Bewährte Methoden zum Schutz Ihrer Organisation mit Defender for Cloud Apps

  • Artikel

Hinweis

Microsoft Defender für Cloud-Apps ist jetzt Teil von Microsoft 365 Defender, der Signale aus der gesamten Microsoft Defender-Suite korreliert und Funktionen auf Vorfallebene bietet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Dieser Artikel enthält bewährte Methoden zum Schutz Ihrer Organisation mithilfe von Microsoft Defender für Cloud-Apps. Diese bewährten Methoden stammen aus unserer Erfahrung mit Defender for Cloud Apps und den Erfahrungen von Kunden wie Ihnen.

Die in diesem Artikel beschriebenen bewährten Methoden umfassen:

Entdecken und Bewerten von Cloud-Apps

Durch die Integration von Defender für Cloud-Apps in Microsoft Defender für Endpunkt können Sie Cloud Discovery über Ihr Unternehmensnetzwerk oder sichere Webgateways hinaus verwenden. Mit den kombinierten Benutzer- und Geräteinformationen können Sie riskante Benutzer oder Geräte identifizieren, sehen, welche Apps sie verwenden, und im Defender für Endpunkt-Portal weiter untersuchen.

Bewährte Methode: Aktivieren der Schatten-IT-Ermittlung mithilfe von Defender für Endpunkt
Detail: Cloud Discovery analysiert von Defender für Endpunkt gesammelte Datenverkehrsprotokolle und bewertet identifizierte Apps im Cloud-App-Katalog, um Compliance- und Sicherheitsinformationen bereitzustellen. Durch die Konfiguration von Cloud Discovery erhalten Sie Einblicke in die Cloudnutzung, Schatten-IT und kontinuierliche Überwachung der nicht genehmigten Apps, die von Ihren Benutzern verwendet werden.
Weitere Informationen:

Bewährte Methode: Konfigurieren von App Discovery-Richtlinien zur proaktiven Identifizierung riskanter, nicht konformer und trendorientierter Apps
Details: Mithilfe von App Discovery-Richtlinien können Sie die bedeutenden ermittelten Anwendungen in Ihrer Organisation leichter nachverfolgen, damit Sie diese Anwendungen effizient verwalten können. Erstellen Sie Richtlinien zum Empfangen von Warnungen, wenn neue Apps erkannt werden, die entweder riskant, nicht konform, trending oder hochvolumig sind.
Weitere Informationen:

Bewährte Methode: Verwalten von OAuth-Apps, die von Ihren Benutzern autorisiert sind
Detail: Viele Benutzer gewähren OAuth-Berechtigungen für Drittanbieter-Apps, um auf ihre Kontoinformationen zuzugreifen, und gewähren dabei versehentlich auch Zugriff auf ihre Daten in anderen Cloud-Apps. In der Regel hat die IT keine Einblicke in diese Apps, wodurch es schwierig ist, das Sicherheitsrisiko einer App gegen den von ihr bereitgestellten Produktivitätsvorteil abzuwägen.

Defender für Cloud-Apps bietet Ihnen die Möglichkeit, die von Ihren Benutzern erteilten App-Berechtigungen zu untersuchen und zu überwachen. Sie können diese Informationen verwenden, um eine potenziell verdächtige App zu identifizieren, und wenn Sie feststellen, dass sie riskant ist, können Sie den Zugriff darauf verbieten.
Weitere Informationen:

Anwenden von Cloudgovernancerichtlinien

Bewährte Methode: Markieren von Apps und Exportieren von Blockskripts
Detail: Nachdem Sie die Liste der ermittelten Apps in Ihrer Organisation überprüft haben, können Sie Ihre Umgebung vor unerwünschter App-Verwendung schützen. Sie können das Sanktionierte Tag auf Apps anwenden, die von Ihrer Organisation genehmigt wurden, und das nicht genehmigte Tag auf Apps, die nicht zulässig sind. Sie können nicht genehmigte Apps mithilfe von Ermittlungsfiltern überwachen oder ein Skript exportieren, um nicht genehmigte Apps mithilfe Ihrer lokalen Sicherheits-Anwendung zu blockieren. Mithilfe von Tags und Exportskripts können Sie Ihre Apps organisieren und Ihre Umgebung schützen, indem Sie nur den Zugriff auf sichere Apps zulassen.
Weitere Informationen:

Einschränken der Gefährdung von freigegebenen Daten und Erzwingen von Richtlinien für die Zusammenarbeit

Bewährte Methode: Verbinden Microsoft 365
Detail: Verbinden Ing Microsoft 365 to Defender for Cloud Apps bietet Ihnen sofortige Einblicke in die Aktivitäten Ihrer Benutzer, Dateien, auf die sie zugreifen, und stellt Governanceaktionen für Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics bereit.
Weitere Informationen:

Bewährte Methode: Verbinden Ihrer Apps
Detail: Verbinden Ihrer Apps in Defender für Cloud-Apps erhalten Sie verbesserte Einblicke in die Aktivitäten, bedrohungserkennungs- und Governancefunktionen Ihrer Benutzer. Um zu sehen, welche Drittanbieter-App-APIs unterstützt werden, wechseln Sie zu Verbinden Apps.

Weitere Informationen:

Bewährte Methode: Erstellen von Richtlinien zum Entfernen der Freigabe mit persönliches Konto s
Detail: Verbinden Ing Microsoft 365 to Defender for Cloud Apps bietet Ihnen sofortige Einblicke in die Aktivitäten Ihrer Benutzer, Dateien, auf die sie zugreifen, und stellt Governanceaktionen für Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics bereit.
Weitere Informationen:

Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind

Bewährte Methode: Integration in Microsoft Purview Information Protection
Detail: Die Integration in Microsoft Purview Information Protection bietet Ihnen die Möglichkeit, Vertraulichkeitsbezeichnungen automatisch anzuwenden und optional Verschlüsselungsschutz hinzuzufügen. Sobald die Integration aktiviert ist, können Sie Bezeichnungen als Governanceaktion anwenden, Dateien nach Klassifizierung anzeigen, Dateien nach Klassifizierungsebene untersuchen und präzise Richtlinien erstellen, um sicherzustellen, dass klassifizierte Dateien ordnungsgemäß verarbeitet werden. Wenn Sie die Integration nicht aktivieren, können Sie nicht von der Möglichkeit profitieren, Dateien in der Cloud automatisch zu scannen, zu bezeichnen und zu verschlüsseln.
Weitere Informationen:

Bewährte Methode: Erstellen von Datenexpositionsrichtlinien
Detail: Verwenden Sie Dateirichtlinien, um die Freigabe von Informationen zu erkennen und nach vertraulichen Informationen in Ihren Cloud-Apps zu suchen. Erstellen Sie die folgenden Dateirichtlinien, um Sie zu benachrichtigen, wenn Datenexpositionen erkannt werden:

  • Extern freigegebene Dateien, die vertrauliche Daten enthalten
  • Extern freigegebene Und als vertraulich bezeichnete Dateien
  • Dateien, die für nicht autorisierte Aufgaben freigegeben wurden Standard
  • Schützen vertraulicher Dateien in SaaS-Apps

Weitere Informationen:

Bewährte Methode: Überprüfen von Berichten auf der Seite "Dateien "
Detail: Nachdem Sie verschiedene SaaS-Apps mithilfe von App-Connectors verbunden haben, überprüft Defender für Cloud Apps dateien, die von diesen Apps gespeichert sind. Außerdem wird jedes Mal, wenn eine Datei geändert wird, erneut gescannt. Sie können die Seite "Dateien " verwenden, um die Datentypen zu verstehen und zu untersuchen, die in Ihren Cloud-Apps gespeichert werden. Um Sie bei der Untersuchung zu unterstützen, können Sie nach aufgaben Standard, Gruppen, Benutzern, Erstellungsdatum, Erweiterung, Dateiname und Typ, Datei-ID, Vertraulichkeitsbezeichnung und mehr filtern. Mithilfe dieser Filter können Sie steuern, wie Sie Dateien untersuchen möchten, um sicherzustellen, dass keine Ihrer Daten gefährdet ist. Sobald Sie ein besseres Verständnis darüber haben, wie Ihre Daten verwendet werden, können Sie Richtlinien erstellen, um nach vertraulichen Inhalten in diesen Dateien zu suchen.
Weitere Informationen:

Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten

Bewährte Methode: Schützen vertraulicher Daten vor der Freigabe für externe Benutzer
Detail: Erstellen Sie eine Dateirichtlinie, die erkennt, wenn ein Benutzer versucht, eine Datei mit der Vertraulichkeitsbezeichnung "Vertraulich " für eine person außerhalb Ihrer Organisation freizugeben, und konfigurieren Sie die Governanceaktion, um externe Benutzer zu entfernen. Diese Richtlinie stellt sicher, dass Ihre vertraulichen Daten Ihre Organisation nicht verlassen und externe Benutzer keinen Zugriff darauf erhalten können.
Weitere Informationen:

Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte

Bewährte Methode: Verwalten und Steuern des Zugriffs auf Geräte mit hohem Risiko
Detail: Verwenden Sie die App-Steuerung für bedingten Zugriff, um Steuerelemente für Ihre SaaS-Apps festzulegen. Sie können Sitzungsrichtlinien erstellen, um Ihre hohen Risiken und Sitzungen mit niedriger Vertrauensebene zu überwachen. Ebenso können Sie Sitzungsrichtlinien erstellen, um Downloads zu blockieren und zu schützen, indem Benutzer versuchen, auf vertrauliche Daten von nicht verwalteten oder riskanten Geräten zuzugreifen. Wenn Sie keine Sitzungsrichtlinien zum Überwachen von Sitzungen mit hohem Risiko erstellen, verlieren Sie die Möglichkeit, Downloads im Webclient zu blockieren und zu schützen, sowie die Möglichkeit, sitzungen mit niedriger Vertrauensebene sowohl in Microsoft- als auch in Apps von Drittanbietern zu überwachen.
Weitere Informationen:

Sichere Zusammenarbeit mit externen Benutzern durch Erzwingen von Echtzeitsitzungssteuerelementen

Bewährte Methode: Überwachen von Sitzungen mit externen Benutzern mithilfe der App-Steuerung für bedingten Zugriff
Detail: Um die Zusammenarbeit in Ihrer Umgebung zu sichern, können Sie eine Sitzungsrichtlinie erstellen, um Sitzungen zwischen Ihren internen und externen Benutzern zu überwachen. Dadurch können Sie nicht nur die Sitzung zwischen Ihren Benutzern überwachen (und sie darüber informieren, dass ihre Sitzungsaktivitäten überwacht werden), sondern auch bestimmte Aktivitäten einschränken. Beim Erstellen von Sitzungsrichtlinien zum Überwachen der Aktivität können Sie die Apps und Benutzer auswählen, die Sie überwachen möchten.
Weitere Informationen:

Erkennen von Cloudbedrohungen, kompromittierten Konten, böswilligen Insidern und Ransomware

Bewährte Methode: Optimieren von Anomalierichtlinien, Festlegen von IP-Bereichen, Senden von Feedback für Warnungen
Detail: Anomalieerkennungsrichtlinien bieten sofort einsatzbereite Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning (ML), sodass Sie sofort erweiterte Bedrohungserkennung in Ihrer Cloudumgebung ausführen können.

Anomalieerkennungsrichtlinien werden ausgelöst, wenn es ungewöhnliche Aktivitäten gibt, die von den Benutzern in Ihrer Umgebung ausgeführt werden. Defender für Cloud Apps überwacht ihre Benutzeraktivitäten kontinuierlich und verwendet UEBA und ML, um das normale Verhalten Ihrer Benutzer zu lernen und zu verstehen. Sie können Richtlinieneinstellungen so anpassen, dass sie den Anforderungen Ihrer Organisation entsprechen, z. B. können Sie die Vertraulichkeit einer Richtlinie festlegen sowie eine Richtlinie auf eine bestimmte Gruppe festlegen.

  • Optimieren und Anomalieerkennungsrichtlinien: Um beispielsweise die Anzahl falsch positiver Ergebnisse innerhalb der unmöglichen Reisewarnung zu verringern, können Sie den Vertraulichkeitsschieberegler der Richtlinie auf "niedrig" festlegen. Wenn Sie Benutzer in Ihrer Organisation haben, die häufig Reisende sind, können Sie sie zu einer Benutzergruppe hinzufügen und diese Gruppe im Rahmen der Richtlinie auswählen.

  • Festlegen von IP-Bereichen: Defender für Cloud Apps kann bekannte IP-Adressen identifizieren, sobald IP-Adressbereiche festgelegt wurden. Mit konfigurierten IP-Adressbereichen können Sie Protokolle und Warnungen kategorisieren, kategorisieren und anpassen, wie Protokolle und Warnungen angezeigt und untersucht werden. Durch das Hinzufügen von IP-Adressbereichen können falsch positive Erkennungen reduziert und die Genauigkeit von Warnungen verbessert werden. Wenn Sie ihre IP-Adressen nicht hinzufügen möchten, wird möglicherweise eine höhere Anzahl möglicher falsch positiver Ergebnisse und Warnungen angezeigt, die untersucht werden sollen.

  • Senden von Feedback für Benachrichtigungen

    Wenn Sie Warnungen schließen oder auflösen, stellen Sie sicher, dass Sie Feedback mit dem Grund senden, aus dem Sie die Warnung geschlossen haben oder wie sie behoben wurde. Diese Informationen unterstützen Defender für Cloud-Apps, um unsere Warnungen zu verbessern und falsch positive Ergebnisse zu reduzieren.

Weitere Informationen:

Bewährte Methode: Erkennen von Aktivitäten von unerwarteten Standorten oder Ländern/Regionen
Detail: Erstellen Sie eine Aktivitätsrichtlinie, um Sie zu benachrichtigen, wenn Benutzer sich von unerwarteten Standorten oder Ländern/Regionen anmelden. Diese Benachrichtigungen können Sie auf möglicherweise kompromittierte Sitzungen in Ihrer Umgebung benachrichtigen, damit Sie Bedrohungen erkennen und beheben können, bevor sie auftreten.
Weitere Informationen:

Bewährte Methode: Erstellen von OAuth-App-Richtlinien
Detail: Erstellen Sie eine OAuth-App-Richtlinie, um Sie zu benachrichtigen, wenn eine OAuth-App bestimmte Kriterien erfüllt. Sie können z. B. festlegen, dass Sie benachrichtigt werden, wenn eine bestimmte App, für die eine hohe Berechtigungsstufe erforderlich ist, von mehr als 100 Benutzern aufgerufen wurde.
Weitere Informationen:

Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen

Bewährte Methode: Verwenden des Überwachungspfads von Aktivitäten beim Untersuchen von Warnungen
Detail: Warnungen werden ausgelöst, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Es ist wichtig, Warnungen zu untersuchen, um zu verstehen, ob eine mögliche Bedrohung in Ihrer Umgebung besteht.

Sie können eine Warnung untersuchen, indem Sie sie auf der Seite "Warnungen " auswählen und den Überwachungspfad der Aktivitäten im Zusammenhang mit dieser Warnung überprüfen. Der Überwachungspfad bietet Ihnen Einblicke in Aktivitäten desselben Typs, denselben Benutzer, die gleiche IP-Adresse und denselben Standort, um Ihnen die allgemeine Geschichte einer Warnung bereitzustellen. Wenn eine Warnung eine weitere Untersuchung erfordert, erstellen Sie einen Plan, um diese Warnungen in Ihrer Organisation zu beheben.

Beim Schließen von Warnungen ist es wichtig, zu untersuchen und zu verstehen, warum sie keine Bedeutung haben oder ob sie falsch positive Ergebnisse sind. Wenn eine hohe Anzahl solcher Aktivitäten vorhanden ist, sollten Sie möglicherweise auch die Überprüfung und Optimierung der Richtlinie in Betracht ziehen, die die Warnung auslöst.
Weitere Informationen:

Sichere IaaS-Dienste und benutzerdefinierte Apps

Bewährte Methode: Verbinden Azure, AWS und GCP
Detail: Verbinden jedem dieser Cloudplattformen zu Defender für Cloud-Apps hilft Ihnen, Ihre Bedrohungserkennungsfunktionen zu verbessern. Indem Sie administrative und Anmeldeaktivitäten für diese Dienste überwachen, können Sie mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos und andere Bedrohungen in Ihrer Umgebung erkennen und benachrichtigt werden. Sie können z. B. Risiken wie ungewöhnliche Löschungen von virtuellen Computern oder sogar Identitätswechselaktivitäten in diesen Apps identifizieren.
Weitere Informationen:

Bewährte Methode: Onboarding von benutzerdefinierten Apps
Detail: Um zusätzliche Einblicke in Aktivitäten aus Ihren Branchen-Apps zu erhalten, können Sie benutzerdefinierte Apps in Defender für Cloud-Apps integrieren. Nachdem benutzerdefinierte Apps konfiguriert wurden, werden Informationen darüber angezeigt, wer sie verwendet, die IP-Adressen, aus denen sie verwendet werden, und wie viel Datenverkehr in die App und aus der App kommt.

Darüber hinaus können Sie eine benutzerdefinierte App als App-Steuerungs-App für bedingten Zugriff integrieren, um die vertrauenswürdigen Sitzungen zu überwachen.
Weitere Informationen: