Selektierung seltener Landes-/Regionsanforderungen mit Microsoft Defender for Cloud Apps und Microsoft Sentinel
Wenn Verbindungen mit Cloud-Apps aus ungewöhnlichen Ländern/Regionen stammen, ist dies häufig ein Zeichen dafür, dass es sich um eine Art Von Angriff handeln könnte. Daher gibt es Systeme in Microsoft Defender for Cloud Apps, um ungewöhnliche Länder-/Regionsanforderungen zu blockieren. In den meisten Szenarien ist dies ein nützliches Feature, manchmal ist es jedoch auch nicht hilfreich. Stellen Sie sich ein Szenario vor, bei dem ein leitender Mitarbeiter seinen Jahresurlaub weit weg von zuhause auf einer tropischen Insel verbringt. Während seiner Abwesenheit möchte einer der wichtigsten Kunden der Organisation eine große Last-Minute-Bestellung platzieren. Die leitende Führungskraft muss eine Bestellung dieser Größe genehmigen, aber sie wird für die Auftrags-App blockiert, da sie sich in einem ungewöhnlichen Land/einer ungewöhnlichen Region befinden.
Sie können Power Automate implementieren, um die Komplexität der Antwort auf eine seltene Anforderung in Land/Region zu erhöhen, aber manchmal benötigen Sie mehr Kontrolle über die Antwort und mehr Informationen aus der Warnung. Durch die Implementierung eines Microsoft Sentinel-Playbooks, das durch die Microsoft Defender for Cloud Apps seltenen Länder-/Regionsanforderungswarnung ausgelöst wird, können Sie APIs aufrufen, um Informationen über das Benutzerkonto, ihre abwesenheitsbasierten status und die Microsoft Defender for Cloud Apps warnung oder andere informationen, die nützlich wären.
Nachdem Sie alle erforderlichen Informationen gesammelt haben, können Sie Logik implementieren, um die Warnung in Microsoft Defender for Cloud Apps automatisch aufzulösen.
Mit Microsoft Sentinel haben Sie die Möglichkeit, dem seltenen Anforderungsprozess für Land/Region eine präzise Steuerung hinzuzufügen. Sie können z. B. die automatische Auflösung von Mitgliedern von Administratorgruppen ausschließen, da ein zusätzliches Risiko für Ihre Systeme besteht, wenn diese Konten kompromittiert werden.
Das folgende Video enthält Details zur Verwendung von Microsoft Sentinel zum Hinzufügen von Raffinesse zu einer Microsoft Defender for Cloud Apps seltenen Anforderungswarnung für Land/Region: