um mehr über die Kompatibilität zu erfahren, indem Sie den App-Namen auswählen und dann die Registerkarte Info auswählen, um Details zu den Sicherheitsrisikofaktoren der App anzuzeigen.

Phase 2: Auswertung und Analyse

1. Bewerten der Compliance: Überprüfen Sie, ob die Apps konform mit den Unternehmensstandards sind, z. B. mit HIPAA, SOC 2 oder der DSGVO.

   • Wählen Sie im Microsoft 365 Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wechseln Sie dann zur Registerkarte Ermittelte Apps. Filtern Sie die Liste der In Ihrem organization ermittelten Apps nach den Compliancerisikofaktoren, um die Sie besorgt sind. Verwenden Sie beispielsweise die vorgeschlagene Abfrage, um nicht konforme Apps herauszufiltern.

   • Sie können einen Drilldown in die App durchführen, um mehr über die Kompatibilität zu erfahren, indem Sie den App-Namen und dann die Registerkarte Info auswählen, um Details zu den Compliancerisikofaktoren der App anzuzeigen.

2. Analysieren der Nutzung: Wenn Sie dann überprüft haben, ob die App in Ihrem Unternehmen verwendet werden darf, sollten Sie ermitteln, wer sie verwendet und wofür. Wenn sie nur sporadisch in Ihrer Organisation verwendet wird, müssen Sie möglicherweise keine weiteren Maßnahmen ergreifen. Wenn sie aber vermehrt verwendet wird, sollten Sie sich benachrichtigen lassen, damit Sie entscheiden können, ob die App blockiert werden soll.

   • Wählen Sie im Microsoft 365 Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wechseln Sie dann zur Registerkarte Ermittelte Apps , und wählen Sie dann einen Drilldown aus, indem Sie die spezifische App auswählen, die Sie untersuchen möchten. Auf der Registerkarte Nutzung erfahren Sie, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr sie generiert. Dadurch können Sie bereits ein gutes Bild davon erhalten, was mit der App passiert. Wenn Sie dann ermitteln möchten, wer die App insbesondere verwendet, können Sie einen weiteren Drilldown durchführen, indem Sie Aktive Benutzer insgesamt auswählen. In diesem Schritt erhalten Sie wichtige Informationen. Wenn Sie beispielsweise herausfinden, dass alle Benutzer einer bestimmten App in der Marketingabteilung arbeiten, kann es sein, dass diese App für bestimmte Unternehmensprozesse von Bedeutung ist. Wenn diese App aber ein Risiko darstellt, sollten Sie mit der Abteilung zusammen nach einer Alternative suchen, bevor Sie sie blockieren.

   • Gewinnen Sie beim Untersuchen der Verwendung von ermittelten Apps noch weitere Erkenntnisse. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, den Datenzugriff und die Ressourcennutzung in Ihren Clouddiensten zu erfahren. Weitere Informationen finden Sie unter Details zu ermittelten Apps und Ermitteln von Ressourcen und benutzerdefinierten Apps.

3. Identifizieren alternativer Apps: Verwenden Sie den Cloud-App-Katalog, um sicherere Apps zu identifizieren, die ähnliche Geschäftsfunktionen wie die erkannten riskanten Apps erreichen, aber die Richtlinie Ihres organization einhalten. Sie können dazu die erweiterten Filter verwenden, um Apps in derselben Kategorie zu finden, die mit den verschiedenen Sicherheitskontrollen übereinstimmen.

Phase 3: Verwalten Ihrer Apps

• Verwalten von Cloud-Apps: Defender für Cloud-Apps unterstützt Sie beim Verwalten der App-Verwendung in Ihrem organization. Nachdem Sie die verschiedenen in Ihrer Organisation verwendeten Muster und Verhalten identifiziert haben, können Sie neue benutzerdefinierte App-Markierungen erstellen, um die einzelnen Apps entsprechend Ihrem Status im Unternehmen oder ihrer geschäftlichen Begründung zu klassifizieren. Diese Markierungen können dann zur genauen Überwachung verwendet werden, also z. B. zum Ermitteln von hohem Datenverkehr im Zusammenhang mit Apps, die als riskante Cloudspeicher-Apps eingestuft wurden. App-Tags können unter Einstellungen>Cloud Apps>Cloud Discovery>App-Tags verwaltet werden. Anschließend können Sie sie verwenden, um die Cloud Discovery-Seiten zu filtern und Richtlinien zu erstellen.

• Verwalten ermittelter Apps mithilfe des Azure Active Directory-Katalogs (Azure AD): Defender für Cloud Apps verwendet auch die native Integration in Azure AD, um Ihre ermittelten Apps im Azure AD-Katalog zu verwalten. Bei Apps, die bereits im Azure AD-Katalog vorhanden sind, können Sie das Feature „Einmaliges Anmelden“ anwenden und die App über Azure AD verwalten. Wählen Sie zu diesem Zweck in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile aus, und klicken Sie dann auf App mit Azure AD verwalten.

  

• Kontinuierliche Überwachung: Nachdem Sie die Apps gründlich untersucht haben, sollten Sie Richtlinien festlegen, die die Apps überwachen und bei Bedarf Steuerung bereitstellen.

Dann sollten Sie Richtlinien erstellen, damit Sie automatisch benachrichtigt werden, wenn ein Risikofall auftritt. Sie können beispielsweise eine App-Ermittlungsrichtlinie erstellen, die Sie darüber informiert, wenn es zu einem Anstieg der Downloads oder des Datenverkehrs aus einer App kommt, über die Sie besorgt sind. Dazu aktivieren Sie die Richtlinien Anormales Verhalten bei ermittelten Benutzern, Complianceprüfung für Cloudspeicher-Apps und Neue riskante App. Sie sollten auch die Richtlinie so festlegen, dass Sie per E-Mail benachrichtigt werden. Weitere Informationen finden Sie unter Richtlinienvorlagenreferenz, weitere Informationen zu Cloud Discovery-Richtlinien und Konfigurieren von App-Ermittlungsrichtlinien.

Auf der Seite „Warnungen“ finden Sie Informationen zu Warnungen zur App-Ermittlung. Außerdem können Sie den Filter Richtlinientyp verwenden. Für Apps, die durch Ihre App-Ermittlungsrichtlinien abgeglichen wurden, wird empfohlen, eine erweiterte Untersuchung durchzuführen, um mehr über die geschäftliche Begründung für die Verwendung der App zu erfahren, z. B. indem Sie die Benutzer der App kontaktieren. Wiederholen Sie dann die Schritte für Phase 2, um das Risiko der App zu bewerten. Legen Sie dann die nächsten Schritte für die Anwendung fest: Möchten Sie sie für die Zukunft freigeben oder blockieren, wenn das nächste Mal ein Benutzer auf diese zugreift? Wenn Letzteres der Fall ist, sollten Sie die App als „Nicht sanktioniert“ markieren, damit sie über Ihre Firewall, Ihren Proxy oder ein sicheres Webgateway blockiert werden kann. Weitere Informationen finden Sie unter Integrieren in Microsoft Defender for Endpoint, Integrieren in Zscaler, Integrieren in iboss und Blockieren von Apps durch Exportieren eines Blockskripts.

Phase 4: Erweiterte Berichte zur Schatten-IT-Ermittlung

Zusätzlich zu den in Defender für Cloud Apps verfügbaren Berichterstellungsoptionen können Sie Cloud Discovery-Protokolle zur weiteren Untersuchung und Analyse in Microsoft Sentinel integrieren. Sobald sich die Daten in Microsoft Sentinel befinden, können Sie sie in Dashboards anzeigen, Abfragen mithilfe der Kusto-Abfragesprache ausführen, Abfragen in Microsoft Power BI exportieren, in andere Quellen integrieren und benutzerdefinierte Warnungen erstellen. Weitere Informationen finden Sie unter Microsoft Sentinel-Integration.

Phase 5: Kontrollieren von sanktionierten Apps

1. Um die App-Steuerung über APIs zu aktivieren, verbinden Sie Apps über die API für kontinuierliche Überwachung.

2. Schützen Sie die Apps mithilfe der App-Steuerung für bedingten Zugriff.

Die Art von Cloud-Apps bedeutet, dass sie täglich aktualisiert werden und ständig neue Apps angezeigt werden. Aus diesem Gründen verwenden Mitarbeiter kontinuierlich neue Apps, und es ist wichtig, Ihre Richtlinien weiterhin zu verfolgen, zu überprüfen und zu aktualisieren, welche Apps Ihre Benutzer verwenden, sowie deren Nutzungs- und Verhaltensmuster. Auf dem Cloud Discovery-Dashboard erfahren Sie, welche neuen Apps verwendet werden, und wenn Sie die in diesem Artikel beschriebenen Anweisungen befolgen, stellen Sie sicher, dass Ihre Organisation und Ihre Daten geschützt sind.

Nächste Schritte

Best Practices zum Schutz Ihrer Organisation

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.

Weitere Informationen

• Probieren Sie unseren interaktiven Leitfaden aus: Ermitteln und Verwalten der Cloud-App-Nutzung mit Microsoft Defender for Cloud Apps