Untersuchen von Defender für Cloud-Apps

  • 5 Minuten

Apps in Microsoft Teams ermöglichen es Ihnen, zusätzliche Funktionen zu nutzen, Ihre Erfahrung zu verbessern und Teams für sich arbeiten zu lassen, indem Sie Ihre bevorzugten Dienste von Microsoft und Drittanbietern hinzufügen.

In der modernen Geschäftsumgebung möchten Benutzer häufig eigene Geräte für den Zugriff auf Ihre Systeme verwenden. Sie können Apps aus App Stores und anderen Speicherorten herunterladen und verwenden, die Sie nicht direkt steuern können. Sie müssen sicherstellen, dass solche Praktiken Ihre sensiblen und geschäftskritischen Daten nicht gefährden. Defender für Cloud-Apps kann bei dieser Aufgabe hilfreich sein.

Was ist Defender für Cloud-Apps?

Microsoft Defender für Cloud-Apps ist ein Cloud Access Security Broker. Es ist eine Schicht zwischen den Cloudanwendungen und den Benutzern von Cloudanwendungen. Microsoft Defender für Cloud-Apps wurde für Sicherheitsexperten entwickelt, die Aktivitäten zentral überwachen und Sicherheitsrichtlinien durchsetzen müssen.

Microsoft Defender für Cloud-Apps lässt sich nativ in führende Microsoft-Lösungen integrieren. Sie bietet Transparenz über die verwendeten Apps, Kontrolle über den Datenverkehr und Analysen zur Erkennung und Bekämpfung von Cyber-Bedrohungen.

Screenshot des Defender for Cloud Apps-Dashboards.

Das Defender for Cloud Apps-Framework

Defender for Cloud Apps verwendet ein vierstufiges Framework:

  • Entdecken und steuern Sie die Verwendung von Schatten-IT: Ermitteln Sie Cloud-Apps, IaaS- und PaaS-Dienste, die von Ihrer Organisation verwendet werden. Untersuchen Sie Nutzungsmuster, bewerten Sie das Risikoniveau und die Geschäftsbereitschaft von mehr als 25.000 SaaS-Apps anhand von mehr als 80 Risiken. Beginnen Sie mit der Verwaltung, um Sicherheit und Compliance zu gewährleisten.

  • Schützen Sie Ihre vertraulichen Informationen überall in der Cloud: Sie können ruhende vertrauliche Informationen ermitteln, klassifizieren und schützen. Nutzen Sie sofort einsatzbereite Richtlinien und automatisierte Prozesse, um Steuerelemente in allen Cloud-Apps in Echtzeit anzuwenden.

  • Schutz vor Cyberbedrohungen und Anomalien: Erkennen Sie ungewöhnliches Verhalten in Cloud-Apps, um Ransomware, kompromittierte Benutzer oder bösartige Anwendungen zu identifizieren, analysieren Sie risikoreiche Nutzung und beheben Sie automatisch, um das Risiko für Ihr Unternehmen zu begrenzen.

  • Bewerten Sie die Konformität Ihrer Cloud-Apps: Bewerten Sie, ob Ihre Cloud-Apps die relevanten Compliance-Anforderungen erfüllen, einschließlich der Einhaltung gesetzlicher Vorschriften und Branchenstandards. Verhindern Sie Datenlecks an nicht konforme Apps und beschränken Sie den Zugriff auf regulierte Daten.

Architektur

Defender für Cloud-Apps bietet Folgendes:

  • Cloud Discovery: Verwenden Sie Cloud Discovery, um Ihre Cloud-Umgebung und die von Ihrem Unternehmen verwendeten Cloud-Apps abzubilden und zu identifizieren.

  • Sanktionieren oder Aufheben der Sanktionierung von Apps: Apps sollten sanktioniert oder deren Sanktionierung aufgehoben werden, nachdem Sie die Liste der entdeckten Apps in Ihrer Umgebung überprüft haben. Sichern Sie Ihre Umgebung, indem Sie sichere Apps genehmigen oder unerwünschte Apps verbieten oder deren Freigabe verhindern.

  • App-Konnektoren: Stellen Sie App-Konnektoren bereit, die die APIs von App-Anbietern verwenden, um Defender for Cloud Apps Transparenz und Kontrolle über die Apps zu geben, mit denen Sie sich verbinden.

  • App-Steuerung für bedingten Zugriff: Bietet Echtzeitschutz, Transparenz und Kontrolle über den Zugriff und die Aktivitäten in Ihren Cloud-Apps. Sitzungssteuerelemente in Defender für Cloud-Apps funktionieren mit den empfohlenen Apps.

  • Richtlinien: Ermöglicht es Ihnen, festzulegen, wie sich Benutzer in der Cloud verhalten sollen. Sie können riskantes Verhalten, Verletzungen oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung erkennen. Bei Bedarf können Sie Fehlerbehebungsabläufe integrieren, um eine vollkommen Risikominderung zu erreichen.

Diagramm, das die in einer Organisation verwendeten Defender für Cloud-Apps zeigt.

App-Steuerung für bedingten Zugriff

Um die Steuerung der empfohlenen Apps durch die App-Steuerung für bedingten Zugriff von Microsoft Defender für Cloud-Apps zu ermöglichen, gibt es vier Schritte:

  1. Konfigurieren Sie Ihren Identitätsanbieter (IdP) für die Arbeit mit Defender für Cloud-Apps.

  2. Melden Sie sich bei jeder App mit einem Benutzer an, der auf die Richtlinie beschränkt ist.

  3. Vergewissern Sie sich, dass die Apps für Verwendung von Zugriffs- und Sitzungssteuerelementen konfiguriert sind.

  4. Testen Sie die Bereitstellung.

Außerdem müssen Sie über Microsoft Entra ID P1 oder höher oder über die für Ihre Identitätsanbieterlösung (IdP) erforderliche Lizenz und Lizenzen für Microsoft App Security verfügen.

Richtliniensteuerung

Mit Richtlinien können Sie definieren, wie sich die Benutzer in der Cloud verhalten sollen. Die Richtlinien ermöglichen es Ihnen, riskantes Verhalten, Verletzungen oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung zu erkennen. Sie können Wartungsworkflows integrieren, um Risiken zu minimieren. Es gibt mehrere Richtlinientypen, die sich auf die verschiedenen Arten von Informationen, die Sie über Ihre Cloudumgebung sammeln möchten, und die Arten von Fehlerbehebungsmaßnahmen, die Sie möglicherweise ergreifen werden, beziehen. Dazu gehören:

  • Eine Bedrohung der Datenverletzung in Quarantäne stellen.

  • Blockieren der Verwendung einer riskanten Cloud-App durch Ihre Organisation.

Weitere Informationen finden Sie unter:

Planen und Konfigurieren von Bedrohungsrichtlinien in Microsoft Defender XDR

Die technische Einführung für die Implementierung von Bedrohungsschutz und XDR umfasst Folgendes:

  • Einrichten der Suite von XDR-Tools, die von Microsoft für Folgendes bereitgestellt werden:

    • Durchführen der Reaktion auf Vorfälle, um Angriffe zu erkennen und zu verhindern.

    • Suchen Sie proaktiv nach Bedrohungen.

    • Automatische Erkennung und Reaktion auf bekannte Angriffe.

    • Integration von Microsoft Defender XDR und Microsoft Sentinel.

    • Definieren von SecOps-Prozessen und -Verfahren für die Reaktion und Wiederherstellung von Vorfällen.

  • Die Implementierung von Bedrohungsschutz und XDR umfasst auch einige verwandte Aktivitäten, darunter:

  • Verwenden Sie die XDR-Tools, um sowohl Ihre unternehmenskritischen als auch Ihre Honeypot-Ressourcen zu überwachen, die Sie im Artikel Prävention und Wiederherstellung von Sicherheitsverletzungen implementiert haben, um Angreifer dazu zu bringen, ihre Anwesenheit zu zeigen, bevor sie Ihre tatsächlichen Ressourcen angreifen können.

  • Weiterentwickeln Ihres SecOps-Teams, um die neuesten Angriffe und deren Methoden zu kennen. Viele Organisationen können einen vierstufigen Ansatz für diese Bereitstellungsziele verfolgen, der in der folgenden Tabelle zusammengefasst ist.

Stufe 1 Stufe 2 Stufe 3 Stufe 4
Aktivieren Sie XDR-Tools:
– Defender für Endpunkt
– Defender for Office 365
– Microsoft Entra ID Protection
– Defender for Identity
– Defender for Cloud Apps

Untersuchen und Reagieren auf Bedrohungen mithilfe von Microsoft Defender XDR		 Aktivieren von Defender für Cloud

Definieren des internen Prozesses für SecOps

Überwachen von unternehmenskritischen Ressourcen und Honeypotressourcen mit XDR-Tools		 Aktivieren von Defender für IoT

Entwerfen eines Microsoft Sentinel Arbeitsbereichs und Erfassen von XDR-Signalen

Vorbeugende Suche nach Bedrohungen		 Entwickeln Sie SecOps als Disziplin in Ihrem organization

Nutzen sie die Automatisierung, um die Auslastung Ihrer SecOps-Analysten zu reduzieren

Nach Phase 4 sind die nächsten Phasen die Phasen Bereit, Übernehmen, Steuern und Verwalten.

Weitere Informationen finden Sie unter Implementieren von Bedrohungsschutz und XDR.