Bewährte Methoden zum Schutz Ihrer Organisation mit Defender for Cloud Apps
Bewährte Methoden zum Schutz Ihrer Organisation mit Microsoft Defender for Cloud Apps. Diese bewährten Methoden stammen aus unseren Erfahrungen mit Defender for Cloud-Apps und den Erfahrungen von Kunden wie Ihnen.
Bewährte Methoden, die in diesem Artikel beschrieben werden:
- Entdecken und Bewerten von Cloud-Apps
- Anwenden von Cloudgovernance-Richtlinien
- Einschränken der Gefährdung von freigegebenen Daten und Erzwingen von Richtlinien für die Zusammenarbeit
- Ermitteln, Klassifizieren, Kennzeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind
- Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
- Blockieren und schützen des Downloads von vertraulichen Daten auf nicht verwalteten oder riskanten Geräten
- Sichere Zusammenarbeit mit externen Benutzern durch Erzwingen von Echtzeitsitzungssteuerungen
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
- Sichere IaaS-Dienste und benutzerdefinierte Apps
Entdecken und Bewerten von Cloud-Apps
Durch die Integration von Defender for Cloud Apps in Microsoft Defender for Endpoint können Sie Cloud Discovery über Ihr Unternehmensnetzwerk oder sichere Webgateways hinaus verwenden. Mit den kombinierten Benutzer- und Geräteinformationen können Sie Risikobenutzer oder Geräte identifizieren, sehen, welche Apps sie verwenden, und im Defender für Endpunkt-Portal weiter untersuchen.
Bewährte Methode: Shadow IT Discovery mithilfe von Defender for Endpoint aktivieren
Detail: Cloud Discovery analysiert die von Defender for Endpoint gesammelten Datenverkehrsprotokolle und gleicht die identifizierten Apps mit dem Cloud-App-Katalog ab, um Informationen zur Compliance und Sicherheit zu liefern. Durch die Konfiguration von Cloud Discovery erhalten Sie Einblicke in die Cloudnutzung, Schatten-IT und kontinuierliche Überwachung der nicht genehmigten Apps, die von Ihren Benutzern verwendet werden.
Weitere Informationen:
- Integration von Microsoft Defender for Endpoint mit Defender for Cloud-Apps
- Einrichten von Cloud Discovery
- Erkennen und Verwalten von Schatten-IT in Ihrem Netzwerk
Bewährte Methode: Konfigurieren von App Discovery-Richtlinien zur proaktiven Identifizierung riskanter, nicht konformer und populäre Apps
Details: Mithilfe von App Discovery-Richtlinien können Sie die bedeutenden ermittelten Anwendungen in Ihrer Organisation leichter nachverfolgen, damit Sie diese Anwendungen effizient verwalten können. Erstellen Sie Richtlinien zum Empfangen von Warnungen, wenn neue Apps erkannt werden, die entweder riskant, nicht konform, populär oder hochvolumig sind.
Weitere Informationen:
- Cloud Discovery-Richtlinien
- Anomalieerkennungsrichtlinie für Cloud Discovery
- Sofortige Verhaltensanalysen und Anomalieerkennung
Bewährte Methode: Verwalten von OAuth-Apps, die von Ihren Benutzern autorisiert sind
Detail: Viele Benutzer gewähren OAuth-Berechtigungen für Drittanbieter-Apps, um auf ihre Kontoinformationen zuzugreifen, und gewähren dabei versehentlich auch Zugriff auf ihre Daten in anderen Cloud-Apps. In der Regel hat die IT keine Einblicke in diese Apps, wodurch es schwierig ist, das Sicherheitsrisiko einer App gegen den von ihr bereitgestellten Produktivitätsvorteil abzuwägen.
Defender for Cloud-Apps bietet Ihnen die Möglichkeit, die von Ihren Benutzern erteilten App-Berechtigungen zu untersuchen und zu überwachen. Sie können diese Informationen verwenden, um eine potenziell verdächtige App zu identifizieren, und wenn Sie feststellen, dass sie riskant ist, können Sie den Zugriff darauf verbieten.
Weitere Informationen:
Anwenden von Cloudgovernance-Richtlinien
Bewährte Methode: Markieren von Apps und Exportieren von Blockskripts
Detail: Nachdem Sie die Liste der ermittelten Apps in Ihrer Organisation ausgewertet haben, können Sie Ihre Umgebung vor dem Gebrauch unerwünschter Apps. Sie können das Genehmigte Tag auf Apps anwenden, die von Ihrer Organisation genehmigt wurden, und das nicht genehmigte Tag auf Apps, die nicht zulässig sind. Sie können nicht genehmigte Apps mithilfe von Ermittlungsfiltern überwachen oder ein Skript exportieren, um nicht genehmigte Apps mithilfe Ihrer lokalen Sicherheits-Anwendung zu blockieren. Mithilfe von Tags und Exportskripts können Sie Ihre Apps organisieren und Ihre Umgebung schützen, indem Sie nur den Zugriff auf sichere Apps zulassen.
Weitere Informationen:
Einschränken der Gefährdung von freigegebenen Daten und Erzwingen von Richtlinien für die Zusammenarbeit
Bewährte Methode: Verbinden Microsoft 365
Detail: Verbinden Ing Microsoft 365 to Defender for Cloud Apps bietet Ihnen sofortige Einblicke in die Aktivitäten Ihrer Benutzer, Dateien, auf die sie zugreifen, und stellt Governanceaktionen für Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics bereit.
Weitere Informationen:
- Verbinden von Apps
- Herstellen einer Verbindung zwischen Microsoft 365 und Microsoft Defender for Cloud Apps
Bewährte Methode: Verbinden Ihrer Apps
Detail: Verbinden Ihrer Apps in Defender for Cloud-Apps erhalten Sie verbesserte Einblicke in die Aktivitäten, bedrohungserkennungs- und Governancefunktionen Ihrer Benutzer. Um zu sehen, welche Drittanbieter-App-APIs unterstützt werden, wechseln Sie zu Apps verbinden.
Weitere Informationen:
Bewährte Methode: Erstellen von Richtlinien zum Entfernen der Freigabe mit persönlichen Konten
Detail: Verbinden Ing Microsoft 365 to Defender for Cloud Apps bietet Ihnen sofortige Einblicke in die Aktivitäten Ihrer Benutzer, Dateien, auf die sie zugreifen, und stellt Governanceaktionen für Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics bereit.
Weitere Informationen:
Ermitteln, Klassifizieren, Kennzeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind
Bewährte Methode: Integration in Microsoft Purview Information Protection
Detail: Die Integration in Microsoft Purview Information Protection bietet Ihnen die Möglichkeit, Vertraulichkeitsbezeichnungen automatisch anzuwenden und optional Verschlüsselungsschutz hinzuzufügen. Sobald die Integration aktiviert ist, können Sie Bezeichnungen als Governanceaktion anwenden, Dateien nach Klassifizierung anzeigen, Dateien nach Klassifizierungsebene untersuchen und präzise Richtlinien erstellen, um sicherzustellen, dass klassifizierte Dateien ordnungsgemäß verarbeitet werden. Wenn Sie die Integration nicht aktivieren, können Sie nicht von der Möglichkeit profitieren, Dateien in der Cloud automatisch zu scannen, zu bezeichnen und zu verschlüsseln.
Weitere Informationen:
- Integration von Microsoft Purview Informationsschutz
- Tutorial: Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection automatisch angewandt
Bewährte Methode: Erstellen von Datengefährdungsrichtlinien
Detail: Verwenden Sie Dateirichtlinien, um die Freigabe von Informationen zu erkennen und nach vertraulichen Informationen in Ihren Cloud-Apps zu suchen. Erstellen Sie die folgenden Dateirichtlinien, um Sie zu benachrichtigen, wenn Datenexpositionen erkannt werden:
- Dateien mit sensiblen Daten, die extern freigegeben werden
- Dateien, die extern freigegeben und als Vertraulich gekennzeichnet sind
- Mit nicht autorisierten Domänen freigegebene Dateien
- Schützen vertraulicher Dateien in SaaS-Apps
Weitere Informationen:
Bewährte Methode: Überprüfen von Berichten auf der Seite Dateien
Detail: Nachdem Sie verschiedene SaaS-Apps mithilfe von App-Connectors verbunden haben, überprüft Defender for Cloud-Apps Dateien, die von diesen Apps gespeichert sind. Außerdem wird jedes Mal, wenn eine Datei geändert wird, erneut gescannt. Sie können die Seite Dateien verwenden, um die Datentypen zu verstehen und zu untersuchen, die in Ihren Cloud-Apps gespeichert werden. Um Sie bei der Untersuchung zu unterstützen, können Sie nach Domänen, Gruppen, Benutzern, Erstellungsdatum, Erweiterung, Dateiname und Typ, Datei-ID, Vertraulichkeitsbezeichnung und mehr filtern. Mithilfe dieser Filter können Sie steuern, wie Sie Dateien untersuchen möchten, um sicherzustellen, dass keine Ihrer Daten gefährdet ist. Sobald Sie ein besseres Verständnis darüber haben, wie Ihre Daten verwendet werden, können Sie Richtlinien erstellen, um nach vertraulichen Inhalten in diesen Dateien zu suchen.
Weitere Informationen:
Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
Bewährte Methode: Schützen vertraulicher Daten vor der Freigabe für externe Benutzer
Detail: Erstellen Sie eine Dateirichtlinie, die erkennt, wenn ein Benutzer versucht, eine Datei mit der Vertraulichkeitsbezeichnung Vertraulich für eine Person außerhalb Ihrer Organisation freizugeben, und konfigurieren Sie die Governanceaktion, um externe Benutzer zu entfernen. Diese Richtlinie stellt sicher, dass Ihre vertraulichen Daten Ihre Organisation nicht verlassen und externe Benutzer keinen Zugriff darauf erhalten können.
Weitere Informationen:
Blockieren und schützen des Downloads von vertraulichen Daten auf nicht verwalteten oder riskanten Geräten
Bewährte Methode: Verwalten und Steuern des Zugriffs auf Geräte mit hohem Risiko
Detail: Verwenden Sie die App-Steuerung für bedingten Zugriff, um Steuerelemente für Ihre SaaS-Apps festzulegen. Sie können Sitzungsrichtlinien erstellen, um Ihre hohen Risiken und Sitzungen mit niedriger Vertrauensebene zu überwachen. Ebenso können Sie Sitzungsrichtlinien erstellen, um Downloads zu blockieren und zu schützen, indem Benutzer versuchen, auf vertrauliche Daten von nicht verwalteten oder riskanten Geräten zuzugreifen. Wenn Sie keine Sitzungsrichtlinien zum Überwachen von Sitzungen mit hohem Risiko erstellen, verlieren Sie die Möglichkeit, Downloads im Webclient zu blockieren und zu schützen, sowie die Möglichkeit, sitzungen mit niedriger Vertrauensebene sowohl in Microsoft- als auch in Apps von Drittanbietern zu überwachen.
Weitere Informationen:
- Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps
- Sitzungsrichtlinien
Sichere Zusammenarbeit mit externen Benutzern durch Erzwingen von Echtzeitsitzungssteuerungen
Bewährte Methode: Überwachen von Sitzungen mit externen Benutzern mithilfe der App-Steuerung für bedingten Zugriff
Detail: Um die Zusammenarbeit in Ihrer Umgebung zu sichern, können Sie eine Sitzungsrichtlinie erstellen, um Sitzungen zwischen Ihren internen und externen Benutzern zu überwachen. Dadurch können Sie nicht nur die Sitzung zwischen Ihren Benutzern überwachen (und sie darüber informieren, dass ihre Sitzungsaktivitäten überwacht werden), sondern auch bestimmte Aktivitäten einschränken. Beim Erstellen von Sitzungsrichtlinien zum Überwachen der Aktivität können Sie die Apps und Benutzer auswählen, die Sie überwachen möchten.
Weitere Informationen:
- Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps
- Sitzungsrichtlinien
Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
Bewährte Methode: Optimieren von Anomalie-Richtlinien, Festlegen von IP-Adressbereichen, Senden von Feedback für Warnungen
Detail: Die Cloud App Security-Richtlinien zur Anomalieerkennung bieten sofort einsatzbereite User and Entity Behavior Analytics (UEBA) sowie für maschinelles Lernen (ML), sodass Sie sofort eine erweiterte Bedrohungserkennung für Ihre gesamte Cloudumgebung ausführen können.
Richtlinien zur Anomalieerkennung werden ausgelöst, wenn es ungewöhnliche Aktivitäten gibt, die von den Benutzern in Ihrer Umgebung ausgeführt werden. Defender for Cloud Apps überwacht die Benutzeraktivitäten kontinuierlich und verwendet UEBA und ML, um das normale Verhalten Ihrer Benutzer zu erkennen und zu verstehen. Sie können Richtlinieneinstellungen so anpassen, dass sie den Anforderungen Ihrer Organisation entsprechen, z. B. können Sie die Vertraulichkeit einer Richtlinie festlegen sowie eine Richtlinie auf eine bestimmte Gruppe festlegen.
Optimieren und Umfang der Richtlinien zur Anomalieerkennung: Um beispielsweise die Anzahl falsch positiver Ergebnisse innerhalb Unmöglicher Ortswechsel zu verringern, können Sie den Sensitivitäts-Schieberegler der Richtlinie auf niedrig stellen. Wenn Sie Benutzer in Ihrer Organisation haben, die häufig Geschäftsreisende sind, können Sie sie zu einer Benutzergruppe hinzufügen und diese Gruppe im Rahmen der Richtlinie auswählen.
Festlegen von IP-Adressbereichen: Defender for Cloud-Apps kann bekannte IP-Adressen identifizieren, sobald IP-Adressbereiche festgelegt wurden. Mithilfe von IP-Adressbereichen können Sie die Art und Weise, wie Protokolle und Warnungen angezeigt und untersucht werden, markieren, kategorisieren und anpassen. Durch das Hinzufügen von IP-Adressbereichen können falsch positive Ergebnisse bei Erkennungen reduziert und die Genauigkeit von Warnungen verbessert werden. Wenn Sie ihre IP-Adressen nicht hinzufügen möchten, wird möglicherweise eine höhere Anzahl möglicher falsch positiver Ergebnisse und Warnungen angezeigt, die untersucht werden sollen.
Senden von Feedback für Benachrichtigungen
Wenn Sie Warnungen schließen oder auflösen, stellen Sie sicher, dass Sie Feedback mit dem Grund senden, aus dem Sie die Warnung geschlossen haben oder wie sie behoben wurde. Diese Informationen unterstützen Defender for Cloud-Apps, um unsere Warnungen zu verbessern und falsch positive Ergebnisse zu reduzieren.
Weitere Informationen:
Bewährte Methoden: Erkennen Sie Aktivitäten an unerwarteten Orten oder in unerwarteten Ländern/Regionen.
Detail: Erstellen Sie eine Aktivitätsrichtlinie, um Sie zu benachrichtigen, wenn Benutzer sich von unerwarteten Standorten oder Ländern/Regionen anmelden. Diese Benachrichtigungen können Sie auf möglicherweise kompromittierte Sitzungen in Ihrer Umgebung benachrichtigen, damit Sie Bedrohungen erkennen und beheben können, bevor sie auftreten.
Weitere Informationen:
Bewährte Methode: Erstellen von OAuth-App-Richtlinien
Detail: Erstellen Sie eine OAuth-App-Richtlinie, um Sie zu benachrichtigen, wenn eine OAuth-App bestimmte Kriterien erfüllt. Sie können z. B. festlegen, dass Sie benachrichtigt werden, wenn eine bestimmte App, für die eine hohe Berechtigungsstufe erforderlich ist, von mehr als 100 Benutzern aufgerufen wurde.
Weitere Informationen:
Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
Bewährte Methode: Verwenden des Überwachungspfads von Aktivitäten beim Untersuchen von Warnungen
Detail: Warnungen werden ausgelöst, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Es ist wichtig, Warnungen zu untersuchen, um zu verstehen, ob eine mögliche Bedrohung in Ihrer Umgebung besteht.
Sie können eine Warnung untersuchen, indem Sie sie auf der Seite Warnungen auswählen und den Überwachungspfad der Aktivitäten im Zusammenhang mit dieser Warnung überprüfen. Der Überwachungspfad bietet Ihnen Einblicke in Aktivitäten desselben Typs, denselben Benutzer, die gleiche IP-Adresse und denselben Standort, um Ihnen die allgemeine Geschichte einer Warnung bereitzustellen. Wenn eine Warnung eine weitere Untersuchung erfordert, erstellen Sie einen Plan, um diese Warnungen in Ihrer Organisation zu beheben.
Beim Schließen von Warnungen ist es wichtig, zu untersuchen und zu verstehen, warum sie keine Bedeutung haben oder ob sie falsch positive Ergebnisse sind. Wenn eine hohe Anzahl solcher Aktivitäten vorhanden ist, sollten Sie möglicherweise auch die Überprüfung und Optimierung der Richtlinientrigger in Betracht ziehen, die die Warnung auslöst.
Weitere Informationen:
Sichere IaaS-Dienste und benutzerdefinierte Apps
Bewährte Methode: Verbinden Azure, AWS und GKP
Detail: Verbinden jedem dieser Cloudplattformen zu Defender for Cloud-Apps hilft Ihnen, Ihre Bedrohungserkennungs-Funktionen zu verbessern. Indem Sie administrative und Anmeldeaktivitäten für diese Dienste überwachen, können Sie mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos und andere Bedrohungen in Ihrer Umgebung erkennen und benachrichtigt werden. Sie können z. B. Risiken wie ungewöhnliche Löschungen von VMs oder sogar Identitätsdiebstahlaktivitäten in diesen Apps identifizieren.
Weitere Informationen:
- Herstellen einer Verbindung zwischen Azure und Microsoft Defender for Cloud Apps
- Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps
- Verbinden von Google Workspace mit Microsoft Defender for Cloud Apps
Bewährte Methode: Onboarding von benutzerdefinierten Apps
Detail: Um zusätzliche Einblicke in Aktivitäten aus Ihren branchenspezifischen-Apps zu erhalten, können Sie benutzerdefinierte Apps in Defender for Cloud-Apps integrieren. Nachdem benutzerdefinierte Apps konfiguriert wurden, werden Informationen darüber angezeigt, wer sie verwendet, die IP-Adressen, aus denen sie verwendet werden, und wie viel Datenverkehr in die App und aus der App kommt.
Darüber hinaus können Sie eine benutzerdefinierte App als App-Steuerung für bedingten Zugriff integrieren, um die vertrauenswürdigen Sitzungen zu überwachen. Microsoft Entra ID-Apps werden automatisch integriert.
Weitere Informationen: