Tutorial: Entdecken und Verwalten der Schatten-IT

Wenn IT-Administratoren gefragt werden, wie viele Cloud-Apps ihre Mitarbeiter ihrer Meinung nach verwenden, sagen sie im Durchschnitt 30 oder 40, wenn in Wirklichkeit der Durchschnitt mehr als 1.000 separate Apps sind, die von Mitarbeitern in Ihrem organization verwendet werden. Schatten-IT hilft Ihnen zu wissen und zu identifizieren, welche Apps verwendet werden und wie Ihre Risikostufe ist. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die niemand überprüft hat, und sind möglicherweise nicht mit Ihren Sicherheits- und Compliancerichtlinien konform. Und da Ihre Mitarbeiter von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zugreifen können, reicht es nicht mehr aus, Regeln und Richtlinien für Ihre Firewalls zu haben.

In diesem Tutorial erfahren Sie, wie Sie cloud discovery verwenden, um zu ermitteln, welche Apps verwendet werden, um das Risiko dieser Apps zu untersuchen, Richtlinien zum Identifizieren neuer riskanter Apps zu konfigurieren, die verwendet werden, und wie Sie diese Apps aufheben, um sie nativ mithilfe Ihres Proxys oder Ihrer Firewall zu blockieren Anwendung

• Entdecken und Identifizieren der Schatten-IT
• Auswerten und Analysieren
• Ihre Apps verwalten
• Erweiterte Berichterstellung zur Schatten-IT-Ermittlung
• Steuern sanktionierter Apps

Tipp

Standardmäßig können Defender for Cloud Apps keine Apps ermitteln, die nicht im Katalog enthalten sind.

Um Defender for Cloud Apps Daten für eine App anzuzeigen, die derzeit nicht im Katalog enthalten ist, empfehlen wir Ihnen, unsere Roadmap zu überprüfen oder eine benutzerdefinierte App zu erstellen.

Ermitteln und Verwalten von Schatten-IT in Ihrem Netzwerk

Verwenden Sie diesen Prozess, um die Schatten-IT-Cloudermittlung in Ihrem organization.

Phase 1: Entdecken und Identifizieren der Schatten-IT

1. Schatten-IT entdecken: Ermitteln Sie den Sicherheitsstatus Ihrer organization, indem Sie Cloud Discovery in Ihrem organization ausführen, um zu sehen, was tatsächlich in Ihrem Netzwerk passiert. Weitere Informationen finden Sie unter Einrichten von Cloud Discovery. Dies kann mit einer der folgenden Methoden erfolgen:

   • Dank der Integration in Microsoft Defender for Endpoint können Sie Cloud Discovery schnell nutzen. Dank dieser nativen Integration können Sie sofort mit dem Sammeln von Daten im Clouddatenverkehr auf Ihren Windows 10 und Windows 11 Geräten auf und außerhalb Ihres Netzwerks beginnen.

   • Für die Abdeckung aller Geräte, die mit Ihrem Netzwerk verbunden sind, ist es wichtig, den Defender for Cloud Apps Protokollsammler in Ihren Firewalls und anderen Proxys bereitzustellen, um Daten von Ihren Endpunkten zu sammeln und zur Analyse an Defender for Cloud Apps zu senden.

   • Integrieren Sie Defender for Cloud Apps in Ihren Proxy. Defender for Cloud Apps lässt sich nativ in einige Proxys von Drittanbietern integrieren, einschließlich Zscaler.

   Da sich Richtlinien zwischen Benutzergruppen, Regionen und Geschäftsgruppen unterscheiden, sollten Sie für jede dieser Einheiten einen dedizierten Schatten-IT-Bericht erstellen. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter fortlaufender Berichte.

   Nachdem Cloud Discovery nun in Ihrem Netzwerk ausgeführt wird, sehen Sie sich die fortlaufenden Berichte an, die generiert werden, und sehen Sie sich die Cloud Discovery-Dashboard an, um ein vollständiges Bild davon zu erhalten, welche Apps in Ihrem organization verwendet werden. Es ist eine gute Idee, sie nach Kategorie zu betrachten, da Sie häufig feststellen werden, dass nicht sanktionierte Apps für legitime arbeitsbezogene Zwecke verwendet werden, die nicht von einer sanktionierten App adressiert wurden.

2. Identifizieren sie die Risikostufen Ihrer Apps: Verwenden Sie den Defender for Cloud Apps-Katalog, um tiefer in die Risiken einzutauchen, die mit den einzelnen ermittelten Apps verbunden sind. Der Defender für Cloud-App-Katalog enthält über 31.000 Apps, die anhand von über 90 Risikofaktoren bewertet werden. Die Risikofaktoren beginnen mit allgemeinen Informationen über die App (wo befindet sich der Hauptsitz der App, wer ist der Herausgeber) und über Sicherheitsmaßnahmen und -kontrollen (Unterstützung für die Verschlüsselung ruhender Daten bietet ein Überwachungsprotokoll der Benutzeraktivität). Weitere Informationen finden Sie unter Arbeiten mit Risikobewertung.

   • Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Cloud Discovery aus. Wechseln Sie dann zur Registerkarte Ermittelte Apps. Filtern Sie die Liste der in Ihrem organization ermittelten Apps nach den Risikofaktoren, die Sie betreffen. Beispielsweise können Sie erweiterte Filter verwenden, um alle Apps mit einer Risikobewertung unter 8 zu finden.

   • Sie können einen Drilldown in die App durchführen, um mehr über ihre Konformität zu erfahren, indem Sie den App-Namen und dann die Registerkarte Info auswählen, um Details zu den Sicherheitsrisikofaktoren der App anzuzeigen.

Phase 2: Auswerten und Analysieren

1. Evaluieren der Konformität: Überprüfen Sie, ob die Apps mit den Standards Ihrer organization wie HIPAA oder SOC2 zertifiziert sind.

   • Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Cloud Discovery aus. Wechseln Sie dann zur Registerkarte Ermittelte Apps. Filtern Sie die Liste der in Ihrem organization ermittelten Apps nach den Compliancerisikofaktoren, die Sie betreffen. Verwenden Sie beispielsweise die vorgeschlagene Abfrage, um nicht konforme Apps herauszufiltern.

   • Sie können einen Drilldown in die App durchführen, um mehr über deren Konformität zu erfahren, indem Sie den App-Namen und dann die Registerkarte Info auswählen, um Details zu den Compliancerisikofaktoren der App anzuzeigen.

2. Analysieren der Nutzung: Nachdem Sie nun wissen, ob die App in Ihrem organization verwendet werden soll, möchten Sie untersuchen, wie und von wem sie verwendet wird. Wenn es nur in einer eingeschränkten Weise in Ihrer organization ist es vielleicht in Ordnung, aber wenn die Verwendung wächst, möchten Sie darüber benachrichtigt werden, damit Sie entscheiden können, ob Sie die App blockieren möchten.

   • Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Cloud Discovery aus. Wechseln Sie dann zur Registerkarte Ermittelte Apps , und führen Sie einen Drilldown aus, indem Sie die app auswählen, die Sie untersuchen möchten. Auf der Registerkarte Nutzung erfahren Sie, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr sie generiert. Dies kann Ihnen bereits ein gutes Bild davon geben, was mit der App passiert. Wenn Sie dann sehen möchten, wer die App speziell verwendet, können Sie einen Drilldown durchführen, indem Sie Aktive Benutzer gesamt auswählen. Dieser wichtige Schritt kann Ihnen relevante Informationen liefern, z. B. wenn Sie feststellen, dass alle Benutzer einer bestimmten App aus der Marketingabteilung stammen, ist es möglich, dass eine geschäftliche Notwendigkeit für diese App besteht, und wenn es riskant ist, sollten Sie mit ihnen über eine Alternative sprechen, bevor Sie sie blockieren.

   • Tauchen Sie noch tiefer ein, wenn Sie die Verwendung von ermittelten Apps untersuchen. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, den Datenzugriff und die Ressourcennutzung in Ihren Clouddiensten zu erfahren. Weitere Informationen finden Sie unter Ausführliche Informationen zu ermittelten Apps und Ermitteln von Ressourcen und benutzerdefinierten Apps.

3. Identifizieren alternativer Apps: Verwenden Sie den Cloud-App-Katalog, um sicherere Apps zu identifizieren, die eine ähnliche Geschäftsfunktionalität wie die erkannten riskanten Apps erreichen, aber die Richtlinie Ihrer organization einhalten. Dazu können Sie die erweiterten Filter verwenden, um Apps in derselben Kategorie zu finden, die ihren unterschiedlichen Sicherheitskontrollen entsprechen.

Phase 3: Verwalten Ihrer Apps

• Verwalten von Cloud-Apps: Defender for Cloud Apps unterstützt Sie bei der Verwaltung der App-Verwendung in Ihrem organization. Nachdem Sie die verschiedenen Muster und Verhaltensweisen identifiziert haben, die in Ihrem organization verwendet werden, können Sie neue benutzerdefinierte App-Tags erstellen, um jede App gemäß ihrer geschäftlichen status oder Begründung zu klassifizieren. Diese Tags können dann für bestimmte Überwachungszwecke verwendet werden, z. B. um einen hohen Datenverkehr zu identifizieren, der an Apps geht, die als riskante Cloudspeicher-Apps gekennzeichnet sind. App-Tags können unter Einstellungen>Cloud-Apps>Cloud Discovery>App-Tags verwaltet werden. Diese Tags können später zum Filtern auf den Cloud Discovery-Seiten und zum Erstellen von Richtlinien verwendet werden.

• Verwalten von ermittelten Apps mit Microsoft Entra-Katalog: Defender for Cloud Apps verwendet auch die native Integration in Microsoft Entra ID, damit Sie Ihre ermittelten Apps in Microsoft Entra Gallery verwalten können. Für Apps, die bereits im Microsoft Entra-Katalog angezeigt werden, können Sie einmaliges Anmelden anwenden und die App mit Microsoft Entra ID verwalten. Wählen Sie dazu in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile und dann App mit Microsoft Entra ID verwalten aus.

  

• Kontinuierliche Überwachung: Nachdem Sie die Apps gründlich untersucht haben, möchten Sie möglicherweise Richtlinien festlegen, die die Apps überwachen und bei Bedarf steuern.

Jetzt ist es an der Zeit, Richtlinien zu erstellen, damit Sie automatisch benachrichtigt werden können, wenn etwas passiert, über das Sie besorgt sind. Sie können z. B. eine App-Ermittlungsrichtlinie erstellen, die Sie informiert, wenn es eine Spitze bei Downloads oder Datenverkehr von einer App gibt, über die Sie besorgt sind. Um dies zu erreichen, sollten Sie anormales Verhalten in der Richtlinie für ermittelte Benutzer, die Kompatibilitätsprüfung für Cloudspeicher-Apps und neue riskante App aktivieren. Sie sollten auch die Richtlinie so festlegen, dass Sie per E-Mail benachrichtigt werden. Weitere Informationen finden Sie unter Richtlinienvorlagenreferenz, weitere Informationen zu Cloud Discovery-Richtlinien und Konfigurieren von App-Ermittlungsrichtlinien.

Sehen Sie sich die Seite warnungen an, und verwenden Sie den Filter Richtlinientyp , um App-Ermittlungswarnungen anzuzeigen. Für Apps, die von Ihren App-Ermittlungsrichtlinien abgeglichen wurden, wird empfohlen, eine erweiterte Untersuchung durchzuführen, um mehr über die geschäftliche Begründung für die Verwendung der App zu erfahren, z. B. indem Sie die Benutzer der App kontaktieren. Wiederholen Sie dann die Schritte in Phase 2, um das Risiko der App zu bewerten. Bestimmen Sie dann die nächsten Schritte für die Anwendung, ob Sie die Verwendung in Zukunft genehmigen oder blockieren möchten, wenn ein Benutzer das nächste Mal darauf zugreift. In diesem Fall sollten Sie sie als nicht sanktioniert markieren, damit sie mithilfe Ihrer Firewall, Ihres Proxys oder ihres sicheren Webgateways blockiert werden kann. Weitere Informationen finden Sie unter Integrieren mit Microsoft Defender for Endpoint, Integrieren mit Zscaler, Integrieren mit iboss und Blockieren von Apps durch Exportieren eines Blockskripts.

Phase 4: Erweiterte Schatten-IT-Ermittlungsberichte

Zusätzlich zu den Berichtsoptionen in Defender for Cloud Apps können Sie Cloud Discovery-Protokolle zur weiteren Untersuchung und Analyse in Microsoft Sentinel integrieren. Sobald sich die Daten in Microsoft Sentinel, können Sie sie in Dashboards anzeigen, Abfragen mithilfe der Kusto-Abfragesprache ausführen, Abfragen in Microsoft Power BI exportieren, in andere Quellen integrieren und benutzerdefinierte Warnungen erstellen. Weitere Informationen finden Sie unter Microsoft Sentinel Integration.

Phase 5: Steuern sanktionierter Apps

1. Um die App-Steuerung über APIs zu aktivieren, verbinden Sie Apps über die API für die kontinuierliche Überwachung.

2. Schützen sie Apps mithilfe der App-Steuerung für bedingten Zugriff.

Die Natur von Cloud-Apps bedeutet, dass sie täglich aktualisiert werden und ständig neue Apps angezeigt werden. Aus diesem Hintergrund verwenden Mitarbeiter ständig neue Apps, und es ist wichtig, Ihre Richtlinien weiterhin zu verfolgen, zu überprüfen und zu aktualisieren, welche Apps Ihre Benutzer verwenden sowie deren Nutzungs- und Verhaltensmuster. Sie können jederzeit zur Cloud Discovery-Dashboard wechseln und sehen, welche neuen Apps verwendet werden. Befolgen Sie die Anweisungen in diesem Artikel erneut, um sicherzustellen, dass Ihre organization und Ihre Daten geschützt sind.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.

Weitere Informationen

• Testen Sie unseren interaktiven Leitfaden: Entdecken und Verwalten der Nutzung von Cloud-Apps mit Microsoft Defender for Cloud Apps