Testen und Bereitstellen von Microsoft Defender für Cloud-Apps
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender for Cloud Apps in Ihrer Organisation. Sie können diese Empfehlungen verwenden, um Microsoft Defender für Cloud-Apps als individuelles Cybersicherheitstool oder als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender for Cloud Apps in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender für Office 365 trägt zu einer Zero Trust-Architektur bei, indem es dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust-Einführungsframework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 5 von 6 einer Reihe, die Ihnen bei der Bereitstellung der Komponenten von Microsoft Defender XDR hilft, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
| Phase | Link |
|---|---|
| A. Starten des Pilotprojekts | Starten des Pilotprojekts |
| B. Testen und Bereitstellen von Microsoft Defender XDR-Komponenten | - Pilot und Bereitstellung von Defender for Identity - Pilot und Bereitstellung von Defender für Office 365 - Pilotversuch und Bereitstellung von Defender für Endpunkt - Pilot und Bereitstellung von Microsoft Defender für Cloud-Apps (dieser Artikel) |
| C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender for Cloud Apps
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder den Dienst und dessen Funktionsweise in Ihrer Organisation zu bewerten. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder Organisation abgedeckt ist.
Hier sehen Sie den Workflow für das Piloting und die Bereitstellung von Defender for Cloud Apps in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Herstellen einer Verbindung mit dem Defender for Cloud Apps-Portal
- Integration in Microsoft Defender für Endpunkt
- Bereitstellen des Protokollsammlers in Ihren Firewalls und anderen Proxys
- Erstellen einer Pilotgruppe
- Ermitteln und Verwalten von Cloud-Apps
- Konfigurieren der App-Steuerung für bedingten Zugriff
- Anwenden von Sitzungsrichtlinien auf Cloud-Apps
- Probieren Sie zusätzliche Funktionen aus
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
| Bereitstellungsphase | Beschreibung |
|---|---|
| Auswerten | Führen Sie die Produktauswertung für Defender für Cloud-Apps aus. |
| Pilotprojekt | Führen Sie die Schritte 1 bis 4 und dann 5 bis 8 für eine geeignete Teilmenge von Cloud-Apps in Ihrer Produktionsumgebung aus. |
| Vollständige Bereitstellung | Führen Sie die Schritte 5 bis 8 für Ihre verbleibenden Cloud-Apps aus, passen Sie den Bereich für Pilotbenutzergruppen an, oder fügen Sie Benutzergruppen hinzu, um über das Pilotprojekt hinaus zu erweitern und alle Ihre Benutzerkonten einzubeziehen. |
Schützen Ihrer Organisation vor Hackern
Defender für Cloud-Apps bietet selbst leistungsstarken Schutz. In Kombination mit den anderen Funktionen von Microsoft Defender XDR stellt Defender for Cloud Apps jedoch Daten in die gemeinsamen Signale bereit, die zusammen dazu beitragen, Angriffe zu stoppen.
Hier sehen Sie ein Beispiel für einen Cyberangriff und wie die Komponenten von Microsoft Defender XDR dabei helfen, ihn zu erkennen und zu entschärfen.
Defender für Cloud-Apps erkennt anomales Verhalten wie unmögliche Reise, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und zeigt dieses Verhalten im Defender for Cloud Apps-Portal an. Defender für Cloud-Apps trägt auch dazu bei, laterale Bewegungen durch Hacker und die Exfiltration vertraulicher Daten zu verhindern.
Microsoft Defender XDR korreliert die Signale aller Microsoft Defender-Komponenten, um die vollständige Angriffsgeschichte bereitzustellen.
Defender for Cloud Apps-Rolle als CASB
Ein Cloud Access Security Broker (CASB) fungiert als Gatekeeper, um den Zugriff in Echtzeit zwischen Ihren Unternehmensbenutzern und cloudbasierten Ressourcen zu vermitteln, unabhängig davon, welches Gerät sie verwenden. Defender for Cloud Apps ist ein CASB für die Cloud-Apps Ihrer Organisation. Defender für Cloud-Apps lässt sich nativ in Microsoft-Sicherheitsfunktionen integrieren, einschließlich Microsoft Defender XDR.
Ohne Defender for Cloud Apps sind Cloud-Apps, die von Ihrer Organisation verwendet werden, nicht verwaltet und nicht geschützt.
In der Abbildung sehen Sie Folgendes:
- Die Verwendung von Cloud-Apps durch eine Organisation wird nicht überwacht und nicht geschützt.
- Diese Verwendung liegt außerhalb der Schutzmaßnahmen, die in einer verwalteten Organisation erreicht werden.
Um cloud-Apps zu ermitteln, die in Ihrer Umgebung verwendet werden, können Sie eine oder beide der folgenden Methoden implementieren:
- Dank der Integration in Microsoft Defender für Endpunkt können Sie Cloud Discovery schnell nutzen. Dank dieser nativen Integration können Sie sofort mit dem Sammeln von Daten im Clouddatenverkehr auf Ihren Windows 10- und Windows 11-Geräten beginnen, sowohl im netzwerk als auch außerhalb Ihres Netzwerks.
- Um alle Cloud-Apps zu ermitteln, auf die von allen Geräten zugegriffen wird, die mit Ihrem Netzwerk verbunden sind, stellen Sie den Defender for Cloud Apps-Protokollsammler in Ihren Firewalls und anderen Proxys bereit. Diese Bereitstellung hilft beim Sammeln von Daten von Ihren Endpunkten und sendet sie zur Analyse an Defender für Cloud-Apps. Defender für Cloud-Apps lässt sich nativ in einige Proxys von Drittanbietern integrieren, um noch mehr Funktionen zu bieten.
Dieser Artikel enthält Anleitungen für beide Methoden.
Schritt 1. Herstellen einer Verbindung mit dem Defender for Cloud Apps-Portal
Informationen zum Überprüfen der Lizenzierung und zum Herstellen einer Verbindung mit dem Defender for Cloud Apps-Portal finden Sie unter Schnellstart: Erste Schritte mit Microsoft Defender for Cloud Apps.
Wenn Sie nicht sofort eine Verbindung mit dem Portal herstellen können, müssen Sie die IP-Adresse möglicherweise der Zulassungsliste Ihrer Firewall hinzufügen. Weitere Informationen finden Sie unter Grundlegendes Setup für Defender für Cloud-Apps.
Wenn weiterhin Probleme auftreten, lesen Sie Netzwerkanforderungen.
Schritt 2: Integration in Microsoft Defender für Endpunkt
Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Defender für Endpunkt integrieren. Die Integration vereinfacht die Einführung von Cloud Discovery, erweitert die Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus und ermöglicht die gerätebasierte Untersuchung. Diese Integration zeigt, dass auf Cloud-Apps und -Dienste von IT-verwalteten Windows 10- und Windows 11-Geräten zugegriffen wird.
Wenn Sie Microsoft Defender für Endpunkt bereits eingerichtet haben, ist das Konfigurieren der Integration mit Defender for Cloud Apps ein Umschalter in Microsoft Defender XDR. Nachdem die Integration aktiviert wurde, können Sie zum Defender for Cloud Apps-Portal zurückkehren und umfangreiche Daten im Cloud Discovery-Dashboard anzeigen.
Informationen zum Ausführen dieser Aufgaben finden Sie unter Integration von Microsoft Defender für Endpunkt in Microsoft Defender for Cloud Apps.
Schritt 3: Bereitstellen des Defender for Cloud Apps-Protokollsammlers in Ihren Firewalls und anderen Proxys
Stellen Sie für die Abdeckung auf allen Geräten, die mit Ihrem Netzwerk verbunden sind, den Defender for Cloud Apps-Protokollsammler auf Ihren Firewalls und anderen Proxys bereit, um Daten von Ihren Endpunkten zu sammeln und zur Analyse an Defender for Cloud Apps zu senden.
Wenn Sie eines der folgenden Secure Web Gateways (SWG) verwenden, bietet Defender for Cloud Apps eine nahtlose Bereitstellung und Integration:
- Zscaler
- iboss
- Corrata
- Menlo Security
Weitere Informationen zur Integration mit diesen Netzwerkgeräten finden Sie unter Einrichten von Cloud Discovery.
Schritt 4. Erstellen einer Pilotgruppe – Festlegen der Pilotbereitstellung auf bestimmte Benutzergruppen
Mit Microsoft Defender für Cloud-Apps können Sie Ihre Bereitstellung festlegen. Mithilfe des Bereichs können Sie bestimmte Benutzergruppen auswählen, die für Apps überwacht oder von der Überwachung ausgeschlossen werden sollen. Sie können Benutzergruppen einschließen oder ausschließen. Informationen zum Umfang Ihrer Pilotbereitstellung finden Sie unter Bereichsbezogene Bereitstellung.
Schritt 5. Ermitteln und Verwalten von Cloud-Apps
Damit Defender für Cloud-Apps den maximalen Schutz bietet, müssen Sie alle Cloud-Apps in Ihrer Organisation ermitteln und ihre Verwendung verwalten.
Entdecken von Cloud-Apps
Der erste Schritt zum Verwalten der Verwendung von Cloud-Apps besteht darin, zu ermitteln, welche Cloud-Apps von Ihrer Organisation verwendet werden. Dieses nächste Diagramm veranschaulicht die Funktionsweise von Cloud Discovery mit Defender for Cloud Apps.
In dieser Abbildung gibt es zwei Methoden, die verwendet werden können, um den Netzwerkdatenverkehr zu überwachen und Cloud-Apps zu ermitteln, die von Ihrer Organisation verwendet werden.
Cloud App Discovery lässt sich nativ in Microsoft Defender für Endpunkt integrieren. Defender für Endpunkt meldet Cloud-Apps und -Dienste, auf die von der IT verwalteten Windows 10- und Windows 11-Geräten zugegriffen wird.
Für die Abdeckung auf allen Geräten, die mit einem Netzwerk verbunden sind, installieren Sie den Defender for Cloud Apps-Protokollsammler auf Firewalls und anderen Proxys, um Daten von Endpunkten zu sammeln. Der Collector sendet diese Daten zur Analyse an Defender für Cloud-Apps.
Anzeigen des Cloud Discovery-Dashboards, um zu sehen, welche Apps in Ihrer Organisation verwendet werden
Das Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung von Cloud-Apps in Ihrer Organisation bieten. Es bietet einen Überblick über die verwendeten Arten von Apps, Ihre offenen Warnungen und die Risikostufen von Apps in Ihrer Organisation.
Informationen zu den ersten Schritten mit dem Cloud Discovery-Dashboard finden Sie unter Arbeiten mit ermittelten Apps.
Verwalten von Cloud-Apps
Nachdem Sie Cloud-Apps ermittelt und analysiert haben, wie diese Apps von Ihrer Organisation verwendet werden, können Sie mit der Verwaltung der von Ihnen ausgewählten Cloud-Apps beginnen.
In dieser Abbildung:
- Einige Apps werden für die Verwendung sanktioniert. Sanktionieren ist eine einfache Möglichkeit, mit der Verwaltung von Apps zu beginnen.
- Sie können mehr Transparenz und Kontrolle ermöglichen, indem Sie Apps mit App-Connectors verbinden. App-Connectors verwenden die APIs von App-Anbietern.
Sie können mit der Verwaltung von Apps beginnen, indem Sie Apps sanktionieren, die Sanktionierung aufheben oder direkt blockieren. Informationen zum Verwalten von Apps finden Sie unter Steuern ermittelter Apps.
Schritt 6: Konfigurieren der App-Steuerung für bedingten Zugriff
Einer der leistungsstärksten Schutzfunktionen, die Sie konfigurieren können, ist die App-Steuerung für bedingten Zugriff. Dieser Schutz erfordert die Integration in Microsoft Entra ID. Es ermöglicht Ihnen, Richtlinien für bedingten Zugriff, einschließlich zugehöriger Richtlinien (z. B. erfordern fehlerfreie Geräte), auf Cloud-Apps anzuwenden, die Sie sanktioniert haben.
Möglicherweise haben Sie Ihrem Microsoft Entra-Mandanten bereits SaaS-Apps hinzugefügt, um mehrstufige Authentifizierung und andere Richtlinien für bedingten Zugriff zu erzwingen. Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Entra ID integrieren. Sie müssen nur eine Richtlinie in Microsoft Entra ID konfigurieren, um die App-Steuerung für bedingten Zugriff in Defender für Cloud-Apps zu verwenden. Dadurch wird Netzwerkdatenverkehr für diese verwalteten SaaS-Apps über Defender for Cloud Apps als Proxy weitergeleitet, sodass Defender für Cloud Apps diesen Datenverkehr überwachen und Sitzungssteuerungen anwenden kann.
In dieser Abbildung:
- SaaS-Apps sind in den Microsoft Entra-Mandanten integriert. Durch diese Integration kann Microsoft Entra ID Richtlinien für bedingten Zugriff erzwingen, einschließlich der mehrstufigen Authentifizierung.
- Microsoft Entra ID wird eine Richtlinie hinzugefügt, um Datenverkehr für SaaS-Apps an Defender for Cloud Apps weiterzuleiten. Die Richtlinie gibt an, auf welche SaaS-Apps diese Richtlinie angewendet werden soll. Nachdem Microsoft Entra ID alle Richtlinien für bedingten Zugriff erzwingt hat, die für diese SaaS-Apps gelten, leitet Microsoft Entra ID den Sitzungsdatenverkehr (Proxys) über Defender for Cloud Apps weiter.
- Defender for Cloud Apps überwacht diesen Datenverkehr und wendet alle Sitzungssteuerungsrichtlinien an, die von Administratoren konfiguriert wurden.
Möglicherweise haben Sie Cloud-Apps mithilfe von Defender for Cloud Apps ermittelt und sanktioniert, die nicht zur Microsoft Entra ID hinzugefügt wurden. Sie können die App-Steuerung für bedingten Zugriff nutzen, indem Sie diese Cloud-Apps Ihrem Microsoft Entra-Mandanten und dem Umfang Ihrer Regeln für bedingten Zugriff hinzufügen.
Der erste Schritt bei der Verwendung von Microsoft Defender für Cloud Apps zum Verwalten von SaaS-Apps besteht darin, diese Apps zu ermitteln und sie dann Ihrem Microsoft Entra-Mandanten hinzuzufügen. Wenn Sie Hilfe bei der Ermittlung benötigen, finden Sie weitere Informationen unter Ermitteln und Verwalten von SaaS-Apps in Ihrem Netzwerk. Nachdem Sie Apps ermittelt haben, fügen Sie diese Apps Ihrem Microsoft Entra-Mandanten hinzu.
Sie können mit der Verwaltung dieser Apps mit den folgenden Aufgaben beginnen:
- Erstellen Sie in Microsoft Entra ID eine neue Richtlinie für bedingten Zugriff, und konfigurieren Sie sie für "App-Steuerung für bedingten Zugriff verwenden". Diese Konfiguration hilft, die Anforderung an Defender for Cloud Apps umzuleiten. Sie können eine Richtlinie erstellen und dieser Richtlinie alle SaaS-Apps hinzufügen.
- Erstellen Sie als Nächstes in Defender für Cloud-Apps Sitzungsrichtlinien. Erstellen Sie eine Richtlinie für jedes Steuerelement, das Sie anwenden möchten.
Weitere Informationen, einschließlich unterstützter Apps und Clients, finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender für Cloud-Apps.
Beispielrichtlinien finden Sie unter Empfohlene Microsoft Defender for Cloud Apps-Richtlinien für SaaS-Apps. Diese Richtlinien basieren auf einer Reihe allgemeiner Identitäts- und Gerätezugriffsrichtlinien , die als Ausgangspunkt für alle Kunden empfohlen werden.
Schritt 7: Anwenden von Sitzungsrichtlinien auf Cloud-Apps
Microsoft Defender für Cloud-Apps dient als Reverseproxy und bietet Proxyzugriff auf sanktionierte Cloud-Apps. Diese Bereitstellung ermöglicht Defender für Cloud-Apps das Anwenden von Sitzungsrichtlinien, die Sie konfigurieren.
In der Abbildung sehen Sie Folgendes:
- Der Zugriff auf sanktionierte Cloud-Apps von Benutzern und Geräten in Ihrer Organisation wird über Defender for Cloud Apps weitergeleitet.
- Dieser Proxyzugriff ermöglicht die Anwendung von Sitzungsrichtlinien.
- Cloud-Apps, die Sie nicht sanktioniert oder explizit nicht sanktioniert haben, sind nicht betroffen.
Mit Sitzungsrichtlinien können Sie Parameter auf die Verwendung von Cloud-Apps in Ihrer Organisation anwenden. Wenn Ihre Organisation beispielsweise Salesforce verwendet, können Sie eine Sitzungsrichtlinie konfigurieren, die nur verwalteten Geräten den Zugriff auf die Daten Ihrer Organisation bei Salesforce zulässt. Ein einfacheres Beispiel wäre das Konfigurieren einer Richtlinie zum Überwachen des Datenverkehrs von nicht verwalteten Geräten, damit Sie das Risiko dieses Datenverkehrs analysieren können, bevor Sie strengere Richtlinien anwenden.
Weitere Informationen finden Sie unter Erstellen von Sitzungsrichtlinien.
Schritt 8. Probieren Sie zusätzliche Funktionen aus
Verwenden Sie diese Defender for Cloud Apps-Tutorials, um Risiken zu ermitteln und Ihre Umgebung zu schützen:
- Erkennen verdächtiger Benutzeraktivitäten
- Untersuchen riskanter Benutzer
- Untersuchen riskanter OAuth-Apps
- Ermitteln und Schützen vertraulicher Informationen
- Schützen aller Apps in Ihrer Organisation in Echtzeit
- Blockieren von Downloads vertraulicher Informationen
- Schützen Ihrer Dateien mit Administratorquarantäne
- Anfordern einer schrittweisen Authentifizierung bei riskanter Aktion
Weitere Informationen zur erweiterten Suche in Microsoft Defender für Cloud Apps-Daten finden Sie in diesem Video.
SIEM-Integration
Sie können Defender for Cloud Apps in Microsoft Sentinel oder einen generischen SIEM-Dienst (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihrer Organisation umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält einen Defender for Cloud Apps-Connector. Auf diese Weise erhalten Sie nicht nur Einblick in Ihre Cloud-Apps, sondern auch komplexe Analysen, um Cyberbedrohungen zu identifizieren und zu bekämpfen und zu steuern, wie Ihre Daten übertragen werden. Weitere Informationen finden Sie unter Microsoft Sentinel-Integration und Streamen von Warnungen und Cloud Discovery-Protokollen aus Defender for Cloud Apps in Microsoft Sentinel.
Informationen zur Integration in SIEM-Systeme von Drittanbietern finden Sie unter Generische SIEM-Integration.
Nächster Schritt
Durchführen der Lebenszyklusverwaltung für Defender für Cloud-Apps.
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Untersuchen und Reagieren mit Microsoft Defender XDR fort.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für