Empfohlene Defender for Cloud Apps-Richtlinien für SaaS-Apps
Microsoft Defender for Cloud Apps baut auf den Richtlinien von Microsoft Entra für bedingten Zugriff auf, um die Überwachung und Kontrolle granularer Aktionen mit SaaS-Anwendungen in Echtzeit zu ermöglichen, z. B. das Blockieren von Downloads, Uploads, Kopieren und Einfügen sowie Drucken. Diese Funktion erhöht die Sicherheit von Sitzungen, die ein inhärentes Risiko darstellen, z. B. wenn von nicht verwalteten Geräten oder von Gastbenutzerinnen und -benutzern auf Unternehmensressourcen zugegriffen wird.
Defender for Cloud Apps lässt sich außerdem nativ in Microsoft Purview Information Protection integrieren und ermöglicht so eine Inhaltsprüfung in Echtzeit, um vertrauliche Daten auf der Grundlage von Vertraulichkeitsbezeichnungen und -typen zu finden und entsprechende Maßnahmen zu ergreifen.
Dieser Leitfaden enthält Empfehlungen für diese Szenarien:
- Integrieren von SaaS-Apps in die IT-Verwaltung
- Optimieren des Schutzes für bestimmte SaaS-Apps
- Konfigurieren von Microsoft Purview Data Loss Prevention (DLP) zur Einhaltung von Datenschutzbestimmungen
Integrieren von SaaS-Apps in die IT-Verwaltung
Der erste Schritt bei der Verwendung von Defender for Cloud Apps zur Verwaltung von SaaS-Anwendungen besteht darin, diese zu erkennen und dann zu Ihrem Microsoft Entra-Mandanten hinzuzufügen. Wenn Sie Hilfe bei der Ermittlung benötigen, lesen Sie Entdecken und Verwalten von SaaS-Apps in Ihrem Netzwerk. Nachdem Sie Apps entdeckt haben, fügen Sie diese ihrem Microsoft Entra-Mandanten hinzu.
Sie können damit beginnen, diese zu verwalten, indem Sie die folgenden Schritte ausführen:
- Erstellen Sie zunächst in Microsoft Entra ID eine neue Richtlinie für bedingten Zugriff, und konfigurieren Sie sie für „Verwenden der App-Steuerung für bedingten Zugriff“. Dadurch wird die Anforderung an Defender for Cloud Apps umgeleitet. Sie können eine Richtlinie erstellen und alle SaaS-Apps zu dieser Richtlinie hinzufügen.
- Erstellen Sie als nächstes Sitzungsrichtlinien in Defender for Cloud Apps. Erstellen Sie eine Richtlinie für jedes Steuerelement, das Sie verwenden möchten.
Die Berechtigungen für SaaS-Apps basieren in der Regel auf der Geschäftsanforderung für den Zugriff auf die App. Diese Berechtigungen können sehr dynamisch sein. Durch die Verwendung von Defender for Cloud Apps-Gerätezugriffsrichtlinien wird der Schutz für App-Daten sichergestellt, unabhängig davon, ob Benutzerinnen und Benutzern eine Microsoft Entra-Gruppe zugewiesen ist, die dem Startpunkt, dem Unternehmen oder dem speziellen Sicherheitsschutz zugeordnet ist.
Um Daten in Ihrer Sammlung von SaaS-Apps zu schützen, veranschaulicht das folgende Diagramm die erforderliche Microsoft Entra-Richtlinie für bedingten Zugriff sowie vorgeschlagene Richtlinien, die Sie in Defender for Cloud Apps erstellen können. In diesem Beispiel gelten die in Defender for Cloud Apps erstellten Richtlinien für alle SaaS-Apps, die Sie verwalten. Diese sind so konzipiert, dass sie geeignete Kontrollen anwenden, je nachdem, ob Geräte verwaltet werden und welche Vertraulichkeitsbezeichnungen bereits auf Dateien angewendet werden.
In der folgenden Tabelle sind die neuen Richtlinien für den bedingten Zugriff aufgeführt, die Sie in Microsoft Entra ID erstellen müssen.
| Schutzebene | Policy | Weitere Informationen |
|---|---|---|
| Alle Schutzebenen | Verwenden der App-Steuerung für bedingten Zugriff in Defender for Cloud Apps | Dadurch wird Ihr IdP (Microsoft Entra ID) für die Arbeit mit Defender for Cloud Apps konfiguriert. |
In der nächsten Tabelle sind die oben gezeigten Beispielrichtlinien aufgeführt, die Sie erstellen können, um alle SaaS-Apps zu schützen. Achten Sie darauf, Ihre eigenen Geschäfts-, Sicherheits- und Complianceziele zu bewerten und dann Richtlinien zu erstellen, die den am besten geeigneten Schutz für Ihre Umgebung bieten.
| Schutzebene | Policy |
|---|---|
| Startpunkt | Überwachen des Datenverkehrs von nicht verwalteten Geräten Schutz für Dateidownloads von nicht verwalteten Geräten hinzufügen |
| Enterprise | Blockieren des Downloads von Dateien mit der Bezeichnung „vertraulich“ oder „geheim“ von nicht verwalteten Geräten (dies ermöglicht nur den Zugriff über den Browser) |
| Spezialisierte Sicherheit | Blockieren des Downloads von Dateien mit der Bezeichnung „geheim“ von allen Geräten (dies ermöglicht nur den Zugriff über den Browser) |
End-to-End-Anweisungen zum Einrichten der App-Steuerung für bedingten Zugriff finden Sie unter Bereitstellen der App-Steuerung für bedingten Zugriff für empfohlene Apps. Dieser Artikel führt Sie durch den Prozess der Erstellung der erforderlichen Richtlinie für bedingten Zugriff in Microsoft Entra ID und zum Testen Ihrer SaaS-Apps.
Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps.
Optimieren des Schutzes für bestimmte SaaS-Apps
Möglicherweise möchten Sie zusätzliche Überwachung und Kontrollen auf bestimmte SaaS-Apps in Ihrer Umgebung anwenden. Mit Defender for Cloud Apps können Sie dies erreichen. Wenn zum Beispiel eine Anwendung wie Box in Ihrer Umgebung intensiv genutzt wird, ist es sinnvoll, mehr Kontrollen anzuwenden. Wenn Ihre Rechts- oder Finanzabteilung eine bestimmte SaaS-App für vertrauliche Daten verwendet, können Sie diese Apps zusätzlich schützen.
Sie können zum Beispiel Ihre Box-Umgebung mit diesen Arten von integrierten Richtlinienvorlagen zur Erkennung von Anomalien schützen:
- Aktivitäten von anonymen IP-Adressen
- Aktivität aus seltenem/seltener Land/Region
- Aktivität von verdächtigen IP-Adressen
- Unmöglicher Ortswechsel
- Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra-ID als IdP)
- Malware detection
- Mehrere fehlerhafte Anmeldeversuche
- Ransomware-Aktivität
- Riskante Oauth-App
- Ungewöhnliche Dateifreigabeaktivität
Dies sind nur Beispiele. Zusätzliche Richtlinienvorlagen werden regelmäßig hinzugefügt. Beispiele zum Anwenden von zusätzlichem Schutz für bestimmte Apps finden Sie unter Schützen verbundener Apps.
Wie Defender for Cloud Apps dazu beiträgt, Ihre Box-Umgebung zu schützen, veranschaulicht die Arten von Kontrollen, mit denen Sie Ihre Geschäftsdaten in Box und anderen Apps mit vertraulichen Daten schützen können.
Konfigurieren der Data Loss Prevention (DLP) zur Einhaltung von Datenschutzbestimmungen
Defender for Cloud Apps kann ein wertvolles Tool zum Konfigurieren des Schutzes für Compliance-Vorschriften sein. In diesem Fall erstellen Sie spezifische Richtlinien, um nach bestimmten Daten zu suchen, für die eine Vorschrift gilt, und konfigurieren jede Richtlinie so, dass sie die entsprechenden Maßnahmen ergreift.
In der folgenden Abbildung und Tabelle finden Sie einige Beispiele für Richtlinien, die zur Einhaltung der Datenschutzgrundverordnung (DSGV) konfiguriert werden können. In diesen Beispielen achten die Richtlinien auf bestimmte Daten. Je nach Vertraulichkeit der Daten wird jede Richtlinie so konfiguriert, dass sie angemessene Maßnahmen ergreift.
| Schutzebene | Beispielrichtlinien |
|---|---|
| Startpunkt | Warnung, wenn Dateien, die diesen vertraulichen Informationstyp („Kreditkartennummer“) enthalten, außerhalb der Organisation weitergegeben werden Blockieren von Downloads von Dateien mit diesem vertraulichen Informationstyp („Kreditkartennummer“) auf nicht verwaltete Geräte |
| Enterprise | Schützen von Downloads von Dateien mit diesem vertraulichen Informationstyp („Kreditkartennummer“) auf verwaltete Geräte Blockieren von Downloads von Dateien mit diesem vertraulichen Informationstyp („Kreditkartennummer“) auf nicht verwaltete Geräte Warnung, wenn eine Datei mit einer dieser Bezeichnungen in OneDrive for Business oder Box hochgeladen wird (Kundendaten, Personalwesen: Gehaltsdaten, Personalwesen, Mitarbeiterdaten) |
| Spezialisierte Sicherheit | Warnung, wenn Dateien mit dieser Bezeichnung („Streng geheim“) auf verwaltete Geräte heruntergeladen werden Blockieren von Downloads von Dateien mit dieser Bezeichnung („Streng geheim“) auf nicht verwaltete Geräte |
Nächste Schritte
Weitere Informationen zur Verwendung von Defender for Cloud Apps finden Sie in der Dokumentation zu Microsoft Defender for Cloud Apps.