Verwenden von Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps

  • Artikel
  • 3 Minuten Lesedauer

Dieser Artikel soll Ihnen helfen, zu verstehen, wie Microsoft Defender for Identity Funktionalität im Microsoft Defender for Cloud Apps-Portal dargestellt wird.

Durch die Nutzung vorhandener lokaler Erkennungen und Analysen für ungewöhnliches Verhalten bietet der Zugriff auf Defender for Identity über das Microsoft Defender for Cloud Apps-Portal die Möglichkeit, die Exfiltration vertraulicher Daten in Ihrem Unternehmen zu erkennen und zu warnen. Dieses Hybridangebot analysiert Aktivitäten und Warnungen basierend auf User and Entity Behavior Analytics (UEBA), um riskante Verhaltensweisen zu bestimmen, und bietet eine Bewertung der Untersuchungspriorität, um Ihre Reaktion auf Vorfälle für kompromittierte Identitäten zu optimieren.

In diesem Artikel finden Sie Informationen zu Folgendem:

  • Übersicht über die Dienste
  • Neue Möglichkeiten für den Zugriff auf Defender for Identity
  • Voraussetzungen für die Lizenzierung
  • Wo finden Sie nachverfolgte Defender for Identity-Aktivitäten in Defender for Cloud Apps

Übersicht über die Dienste

Das Defender for Cloud Apps-Portal ist in Defender for Identity integriert und bietet Warnungen und Erkenntnisse aus folgenden Gründen:

  • Microsoft Defender for Cloud Apps, die Angriffe innerhalb einer Cloudsitzung identifiziert, die nicht nur Microsoft-Produkte, sondern auch Anwendungen von Drittanbietern umfasst
  • Microsoft Defender for Identity, bei dem Machine Learning und Verhaltensanalysen verwendet werden, um Angriffe im lokalen Netzwerk zu identifizieren.
  • Azure Active Directory Identity Protection, das Benutzer- und Anmelderisiken bei Identitäten in der Cloud erkennt und proaktiv verhindert

Voraussetzungen

Zur Nutzung aller Features der Benutzeruntersuchung über die gesamte Hybridumgebung hinweg benötigen Sie Folgendes:

  • Eine gültige Lizenz für Microsoft Defender for Cloud Apps
  • Eine gültige Lizenz für Microsoft Defender for Identity, die mit Ihrer Active Directory-Instanz verbunden ist

Hinweis

  • Wenn Sie kein Abonnement für Defender for Cloud Apps haben, können Sie weiterhin das Defender for Cloud Apps-Portal verwenden, um Defender for Identity-Warnungen zu untersuchen und ausführliche Informationen zu Benutzern und deren lokalen verwalteten Aktivitäten zu erhalten, aber Sie erhalten keine entsprechenden Erkenntnisse aus Ihren Cloudanwendungen.
  • Defender for Identity-Administratoren benötigen möglicherweise neue Berechtigungen für den Zugriff auf Defender for Cloud Apps. Informationen zum Zuweisen von Berechtigungen zu Defender für Cloud-Apps finden Sie unter Verwalten des Administratorzugriffs.

Informationen zum schnellen Aktivieren von Defender for Identity in Defender for Cloud Apps finden Sie unter Defender for Identity-Integration .

Defender for Identity in Defender for Cloud Apps

Im Schnellstart zu Defender für Cloud-Apps erfahren Sie, wie Sie sich mit den Grundlagen der Verwendung des Defender for Cloud Apps-Portals vertraut machen.

Alerts

Defender for Identity-Warnungen werden in der Defender for Cloud Apps-Warnungswarteschlange angezeigt. Zusätzliche Warnungsfilteroptionen sind nur verfügbar, wenn Warnungen mithilfe von Defender für Cloud-Apps angezeigt werden. Defender for Identity-Warnungen werden mithilfe des Anwendungsfilters in Active Directory gefiltert.

Alert Management

Wenn Sie Defender for Identity mit Defender for Cloud Apps verwenden, werden Warnungen beim Schließen in einem Dienst nicht automatisch im anderen Dienst geschlossen. Genauer gesagt: Schließen von Warnungen in Defender für Cloud-Apps werden sie in Defender for Identity nicht geschlossen, aber schließende Warnungen in Defender for Identity werden die Schließung in Defender für Cloud-Apps synchronisiert. Legen Sie fest, in welchem Dienst Warnungen verwaltet und behoben werden sollen, um doppelten Aufwand zu vermeiden.

SIEM-Benachrichtigungen

Wenn Ihre dienste (Defender for Identity und Defender for Cloud Apps) derzeit so konfiguriert sind, dass sie Warnungsbenachrichtigungen an ein SIEM senden, erhalten Sie nach dem Aktivieren der Integration von Defender for Identity in Defender for Cloud Apps doppelte SIEM-Benachrichtigungen für dieselbe Warnung. Von jedem Dienst wird eine Warnung ausgegeben, die unterschiedliche Warnungs-IDs aufweist. Entscheiden Sie, in welchem Dienst Sie Warnungen verwalten möchten, und legen Sie anschließend fest, dass vom anderen Dienst keine SIEM-Benachrichtigungen mehr versendet werden. So vermeiden Sie Duplizierungen und Verwirrung.

activities

Defender for Identity-Warnungen werden im Defender for Cloud Apps-Aktivitätsprotokoll angezeigt. Zusätzliche Optionen und Features zur Aktivitätsfilterung sind nur verfügbar, wenn Warnungen mithilfe von Defender für Cloud-Apps angezeigt werden. Informationen zum Filtern und Erstellen neuer Aktivitätsrichtlinien finden Sie unter Defender for Identity-Aktivitäten mithilfe von Microsoft Defender for Cloud Apps.

Benutzerseiten

Benutzerseiten enthalten die Bewertung der Untersuchungspriorität für jeden Benutzer sowie ein Aktivitätsprotokoll aller Aktionen.

So greifen Sie auf die Benutzerseite eines Systembenutzers zu:

  1. Öffnen Sie im Hauptmenü die Option Warnungen.
  2. Wählen Sie mithilfe des Felds Benutzername die Warnungswarteschlange für einen bestimmten Benutzer aus, und filtern Sie diese.

oder

  1. Wählen Sie im Menü Untersuchen die Option Aktivitätsprotokoll aus.

  2. Filtern Sie die Warteschlange des Aktivitätsprotokolls nach Benutzer.

    Aktivitätsprotokoll.

Beitritt zur Community

Haben Sie weitere Fragen oder möchten Sie mit anderen über Defender for Identity und damit verbundene Sicherheitsaspekte diskutieren? Treten Sie noch heute der Defender for Identity-Community bei!