Pilot und Bereitstellung von Microsoft Defender for Cloud Apps
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender for Cloud Apps in Ihrem organization. Sie können diese Empfehlungen verwenden, um Microsoft Defender for Cloud Apps als individuelles Cybersicherheitstool oder als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender for Cloud Apps in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender for Office 365 trägt zu einer Zero Trust Architektur bei, indem sie dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust Adoption Framework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 5 von 6 in einer Reihe, die Ihnen helfen soll, die Komponenten von Microsoft Defender XDR bereitzustellen, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
| Phase | Link |
|---|---|
| A. Starten des Pilotprojekts | Starten des Pilotprojekts |
| B. Pilot und Bereitstellung Microsoft Defender XDR Komponenten |
-
Pilot und Bereitstellung von Defender for Identity - Pilot und Bereitstellung von Defender for Office 365 - Pilotversuch und Bereitstellung von Defender für Endpunkt - Pilot und Bereitstellung Microsoft Defender for Cloud Apps (dieser Artikel) |
| C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender for Cloud Apps
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder die Dienstleistung zu bewerten und zu bewerten, wie es in Ihrem organization funktioniert. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder organization abgedeckt ist.
Hier sehen Sie den Workflow zum Pilotieren und Bereitstellen von Defender for Cloud Apps in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Herstellen einer Verbindung mit dem Defender for Cloud Apps-Portal
- Integration in Microsoft Defender for Endpoint
- Bereitstellen des Protokollsammlers in Ihren Firewalls und anderen Proxys
- Erstellen einer Pilotgruppe
- Ermitteln und Verwalten von Cloud-Apps
- Konfigurieren der App-Steuerung für bedingten Zugriff
- Anwenden von Sitzungsrichtlinien auf Cloud-Apps
- Probieren Sie zusätzliche Funktionen aus
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
| Bereitstellungsphase | Beschreibung |
|---|---|
| Auswerten | Führen Sie die Produktauswertung für Defender for Cloud Apps aus. |
| Pilotprojekt | Führen Sie die Schritte 1 bis 4 und dann 5 bis 8 für eine geeignete Teilmenge von Cloud-Apps in Ihrer Produktionsumgebung aus. |
| Vollständige Bereitstellung | Führen Sie die Schritte 5 bis 8 für Ihre verbleibenden Cloud-Apps aus, passen Sie den Bereich für Pilotbenutzergruppen an, oder fügen Sie Benutzergruppen hinzu, um über das Pilotprojekt hinaus zu erweitern und alle Ihre Benutzerkonten einzubeziehen. |
Schützen Ihrer organization vor Hackern
Defender for Cloud Apps bietet selbst leistungsstarken Schutz. In Kombination mit den anderen Funktionen von Microsoft Defender XDR stellt Defender for Cloud Apps jedoch Daten in die gemeinsamen Signale bereit, die zusammen dazu beitragen, Angriffe zu stoppen.
Hier ist ein Beispiel für einen Cyberangriff und wie die Komponenten von Microsoft Defender XDR helfen, ihn zu erkennen und zu entschärfen.
Defender for Cloud Apps erkennt anomales Verhalten wie unmögliches Reisen, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und zeigt dieses Verhalten im Defender for Cloud Apps-Portal an. Defender for Cloud Apps hilft auch, laterale Bewegungen durch Hacker und die Exfiltration vertraulicher Daten zu verhindern.
Microsoft Defender XDR korreliert die Signale aller Microsoft Defender Komponenten, um die vollständige Angriffsgeschichte bereitzustellen.
Defender for Cloud Apps Rolle als CASB
Ein Cloud Access Security Broker (CASB) fungiert als Gatekeeper, um den Zugriff in Echtzeit zwischen Ihren Unternehmensbenutzern und cloudbasierten Ressourcen zu vermitteln, unabhängig davon, welches Gerät sie verwenden. Defender for Cloud Apps ist ein CASB für die Cloud-Apps Ihrer organization. Defender for Cloud Apps lässt sich nativ in Die Sicherheitsfunktionen von Microsoft integrieren, einschließlich Microsoft Defender XDR.
Ohne Defender for Cloud Apps sind Cloud-Apps, die von Ihrem organization verwendet werden, nicht verwaltet und nicht geschützt.
In der Abbildung sehen Sie Folgendes:
- Die Verwendung von Cloud-Apps durch eine organization wird nicht überwacht und nicht geschützt.
- Diese Verwendung liegt außerhalb der Schutzmaßnahmen, die innerhalb einer verwalteten organization.
Um cloud-Apps zu ermitteln, die in Ihrer Umgebung verwendet werden, können Sie eine oder beide der folgenden Methoden implementieren:
- Dank der Integration in Microsoft Defender for Endpoint können Sie Cloud Discovery schnell nutzen. Dank dieser nativen Integration können Sie sofort mit dem Sammeln von Daten im Clouddatenverkehr auf Ihren Windows 10 und Windows 11 Geräten auf und außerhalb Ihres Netzwerks beginnen.
- Um alle Cloud-Apps zu ermitteln, auf die von allen Geräten zugegriffen wird, die mit Ihrem Netzwerk verbunden sind, stellen Sie den Defender for Cloud Apps Protokollsammler auf Ihren Firewalls und anderen Proxys bereit. Diese Bereitstellung hilft beim Sammeln von Daten von Ihren Endpunkten und sendet sie zur Analyse an Defender for Cloud Apps. Defender for Cloud Apps lässt sich nativ in einige Proxys von Drittanbietern integrieren, um noch mehr Funktionen zu bieten.
Dieser Artikel enthält Anleitungen für beide Methoden.
Schritt 1. Herstellen einer Verbindung mit dem Defender for Cloud Apps-Portal
Informationen zum Überprüfen der Lizenzierung und zum Herstellen einer Verbindung mit dem Defender for Cloud Apps-Portal finden Sie unter Schnellstart: Erste Schritte mit Microsoft Defender for Cloud Apps.
Wenn Sie nicht sofort eine Verbindung mit dem Portal herstellen können, müssen Sie die IP-Adresse möglicherweise der Zulassungsliste Ihrer Firewall hinzufügen. Weitere Informationen finden Sie unter Grundlegendes Setup für Defender for Cloud Apps.
Wenn weiterhin Probleme auftreten, lesen Sie Netzwerkanforderungen.
Schritt 2: Integration in Microsoft Defender for Endpoint
Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Defender for Endpoint integrieren. Die Integration vereinfacht die Einführung von Cloud Discovery, erweitert die Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus und ermöglicht die gerätebasierte Untersuchung. Diese Integration zeigt, dass auf Cloud-Apps und -Dienste von IT-verwalteten Windows 10 und Windows 11 Geräten zugegriffen wird.
Wenn Sie Microsoft Defender for Endpoint bereits eingerichtet haben, ist das Konfigurieren der Integration mit Defender for Cloud Apps ein Umschalter in Microsoft Defender XDR. Nachdem die Integration aktiviert wurde, können Sie zum Defender for Cloud Apps-Portal zurückkehren und umfangreiche Daten im Cloud Discovery-Dashboard anzeigen.
Informationen zum Ausführen dieser Aufgaben finden Sie unter Microsoft Defender for Endpoint Integration mit Microsoft Defender for Cloud Apps.
Schritt 3: Bereitstellen des Defender for Cloud Apps Protokollsammlers in Ihren Firewalls und anderen Proxys
Stellen Sie für die Abdeckung auf allen Geräten, die mit Ihrem Netzwerk verbunden sind, den Defender for Cloud Apps Protokollsammler auf Ihren Firewalls und anderen Proxys bereit, um Daten von Ihren Endpunkten zu sammeln und zur Analyse an Defender for Cloud Apps zu senden.
Wenn Sie eines der folgenden Secure Web Gateways (SWG) verwenden, bietet Defender for Cloud Apps eine nahtlose Bereitstellung und Integration:
- Zscaler
- iboss
- Corrata
- Menlo Security
Weitere Informationen zur Integration mit diesen Netzwerkgeräten finden Sie unter Einrichten von Cloud Discovery.
Schritt 4. Erstellen einer Pilotgruppe – Festlegen der Pilotbereitstellung auf bestimmte Benutzergruppen
mit Microsoft Defender for Cloud Apps können Sie den Umfang Ihrer Bereitstellung festlegen. Mithilfe des Bereichs können Sie bestimmte Benutzergruppen auswählen, die für Apps überwacht oder von der Überwachung ausgeschlossen werden sollen. Sie können Benutzergruppen einschließen oder ausschließen. Informationen zum Umfang Ihrer Pilotbereitstellung finden Sie unter Bereichsbezogene Bereitstellung.
Schritt 5. Ermitteln und Verwalten von Cloud-Apps
Damit Defender for Cloud Apps den maximalen Schutz bieten kann, müssen Sie alle Cloud-Apps in Ihrem organization ermitteln und ihre Verwendung verwalten.
Entdecken von Cloud-Apps
Der erste Schritt zum Verwalten der Verwendung von Cloud-Apps besteht darin, zu ermitteln, welche Cloud-Apps von Ihren organization verwendet werden. Dieses nächste Diagramm veranschaulicht, wie Cloud Discovery mit Defender for Cloud Apps funktioniert.
In dieser Abbildung gibt es zwei Methoden, die verwendet werden können, um den Netzwerkdatenverkehr zu überwachen und Cloud-Apps zu ermitteln, die von Ihrem organization verwendet werden.
Cloud App Discovery lässt sich nativ in Microsoft Defender for Endpoint integrieren. Defender für Endpunkt meldet Cloud-Apps und -Dienste, auf die über IT-verwaltete Windows 10 und Windows 11-Geräte zugegriffen wird.
Für die Abdeckung auf allen Geräten, die mit einem Netzwerk verbunden sind, installieren Sie den Defender for Cloud Apps Protokollsammler in Firewalls und anderen Proxys, um Daten von Endpunkten zu sammeln. Der Collector sendet diese Daten zur Analyse an Defender for Cloud Apps.
Zeigen Sie die Cloud Discovery-Dashboard an, um zu sehen, welche Apps in Ihrem organization
Die Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung von Cloud-Apps in Ihrem organization geben. Es bietet einen Überblick über die verwendeten Apps, Ihre offenen Warnungen und die Risikostufen von Apps in Ihrem organization.
Informationen zu den ersten Schritten mit der Cloud Discovery-Dashboard finden Sie unter Arbeiten mit ermittelten Apps.
Verwalten von Cloud-Apps
Nachdem Sie Cloud-Apps ermittelt und analysiert haben, wie diese Apps von Ihrem organization verwendet werden, können Sie mit der Verwaltung der von Ihnen ausgewählten Cloud-Apps beginnen.
In dieser Abbildung:
- Einige Apps werden für die Verwendung sanktioniert. Sanktionieren ist eine einfache Möglichkeit, mit der Verwaltung von Apps zu beginnen.
- Sie können mehr Transparenz und Kontrolle ermöglichen, indem Sie Apps mit App-Connectors verbinden. App-Connectors verwenden die APIs von App-Anbietern.
Sie können mit der Verwaltung von Apps beginnen, indem Sie Apps sanktionieren, die Sanktionierung aufheben oder direkt blockieren. Informationen zum Verwalten von Apps finden Sie unter Steuern ermittelter Apps.
Schritt 6: Konfigurieren der App-Steuerung für bedingten Zugriff
Einer der leistungsstärksten Schutzfunktionen, die Sie konfigurieren können, ist die App-Steuerung für bedingten Zugriff. Dieser Schutz erfordert die Integration in Microsoft Entra ID. Es ermöglicht Ihnen, Richtlinien für bedingten Zugriff, einschließlich zugehöriger Richtlinien (z. B. erfordern fehlerfreie Geräte), auf Cloud-Apps anzuwenden, die Sie sanktioniert haben.
Möglicherweise haben Sie Ihrem Microsoft Entra Mandanten bereits SaaS-Apps hinzugefügt, um mehrstufige Authentifizierung und andere Richtlinien für bedingten Zugriff zu erzwingen. Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Entra ID integrieren. Sie müssen nur eine Richtlinie in Microsoft Entra ID konfigurieren, um die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps zu verwenden. Dadurch wird Netzwerkdatenverkehr für diese verwalteten SaaS-Apps über Defender for Cloud Apps als Proxy weitergeleitet, wodurch Defender for Cloud Apps diesen Datenverkehr überwachen und Sitzungssteuerungen anwenden können.
In dieser Abbildung:
- SaaS-Apps sind in den Microsoft Entra Mandanten integriert. Diese Integration ermöglicht es Microsoft Entra ID, Richtlinien für bedingten Zugriff zu erzwingen, einschließlich der mehrstufigen Authentifizierung.
- Eine Richtlinie wird Microsoft Entra ID hinzugefügt, um Datenverkehr für SaaS-Apps an Defender for Cloud Apps weiterzuleiten. Die Richtlinie gibt an, auf welche SaaS-Apps diese Richtlinie angewendet werden soll. Nachdem Microsoft Entra ID richtlinien für bedingten Zugriff erzwingt hat, die für diese SaaS-Apps gelten, leitet Microsoft Entra ID den Sitzungsdatenverkehr (Proxys) über Defender for Cloud Apps weiter.
- Defender for Cloud Apps überwacht diesen Datenverkehr und wendet alle Sitzungssteuerungsrichtlinien an, die von Administratoren konfiguriert wurden.
Möglicherweise haben Sie Cloud-Apps mithilfe von Defender for Cloud Apps ermittelt und sanktioniert, die nicht zu Microsoft Entra ID hinzugefügt wurden. Sie können die App-Steuerung für bedingten Zugriff nutzen, indem Sie diese Cloud-Apps Ihrem Microsoft Entra Mandanten und dem Umfang Ihrer Regeln für bedingten Zugriff hinzufügen.
Der erste Schritt bei der Verwendung von Microsoft Defender for Cloud Apps zum Verwalten von SaaS-Apps besteht darin, diese Apps zu ermitteln und sie dann Ihrem Microsoft Entra Mandanten hinzuzufügen. Wenn Sie Hilfe bei der Ermittlung benötigen, finden Sie weitere Informationen unter Ermitteln und Verwalten von SaaS-Apps in Ihrem Netzwerk. Nachdem Sie Apps ermittelt haben, fügen Sie diese Apps Ihrem Microsoft Entra Mandanten hinzu.
Sie können mit der Verwaltung dieser Apps mit den folgenden Aufgaben beginnen:
- Erstellen Sie in Microsoft Entra ID eine neue Richtlinie für bedingten Zugriff, und konfigurieren Sie sie für "App-Steuerung für bedingten Zugriff verwenden". Diese Konfiguration hilft dabei, die Anforderung an Defender for Cloud Apps umzuleiten. Sie können eine Richtlinie erstellen und dieser Richtlinie alle SaaS-Apps hinzufügen.
- Erstellen Sie als Nächstes in Defender for Cloud Apps Sitzungsrichtlinien. Erstellen Sie eine Richtlinie für jedes Steuerelement, das Sie anwenden möchten.
Weitere Informationen, einschließlich unterstützter Apps und Clients, finden Sie unter Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff.
Beispielrichtlinien finden Sie unter Empfohlene Microsoft Defender for Cloud Apps Richtlinien für SaaS-Apps. Diese Richtlinien basieren auf einer Reihe allgemeiner Identitäts- und Gerätezugriffsrichtlinien , die als Ausgangspunkt für alle Kunden empfohlen werden.
Schritt 7: Anwenden von Sitzungsrichtlinien auf Cloud-Apps
Microsoft Defender for Cloud Apps dient als Reverseproxy und bietet Proxyzugriff auf sanktionierte Cloud-Apps. Diese Bereitstellung ermöglicht es Defender for Cloud Apps, sitzungsrichtlinien anzuwenden, die Sie konfigurieren.
In der Abbildung sehen Sie Folgendes:
- Der Zugriff auf sanktionierte Cloud-Apps von Benutzern und Geräten in Ihrem organization wird über Defender for Cloud Apps weitergeleitet.
- Dieser Proxyzugriff ermöglicht die Anwendung von Sitzungsrichtlinien.
- Cloud-Apps, die Sie nicht sanktioniert oder explizit nicht sanktioniert haben, sind nicht betroffen.
Mit Sitzungsrichtlinien können Sie Parameter darauf anwenden, wie Cloud-Apps von Ihrem organization verwendet werden. Wenn Ihr organization beispielsweise Salesforce verwendet, können Sie eine Sitzungsrichtlinie konfigurieren, die nur verwalteten Geräten den Zugriff auf die Daten Ihrer organization in Salesforce zulässt. Ein einfacheres Beispiel wäre das Konfigurieren einer Richtlinie zum Überwachen des Datenverkehrs von nicht verwalteten Geräten, damit Sie das Risiko dieses Datenverkehrs analysieren können, bevor Sie strengere Richtlinien anwenden.
Weitere Informationen finden Sie unter Erstellen von Sitzungsrichtlinien.
Schritt 8. Probieren Sie zusätzliche Funktionen aus
Verwenden Sie diese Defender for Cloud Apps Tutorials, um Risiken zu ermitteln und Ihre Umgebung zu schützen:
- Erkennen verdächtiger Benutzeraktivitäten
- Untersuchen riskanter Benutzer
- Untersuchen riskanter OAuth-Apps
- Ermitteln und Schützen vertraulicher Informationen
- Schützen Aller Apps in Ihrem organization in Echtzeit
- Blockieren von Downloads vertraulicher Informationen
- Schützen Ihrer Dateien mit Administratorquarantäne
- Anfordern einer schrittweisen Authentifizierung bei riskanter Aktion
Weitere Informationen zur erweiterten Suche in Microsoft Defender for Cloud Apps Daten finden Sie in diesem Video.
SIEM-Integration
Sie können Defender for Cloud Apps in Microsoft Sentinel oder einen generischen SIEM-Dienst (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihren organization umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält einen Defender for Cloud Apps Connector. Auf diese Weise erhalten Sie nicht nur Einblick in Ihre Cloud-Apps, sondern auch komplexe Analysen, um Cyberbedrohungen zu identifizieren und zu bekämpfen und zu steuern, wie Ihre Daten übertragen werden. Weitere Informationen finden Sie unter Microsoft Sentinel Integration und Stream Warnungen und Cloud Discovery-Protokolle von Defender for Cloud Apps in Microsoft Sentinel.
Informationen zur Integration in SIEM-Systeme von Drittanbietern finden Sie unter Generische SIEM-Integration.
Nächster Schritt
Durchführen der Lebenszyklusverwaltung für Defender for Cloud Apps.
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Untersuchen und Reagieren mithilfe von Microsoft Defender XDR fort.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.