Untersuchen von Risiken für Cloud-Apps und verdächtigen Aktivitäten

  • Artikel

Sobald Microsoft Defender for Cloud Apps in Ihrer Cloudumgebung ausgeführt wird, dauert es einige Zeit, um die Funktionen kennenzulernen und damit vertraut zu werden. Lernen Sie den Umgang mit Microsoft Defender for Cloud Apps-Tools, um ein besseres Verständnis der Vorgänge in Ihrer Cloudumgebung zu gewinnen. Dann können Sie basierend auf Ihrer jeweiligen Umgebung und deren Verwendung die notwendigen Anforderungen zum Schutz Ihrer Organisation vor Risiken bestimmen. In diesem Artikel wird beschrieben, wie Sie eine Untersuchung durchführen, um Ihre Cloudumgebung besser verstehen zu können.

Markieren von Apps als genehmigt oder nicht genehmgit

Ein wichtiger Schritt zum Verstehen Ihrer Cloud ist das Markieren von Apps als genehmigt oder nicht genehmigt. Wenn Sie eine App genehmigt haben, können Sie nach Apps filtern, die nicht genehmigt sind, und die Migration zu genehmigten Apps des gleichen Typs einleiten.

  • Gehen Sie im Microsoft Defender-Portal unter Cloud-Apps zu Cloud-App-Katalog oder Cloud Discovery – >Ermittelte Apps.

  • Wählen Sie in der Liste der Apps in der Zeile, in der die App angezeigt wird, die Sie als genehmigt markieren möchten, die drei Punkte am Ende der Zeile Tag as sanctioned dots., und wählen Sie Genehmigt.

    Tag as sanctioned.

Verwenden der Untersuchungstools

  1. Wechseln Sie im Microsoft Defender-Portal unter Cloud-Apps zum Aktivitätsprotokoll, und filtern Sie nach einer bestimmten App. Überprüfen Sie Folgendes:

    • Wer greift auf Ihre Cloudumgebung zu?

    • Über welche IP-Bereiche?

    • Wie sieht die Administratoraktivität aus?

    • Von welchen Standorten stellen Administratoren eine Verbindung her?

    • Sind veraltete Geräte mit Ihrer Cloudumgebung verbunden?

    • Kommen erfolglose Anmeldungen von erwarteten IP-Adressen?

  2. Wechseln Sie im Microsoft Defender-Portal unter Cloud-Apps zu Dateien, und überprüfen Sie die folgenden Elemente:

    • Wie viele Dateien sind öffentlich freigegeben, sodass jeder ohne Link darauf zugreifen kann?

    • Mit welchen Partnern nutzen Sie Dateien gemeinsam (ausgehende Freigabe)?

    • Gibt es Dateien, die einen vertraulichen Namen tragen?

    • Werden freigegebene Dateien von einem persönlichen Konto aus genutzt?

  3. Wechseln Sie im Microsoft Defender-Portal zu Identitäten, und überprüfen Sie die folgenden Elemente:

    • Sind Konten in einem bestimmten Dienst schon länger inaktiv? Möglicherweise können Sie die Lizenz dieses Benutzers für diesen Dienst widerrufen.

    • Möchten Sie wissen, welche Benutzer eine bestimmte Rolle haben?

    • Wurde jemand entlassen, hat aber immer noch Zugriff auf eine App und kann diesen Zugriff zum Datendiebstahl nutzen?

    • Möchten Sie die Berechtigung eines Benutzers für eine bestimmte App widerrufen oder verlangen, dass ein bestimmter Benutzer die Multi-Factor Authentication verwendet?

    • Sie können einen Drilldown in das Benutzerkonto ausführen, indem Sie am Ende der Zeile des Benutzerkontos auf das Symbol mit den drei Punkten klicken und eine auszuführende Aktion auswählen. Sie können z. B. einen Benutzer sperren oder Zusammenarbeitselemente des Benutzers entfernen. Wenn der Benutzer aus der Microsoft Entra ID importiert wurde, können Sie auch Microsoft Entra-Kontoeinstellungen auswählen, um einfachen Zugriff auf erweiterte Benutzerverwaltungsfunktionen zu erhalten. Dies umfasst z. B. die Gruppenverwaltung, Multi-Factor Authentication, Informationen zu den Anmeldungen des Benutzers sowie die Möglichkeit, die Anmeldung zu sperren.

  4. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors, und wählen Sie dann eine App. Das App-Dashboard wird angezeigt, und gibt Ihnen Informationen und Einblicke. Sie können die Registerkarten am oberen Rand verwenden, um Folgendes zu überprüfen:

    • Welche Art von Geräten verwenden Ihre Benutzer für die Verbindung mit der App?

    • Welche Dateitypen speichern sie in der Cloud?

    • Welche Aktivität geschieht gerade jetzt in der App?

    • Sind Drittanbieter-Apps mit Ihrer Umgebung verbunden?

    • Sind Sie mit diesen Apps vertraut?

    • Sind sie für die Zugriffsebene autorisiert, für die sie zugelassen sind?

    • Wie viele Benutzer haben sie bereitgestellt? Wie gängig sind diese Apps im Allgemeinen?

    App dashboard.

  5. Wechseln Sie im Microsoft Defender-Portal unter Cloud-Apps zu Cloud Discovery. Wählen Sie die Registerkarte Dashboard, und überprüfen Sie die folgenden Elemente:

    • Welche Cloud-Apps werden in welchem Umfang und von welchen Benutzern verwendet?

    • Zu welchen Zwecken werden sie verwendet?

    • Wie viele Daten werden in diese Cloud-Apps hochgeladen?

    • In welchen Kategorien haben Sie genehmigten Cloud-Apps, und verwenden Benutzer dennoch Alternativlösungen?

    • Gibt es für die alternative Lösung Cloud-Apps, für die Sie in Ihrer Organisation die Genehmigung aufheben möchten?

    • Gibt es Cloud-Apps, die verwendet werden, aber nicht den Richtlinien Ihrer Organisation entsprechen?

Beispieluntersuchung

Angenommen, Sie gehen davon aus, dass riskante IP-Adressen keinen Zugriff auf die Cloudumgebung haben. Nehmen wir Tor als Beispiel. Sie erstellen aber eine Sicherheitsrichtlinie für riskante IP-Adressen, um sicher zu sein:

  1. Wechseln Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien>Richtlinienvorlagen.

  2. Klicken Sie unter Typ auf Aktivitätsrichtlinie.

  3. Klicken Sie am Ende der Zeile Logon from a risky IP address (Anmeldung über eine riskante IP-Adresse) auf das Pluszeichen (+), um eine neue Richtlinie zu erstellen.

  4. Ändern Sie den Richtliniennamen, damit Sie die Richtlinie später finden können.

  5. Klicken Sie unter Activities matching all of the following (Aktivitäten, die die folgenden Übereinstimmungen aufweisen) auf +, um einen Filter hinzuzufügen. Scrollen Sie nach unten zu IP tag (IP-Tag), und klicken Sie auf Tor.

    Example policy for risky IPs.

Nachdem Sie die Richtlinie eingerichtet haben, überrascht es Sie vielleicht zu sehen, dass Sie eine Warnung über einen Verstoß gegen Richtlinie haben.

  1. Wechseln Sie im Microsoft Defender-Portal zu Vorfällen und Warnungen –> Warnungen , und zeigen Sie die Warnung über die Richtlinienverletzung an.

  2. Wenn Sie feststellen, dass es sich um einen echten Verstoß handelt, sollten Sie das Risiko in Grenzen halten oder eine Wiederherstellung ausführen.

    Um das Risiko in Grenzen zu halten, können Sie dem Benutzer eine Benachrichtigung senden, um zu fragen, ob der Verstoß beabsichtigt und der Benutzer sich dessen bewusst war.

    Sie können auch einen Drilldown in der Warnung ausführen und den Benutzer sperren, bis Sie ermitteln können, was getan werden muss.

  3. Wenn es sich um ein zulässiges Ereignis handelt, das wahrscheinlich nicht wieder vorkommt, können Sie die Warnung verwerfen.

    Wenn es sich um ein zulässiges Ereignis handelt, und Sie erwarten, dass es sich wiederholt, können Sie die Richtlinie ändern, sodass dieser Ereignistyp in Zukunft nicht mehr als Verstoß betrachtet wird.

Nächste Schritte

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.