Untersuchen von Cloud-App-Risiken und verdächtigen Aktivitäten

  • Artikel

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender und kann über das Portal unter aufgerufen werden: https://security.microsoft.com. Microsoft 365 Defender korreliert Signale der Microsoft Defender Suite über Endpunkte, Identitäten, E-Mails und SaaS-Apps hinweg, um Erkennung, Untersuchung und leistungsstarke Reaktionsfunktionen auf Incidentebene bereitzustellen. Es verbessert Ihre betriebstechnische Effizienz durch eine bessere Priorisierung und kürzere Reaktionszeiten, die Ihre organization effektiver schützen. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Nachdem Microsoft Defender for Cloud Apps in Ihrer Cloudumgebung ausgeführt wird, benötigen Sie eine Lern- und Untersuchungsphase. Erfahren Sie, wie Sie die Microsoft Defender for Cloud Apps-Tools verwenden, um ein tieferes Verständnis der Geschehnisse in Ihrer Cloudumgebung zu erhalten. Dann können Sie basierend auf Ihrer jeweiligen Umgebung und deren Verwendung die notwendigen Anforderungen zum Schutz Ihrer Organisation vor Risiken bestimmen. In diesem Artikel wird beschrieben, wie Sie eine Untersuchung durchführen, um Ihre Cloudumgebung besser verstehen zu können.

Markieren von Apps als sanktioniert oder nicht sanktioniert

Ein wichtiger Schritt zum Verstehen Ihrer Cloud ist das Markieren von Apps als sanktioniert oder nicht sanktioniert. Wenn Sie eine App sanktioniert haben, können Sie nach Apps filtern, die nicht sanktioniert sind, und die Migration zu sanktionierten Apps des gleichen Typs einleiten.

  • Navigieren Sie im Microsoft 365 Defender-Portal unter Cloud-Apps zum Cloud-App-Katalog oder cloud discovery – >Ermittelte Apps.

  • Wählen Sie in der Liste der Apps in der Zeile, in der die App angezeigt wird, die Sie als sanktioniert markieren möchten, die drei Punkte am Ende des Zeilentags als sanktionierte Punkte aus. und wählen Sie Sanktioniert aus.

    Markieren Sie als sanktioniert.

Verwenden der Untersuchungstools

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter Cloud Apps zum Aktivitätsprotokoll, und filtern Sie nach einer bestimmten App. Überprüfen Sie Folgendes:

    • Wer greift auf Ihre Cloudumgebung zu?

    • Über welche IP-Bereiche?

    • Wie sieht die Administratoraktivität aus?

    • Von welchen Standorten stellen Administratoren eine Verbindung her?

    • Sind veraltete Geräte mit Ihrer Cloudumgebung verbunden?

    • Kommen erfolglose Anmeldungen von erwarteten IP-Adressen?

  2. Navigieren Sie im Microsoft 365 Defender-Portal unter Cloud-Apps zu Dateien, und überprüfen Sie die folgenden Elemente:

    • Wie viele Dateien sind öffentlich freigegeben, sodass jeder ohne Link darauf zugreifen kann?

    • Mit welchen Partnern nutzen Sie Dateien gemeinsam (ausgehende Freigabe)?

    • Gibt es Dateien, die einen vertraulichen Namen tragen?

    • Werden freigegebene Dateien von einem persönlichen Konto aus genutzt?

  3. Wechseln Sie im Microsoft 365 Defender-Portal zu Identitäten, und überprüfen Sie die folgenden Elemente:

    • Sind Konten in einem bestimmten Dienst schon länger inaktiv? Möglicherweise können Sie die Lizenz dieses Benutzers für diesen Dienst widerrufen.

    • Möchten Sie wissen, welche Benutzer eine bestimmte Rolle haben?

    • Wurde jemand entlassen, hat aber immer noch Zugriff auf eine App und kann diesen Zugriff zum Datendiebstahl nutzen?

    • Möchten Sie die Berechtigung eines Benutzers für eine bestimmte App widerrufen oder verlangen, dass ein bestimmter Benutzer die Multi-Factor Authentication verwendet?

    • Sie können einen Drilldown zum Konto des Benutzers durchführen, indem Sie die drei Punkte am Ende der Kontozeile des Benutzers auswählen und eine auszuführende Aktion auswählen. Sie können z. B. einen Benutzer sperren oder Zusammenarbeitselemente des Benutzers entfernen. Wenn der Benutzer aus Azure Active Directory importiert wurde, können Sie auch Azure AD-Kontoeinstellungen auswählen, um einfachen Zugriff auf erweiterte Benutzerverwaltungsfunktionen zu erhalten. Dies umfasst z. B. die Gruppenverwaltung, Multi-Factor Authentication, Informationen zu den Anmeldungen des Benutzers sowie die Möglichkeit, die Anmeldung zu sperren.

  4. Wählen Sie im Microsoft 365 Defender-Portal Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors und dann eine App aus. Das App-Dashboard wird angezeigt, und gibt Ihnen Informationen und Einblicke. Sie können die Registerkarten am oberen Rand verwenden, um Folgendes zu überprüfen:

    • Welche Art von Geräten verwenden Ihre Benutzer für die Verbindung mit der App?

    • Welche Dateitypen speichern sie in der Cloud?

    • Welche Aktivität geschieht gerade jetzt in der App?

    • Sind Drittanbieter-Apps mit Ihrer Umgebung verbunden?

    • Sind Sie mit diesen Apps vertraut?

    • Sind sie für die Zugriffsebene autorisiert, für die sie zugelassen sind?

    • Wie viele Benutzer haben sie bereitgestellt? Wie gängig sind diese Apps im Allgemeinen?

    App Dashboard.

  5. Navigieren Sie im Microsoft 365 Defender-Portal unter Cloud Apps zu Cloud Discovery. Wählen Sie die Registerkarte Dashboard aus, und überprüfen Sie die folgenden Elemente:

    • Welche Cloud-Apps werden in welchem Umfang und von welchen Benutzern verwendet?

    • Zu welchen Zwecken werden sie verwendet?

    • Wie viele Daten werden in diese Cloud-Apps hochgeladen?

    • In welchen Kategorien haben Sie sanktionierte Cloud-Apps, und verwenden Benutzer dennoch Alternativlösungen?

    • Gibt es für die alternative Lösung Cloud-Apps, für die Sie in Ihrer Organisation die Sanktionierung aufheben möchten?

    • Gibt es Cloud-Apps, die verwendet werden, aber nicht mit der Richtlinie Ihrer Organisation konform sind?

Beispieluntersuchung

Angenommen, Sie gehen davon aus, dass riskante IP-Adressen keinen Zugriff auf die Cloudumgebung haben. Nehmen wir Tor als Beispiel. Sie erstellen aber eine Sicherheitsrichtlinie für riskante IP-Adressen, um sicher zu sein:

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter Cloud-Apps zu Richtlinien –>Richtlinienvorlagen.

  2. Klicken Sie unter Typ auf Aktivitätsrichtlinie.

  3. Klicken Sie am Ende der Zeile Logon from a risky IP address (Anmeldung über eine riskante IP-Adresse) auf das Pluszeichen (+), um eine neue Richtlinie zu erstellen.

  4. Ändern Sie den Richtliniennamen, damit Sie die Richtlinie später finden können.

  5. Klicken Sie unter Activities matching all of the following (Aktivitäten, die die folgenden Übereinstimmungen aufweisen) auf +, um einen Filter hinzuzufügen. Scrollen Sie nach unten zu IP tag (IP-Tag), und klicken Sie auf Tor.

    Beispielrichtlinie für riskante IP-Adressen.

Nachdem Sie nun die Richtlinie eingerichtet haben, werden Sie feststellen, dass Sie eine Warnung haben, dass die Richtlinie verletzt wurde.

  1. Navigieren Sie im Microsoft 365 Defender-Portal zu Incidentwarnungen & –>Warnungen, und zeigen Sie die Warnung zur Richtlinienverletzung an.

  2. Wenn Sie feststellen, dass es sich um einen echten Verstoß handelt, sollten Sie das Risiko in Grenzen halten oder eine Wiederherstellung ausführen.

    Um das Risiko in Grenzen zu halten, können Sie dem Benutzer eine Benachrichtigung senden, um zu fragen, ob der Verstoß beabsichtigt und der Benutzer sich dessen bewusst war.

    Sie können auch einen Drilldown in der Warnung ausführen und den Benutzer sperren, bis Sie ermitteln können, was getan werden muss.

  3. Wenn es sich um ein zulässiges Ereignis handelt, das wahrscheinlich nicht wieder vorkommt, können Sie die Warnung verwerfen.

    Wenn es sich um ein zulässiges Ereignis handelt, und Sie erwarten, dass es sich wiederholt, können Sie die Richtlinie ändern, sodass dieser Ereignistyp in Zukunft nicht mehr als Verstoß betrachtet wird.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.