Managerüberprüfung für Microsoft Defender for Cloud Apps-Warnungen anfordern

  • 8 Minuten

Alle Sicherheitswarnungen könnten an Ihr SOC-Team (Security Operations Center) gesendet werden. Allerdings könnte dieses dann mit Warnungen überschwemmt werden, die durch einfache Fehler normaler Benutzer generiert wurden, statt durch echte böswillige Angriffe. Durch das Senden bestimmter Arten von Warnungen an Linienmanager zur Prüfung könnte die Arbeitsauslastung im SOC-Team verringert werden.

Beispielsweise sind fehlgeschlagene Anmeldeversuche häufig ein Symptom dafür, dass jemand in böswilliger Absicht auf Ihr System zuzugreifen versucht. Aber auch ein typischer Benutzer, der sein Kennwort vergessen hat, verursacht wahrscheinlich mehrere fehlgeschlagene Anmeldeversuche. Statt fehlgeschlagene Anmeldeversuche direkt an Ihr SOC-Team zu senden, könnten sie zuerst zur Genehmigung an einen Vorgesetzten gesendet werden.

Anfordern einer Managerüberprüfung für fehlgeschlagene Anmeldeversuche mit Power Automate

Führen Sie die folgenden Schritte aus, um eine Managerüberprüfung für fehlgeschlagene Anmeldeversuche mit Power Automate anzufordern:

  1. Erstellen Sie einen Flow in Power Automate, um die Warnung zu verarbeiten.

    Power Automate-Flow.

  2. Diese Warnung sollte mehrere Komponenten enthalten:

    1. Der Flow wird ausgelöst, wenn eine Microsoft Defender für Cloud Apps-Warnung generiert wird.

    2. Der Flow sammelt Benutzerinformationen aus ihrem Profil und Microsoft Entra ID.

    3. Der Flow fordert per E-Mail Eingaben des Vorgesetzten an und bietet Optionen, wie der Vorgesetzte auf die Warnung reagieren kann.

      Anforderung von Managereingaben.

    4. Es gibt einen Schalter, der die Eingabe des Vorgesetzten analysiert und entsprechend der vom Vorgesetzten gewählten Aktion handelt.

    5. Der Schalter schließt die Microsoft Defender für Cloud Apps-Warnung, wenn der Manager Warnung ignorieren auswählt.

      Warnung schließen.

  3. Erstellen Sie eine Richtlinie in Microsoft Defender für Cloud-Apps, die filtert, sodass nur wiederholte Aktivitäten mit einem Aktivitätstyp gleich fehlgeschlagene Anmeldungausgeführt werden.

    Erstellen Sie Filter für die Richtlinie.

  4. Wählen Sie in Warnungen die Option Warnung für jedes übereinstimmende Ereignis mit dem Schweregrad der Richtlinie erstellen, wählen Sie Warnungen an Power Automate senden aus, und wählen Sie den Power Automate-Flow aus, den Sie erstellt haben, um diese Warnungen zu verarbeiten.

    Warnungen.

Im folgenden Video erhalten Sie eine Übersicht über die Anforderung einer Managerüberprüfung für Microsoft Defender für Cloud Apps-Warnungen: