Cloud Discovery-Richtlinien

Dieser Artikel bietet eine Übersicht über die ersten Schritte mit der Verwendung von Defender for Cloud Apps, um mithilfe von Cloud Discovery Einblick in Ihre organization der Schatten-IT zu erhalten.

mit Defender for Cloud Apps können Sie Cloud-Apps ermitteln und analysieren, die in der Umgebung Ihres organization verwendet werden. Die Cloud Discovery-Dashboard zeigt alle Cloud-Apps an, die in der Umgebung ausgeführt werden, und kategorisiert sie nach Funktion und Unternehmensbereitschaft. Ermitteln Sie für jede App die zugeordneten Benutzer, IP-Adressen, Geräte und Transaktionen, und führen Sie eine Risikobewertung durch, ohne einen Agent auf Ihren Endpunktgeräten installieren zu müssen.

Erkennen einer neuen App-Nutzung mit hohem Volumen oder einer breiten App

Erkennen Sie neue Apps, die stark genutzt werden, in Bezug auf die Anzahl der Benutzer oder die Menge des Datenverkehrs in Ihrer organization.

Voraussetzungen

Konfigurieren Des automatischen Protokolluploads für Berichte zur fortlaufenden CloudErmittlung, wie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte oder Aktivieren der Defender for Cloud Apps Integration in Defender für Endpunkt beschrieben, wie unter Integrieren von Microsoft Defender for Endpoint mit beschrieben. Defender for Cloud Apps.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue App-Ermittlungsrichtlinie.

2. Wählen Sie im Feld Richtlinienvorlagedie Option Neue App mit hohem Volumen oder Neue beliebte App aus, und wenden Sie die Vorlage an.

3. Passen Sie Richtlinienfilter an, um die Anforderungen Ihrer organization zu erfüllen.

4. Konfigurieren Sie die Aktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird.

Hinweis

Für jede neue App, die in den letzten 90 Tagen nicht erkannt wurde, wird einmal eine Warnung generiert.

Erkennen einer neuen riskanten oder nicht konformen App-Verwendung

Erkennen Sie eine potenzielle Offenlegung Ihrer organization in Cloud-Apps, die Ihre Sicherheitsstandards nicht erfüllen.

Voraussetzungen

Konfigurieren Des automatischen Protokolluploads für Berichte zur fortlaufenden CloudErmittlung, wie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte oder Aktivieren der Defender for Cloud Apps Integration in Defender für Endpunkt beschrieben, wie unter Integrieren von Microsoft Defender for Endpoint mit beschrieben. Defender for Cloud Apps.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue App-Ermittlungsrichtlinie.

2. Wählen Sie im Feld Richtlinienvorlage die Vorlage Neue riskante App aus, und wenden Sie die Vorlage an.

3. Legen Sie unter App-Übereinstimmung mit allen folgenden Optionen den Schieberegler Risikobewertung und den Risikofaktor Compliance fest, um die Risikostufe anzupassen, die Sie eine Warnung auslösen möchten, und legen Sie die anderen Richtlinienfilter so fest, dass sie die Sicherheitsanforderungen Ihrer organization erfüllen.

   1. Optional: Um aussagekräftigere Erkennungen zu erhalten, passen Sie die Menge des Datenverkehrs an, der eine Warnung auslöst.

   2. Aktivieren Sie das Kontrollkästchen Richtliniengleich auslösen, wenn alle folgenden Am selben Tag auftreten .

   3. Wählen Sie Täglicher Datenverkehr größer als 2.000 GB (oder andere) aus.

4. Konfigurieren Sie Governanceaktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Wählen Sie unter Governance die Option App als nicht sanktioniert markieren aus.
   Der Zugriff auf die App wird automatisch blockiert, wenn die Richtlinie abgeglichen wird.

5. Optional: Nutzen Sie Defender for Cloud Apps nativen Integrationen mit Secure Web Gateways, um den App-Zugriff zu blockieren.

Erkennen der Verwendung nicht genehmigter Geschäfts-Apps

Sie können erkennen, wann Ihre Mitarbeiter weiterhin nicht sanktionierte Apps als Ersatz für genehmigte unternehmensfähige Apps verwenden.

Voraussetzungen

• Konfigurieren Des automatischen Protokolluploads für Berichte zur fortlaufenden CloudErmittlung, wie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte oder Aktivieren der Defender for Cloud Apps Integration in Defender für Endpunkt beschrieben, wie unter Integrieren von Microsoft Defender for Endpoint mit beschrieben. Defender for Cloud Apps.

Schritte

1. Suchen Sie im Cloud-App-Katalog nach Ihren unternehmensbereiten Apps, und markieren Sie sie mit einem benutzerdefinierten App-Tag.

2. Führen Sie die Schritte unter Erkennen einer neuen großen oder breiten App-Nutzung aus.

3. Fügen Sie einen App-Tagfilter hinzu, und wählen Sie die App-Tags aus, die Sie für Ihre unternehmensbereiten Apps erstellt haben.

4. Konfigurieren Sie Governanceaktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Wählen Sie unter Governance die Option App als nicht sanktioniert markieren aus.
   Der Zugriff auf die App wird automatisch blockiert, wenn die Richtlinie abgeglichen wird.

5. Optional: Nutzen Sie Defender for Cloud Apps nativen Integrationen mit Secure Web Gateways, um den App-Zugriff zu blockieren.

Erkennen ungewöhnlicher Nutzungsmuster in Ihrem Netzwerk

Erkennen Sie anomale Datenverkehrsnutzungsmuster (Uploads/Downloads) in Ihren Cloud-Apps, die von Benutzern oder IP-Adressen im Netzwerk Ihrer organization stammen.

Voraussetzungen

Konfigurieren Des automatischen Protokolluploads für Berichte zur fortlaufenden CloudErmittlung, wie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte oder Aktivieren der Defender for Cloud Apps Integration in Defender für Endpunkt beschrieben, wie unter Integrieren von Microsoft Defender for Endpoint mit beschrieben. Defender for Cloud Apps.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Cloud Discovery-Richtlinie zur Anomalieerkennung.

2. Wählen Sie im Feld Richtlinienvorlagedie Option Anomales Verhalten in ermittelten Benutzern oder Anomales Verhalten in ermittelten IP-Adressen aus.

3. Passen Sie die Filter an die Anforderungen Ihrer organization an.

4. Wenn Sie nur benachrichtigt werden möchten, wenn Anomalien mit riskanten Apps vorhanden sind, verwenden Sie die Risikobewertungsfilter , und legen Sie den Bereich fest, in dem Apps als riskant angesehen werden.

5. Verwenden Sie den Schieberegler, um die Anomalieerkennungsempfindlichkeit auszuwählen.

Hinweis

Nachdem der fortlaufende Protokollupload eingerichtet wurde, dauert die Anomalieerkennungs-Engine einige Tage, bis eine Baseline (Lernzeitraum) für das erwartete Verhalten in Ihrem organization festgelegt ist. Nachdem eine Baseline eingerichtet wurde, erhalten Sie Warnungen basierend auf Abweichungen vom erwarteten Datenverkehrsverhalten zwischen Cloud-Apps, die von Benutzern oder VON IP-Adressen erstellt wurden.

Erkennen eines anomalen Cloud Discovery-Verhaltens in Speicher-Apps, die nicht sanktioniert werden

Erkennen eines anomalen Verhaltens eines Benutzers in einer Cloudspeicher-App, das nicht sanktioniert wird.

Voraussetzungen

Konfigurieren Des automatischen Protokolluploads für Berichte zur fortlaufenden CloudErmittlung, wie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte oder Aktivieren der Defender for Cloud Apps Integration in Defender für Endpunkt beschrieben, wie unter Integrieren von Microsoft Defender for Endpoint mit beschrieben. Defender for Cloud Apps.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Cloud Discovery-Richtlinie zur Anomalieerkennung.

2. Wählen Sie den Filter App-Kategorie gleich Cloudspeicher aus.

3. Wählen Sie den Filter App-Tag ist nicht gleich Sanktioniert aus.

4. Aktivieren Sie das Kontrollkästchen Warnung für jedes übereinstimmende Ereignis mit dem Schweregrad der Richtlinie erstellen.

5. Konfigurieren Sie die Aktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird.

Erkennen riskanter OAuth-Apps

Erhalten Sie Sichtbarkeit und Kontrolle über OAuth-Apps , die in Apps wie Google Workspace, Microsoft 365 und Salesforce installiert sind. OAuth-Apps, die hohe Berechtigungen anfordern und selten in der Community verwendet werden, können als riskant angesehen werden.

Voraussetzungen

Die Google Workspace-, Microsoft 365- oder Salesforce-App muss über App-Connectors verbunden sein.

Schritte

1. 1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue OAuth-App-Richtlinie.

2. Wählen Sie den Filter App aus, und legen Sie die App fest, für die die Richtlinie gelten soll: Google Workspace, Microsoft 365 oder Salesforce.

3. Wählen Sie Berechtigungsstufenfilter gleich Hoch aus (verfügbar für Google Workspace und Microsoft 365).

4. Fügen Sie den Filter Community use equals Rare hinzu.

5. Konfigurieren Sie die Aktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Aktivieren Sie z. B. für Microsoft 365 die Option Widerrufen von Apps für OAuth-Apps, die von der Richtlinie erkannt wurden.

Hinweis

Unterstützt für Google Workspace-, Microsoft 365- und Salesforce-App-Stores.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.