Freigeben über

Erstellen von App-Richtlinien in der App-Governance

  • Artikel

Zusammen mit einem integrierten Satz von Funktionen zum Erkennen von anomalen App-Verhalten und Generieren von Warnungen basierend auf Machine Learning-Algorithmen ermöglichen Richtlinien in App-Governance Folgendes:

  • Geben Sie Bedingungen an, anhand derer App-Governance Sie über das App-Verhalten für automatische oder manuelle Korrekturen warnt.

  • Erzwingen Sie die App-Konformitätsrichtlinien für Ihre organization.

Verwenden Sie App-Governance, um OAuth-Richtlinien für Apps zu erstellen, die mit Microsoft Entra ID, Google Workspace und Salesforce verbunden sind.


Erstellen von OAuth-App-Richtlinien für Microsoft Entra ID

Für Apps, die mit Microsoft Entra ID verbunden sind, erstellen Sie App-Richtlinien aus bereitgestellten Vorlagen, die angepasst werden können, oder erstellen Sie Eine eigene benutzerdefinierte App-Richtlinie.

  1. Um eine neue App-Richtlinie für Azure AD-Apps zu erstellen, wechseln Sie zu Microsoft Defender XDR > App-Governancerichtlinien >> Azure AD.

    Zum Beispiel:

    Screenshot der Registerkarte

  2. Wählen Sie die Option Neue Richtlinie erstellen aus, und führen Sie dann einen der folgenden Schritte aus:

    • Um eine neue App-Richtlinie aus einer Vorlage zu erstellen, wählen Sie die relevante Vorlagenkategorie gefolgt von der Vorlage in dieser Kategorie aus.
    • Wählen Sie zum Erstellen einer benutzerdefinierten Richtlinie die Kategorie Benutzerdefiniert aus.

    Zum Beispiel:

    Screenshot: Seite

App-Richtlinienvorlagen

Um eine neue App-Richtlinie basierend auf einer App-Richtlinienvorlage zu erstellen, wählen Sie auf der Seite App-Richtlinienvorlage auswählen eine App-Vorlagenkategorie, anschließend den Namen der Vorlage und dann Weiter aus.

In den folgenden Abschnitten werden die Kategorien von App-Richtlinienvorlagen beschrieben.

Verwendung

In der folgenden Tabelle sind die App-Governancevorlagen aufgeführt, die zum Generieren von Warnungen für die App-Nutzung unterstützt werden.

Vorlagenname Beschreibung
Neue App mit hoher Datennutzung Suchen Sie mithilfe von Graph-API nach neu registrierten Apps, die große Datenmengen hochgeladen oder heruntergeladen haben. Diese Richtlinie überprüft die folgenden Bedingungen:

  • Registrierungsalter: Sieben Tage oder weniger (anpassbar)
  • Datennutzung: Mehr als 1 GB an einem Tag (anpassbar)
    		•
    Zunahme der Benutzer Finden Sie Apps mit einer beträchtlichen Erhöhung der Anzahl der Benutzer. Diese Richtlinie überprüft die folgenden Bedingungen:

  • Zeitbereich: Letzte 90 Tage
  • Zunahme der zustimmungsfähigen Benutzer: Mindestens 50 % (anpassbar)
    		•

    Berechtigungen

    In der folgenden Tabelle sind die App-Governancevorlagen aufgeführt, die zum Generieren von Warnungen für App-Berechtigungen unterstützt werden.

    Vorlagenname Beschreibung
    Überprivilegierte App Suchen Sie Apps, die nicht Graph-API Berechtigungen besitzen. Diesen Apps wurden Berechtigungen erteilt, die für die regelmäßige Verwendung nicht erforderlich sein könnten.
    Neue App mit hohen Berechtigungen Suchen Sie nach neu registrierten Apps, denen Schreibzugriff und andere leistungsstarke Graph-API-Berechtigungen gewährt wurden. Diese Richtlinie überprüft die folgenden Bedingungen:

  • Registrierungsalter: Sieben Tage oder weniger (anpassbar)
    		•
    Neue App mit nicht Graph-API Berechtigungen Suchen sie nach neu registrierten Apps, die über Berechtigungen für Nicht-Graph-APIs verfügen. Diese Apps können Risiken ausgesetzt sein, wenn die APIs, auf die sie zugreifen, eingeschränkten Support und Updates erhalten.
    Diese Richtlinie überprüft die folgenden Bedingungen:

  • Registrierungsalter: Sieben Tage oder weniger (anpassbar)
  • Nicht Graph-API Berechtigungen: Ja
    		•

    Zertifizierung

    In der folgenden Tabelle sind die App-Governancevorlagen aufgeführt, die zum Generieren von Warnungen für die Microsoft 365-Zertifizierung unterstützt werden.

    Vorlagenname Beschreibung
    Neue, nicht zertifizierte App Suchen Sie nach neu registrierten Apps ohne Herausgebernachweis oder Microsoft 365-Zertifizierung. Diese Richtlinie überprüft die folgenden Bedingungen:

  • Registrierungsalter: Sieben Tage oder weniger (anpassbar)
  • Zertifizierung: Keine Zertifizierung (anpassbar)
    		•

    Benutzerdefinierte Richtlinien

    Verwenden Sie eine benutzerdefinierte App-Richtlinie für Aktionen, die nicht bereits von einer der integrierten Vorlagen ausgeführt werden.

    1. Wählen Sie zum Erstellen einer neuen benutzerdefinierten App-Richtlinie zuerst auf der Seite Richtlinien die Option Neue Richtlinie erstellen aus. Wählen Sie auf der Seite App-Richtlinienvorlage auswählen die Kategorie Benutzerdefiniert, die Vorlage Benutzerdefinierte Richtlinie und dann Weiter aus.

    2. Konfigurieren Sie auf der Seite Name und Beschreibung Folgendes:

      • Richtlinienname
      • Richtlinienbeschreibung
      • Wählen Sie den Richtlinienschweregrad aus, der den Schweregrad der von dieser Richtlinie generierten Warnungen festlegt.
        • High
        • Medium
        • Niedrig

    3. Wählen Sie auf der Seite Richtlinieneinstellungen und -bedingungen auswählen für Auswählen, für welche Apps diese Richtlinie gilt Folgendes aus:

      • Alle Apps
      • Bestimmte Apps auswählen
      • Alle Apps außer

    4. Wenn Sie bestimmte Apps oder alle Apps mit Ausnahme dieser Richtlinie auswählen, wählen Sie Apps hinzufügen und dann die gewünschten Apps aus der Liste aus. Im Bereich Apps auswählen können Sie mehrere Apps auswählen, für die diese Richtlinie gilt, und dann Hinzufügen auswählen. Wählen Sie Weiter aus, wenn Sie mit der Liste zufrieden sind.

    5. Wählen Sie Bedingungen bearbeiten aus. Wählen Sie Bedingung hinzufügen und dann eine Bedingung aus der Liste aus. Legen Sie den gewünschten Schwellenwert für die ausgewählte Bedingung fest. Wiederholen Sie den Vorgang, um weitere Bedingungen hinzuzufügen. Wählen Sie Speichern aus, um die Regel zu speichern, und wenn Sie mit dem Hinzufügen von Regeln fertig sind, wählen Sie Weiter aus.

      Hinweis

      Einige Richtlinienbedingungen gelten nur für Apps, die auf Graph-API Berechtigungen zugreifen. Beim Auswerten von Apps, die nur auf Nicht-Graph-APIs zugreifen, überspringt die App-Governance diese Richtlinienbedingungen und überprüft nur andere Richtlinienbedingungen.

    6. Dies sind die verfügbaren Bedingungen für eine benutzerdefinierte App-Richtlinie:

      Bedingung Akzeptierte Bedingungswerte Beschreibung Weitere Informationen
      Registrierungsalter Innerhalb der letzten x Tage Apps, die innerhalb eines angegebenen Zeitraums ab dem aktuellen Datum für Microsoft Entra ID registriert wurden
      Zertifizierung Keine Zertifizierung, Herausgeber bestätigt, Microsoft 365 Zertifiziert Apps, die microsoft 365 certified sind, über einen Herausgebernachweisbericht verfügen oder keines von beiden Microsoft 365-Zertifizierung
      Herausgeber verifiziert Ja oder Nein Apps mit verifizierten Herausgebern Herausgeberüberprüfung
      Anwendungsberechtigungen (nur Graph) Auswählen einer oder mehrerer API-Berechtigungen aus der Liste Apps mit bestimmten Graph-API Berechtigungen, die direkt gewährt wurden Microsoft Graph-Berechtigungsreferenz
      Delegierte Berechtigungen (nur Graph) Auswählen einer oder mehrerer API-Berechtigungen aus der Liste Apps mit bestimmten Graph-API Berechtigungen, die von einem Benutzer erteilt werden Microsoft Graph-Berechtigungsreferenz
      Hochprivilegiert (nur Graph) Ja oder Nein Apps mit relativ leistungsstarken Graph-API Berechtigungen Eine interne Bezeichnung, die auf der gleichen Logik basiert, die von Defender for Cloud Apps verwendet wird.
      Überprivilegiert (nur Graph) Ja oder Nein Apps mit nicht verwendeten Graph-API-Berechtigungen Apps, denen mehr Berechtigungen gewährt wurden, als von ihnen verwendet werden.
      Nicht-Graph-API-Berechtigungen Ja oder Nein Apps mit Berechtigungen für Nicht-Graph-APIs. Diese Apps können Risiken ausgesetzt sein, wenn die APIs, auf die sie zugreifen, eingeschränkten Support und Updates erhalten.
      Datennutzung (nur Graph) Mehr als X GB an Daten, die pro Tag heruntergeladen und hochgeladen werden Apps, die mehr als eine angegebene Datenmenge gelesen und geschrieben haben, verwenden Graph-API
      Datennutzungstrend (nur Graph) X % Anstieg der Datennutzung im Vergleich zum Vortag Apps, deren Daten mithilfe von Graph-API gelesen und geschrieben werden, haben sich im Vergleich zum Vortag um einen angegebenen Prozentsatz erhöht.
      API-Zugriff (nur Graph) Api-Aufrufe von mehr als X pro Tag Apps, die eine angegebene Anzahl von Graph-API Anrufen an einem Tag durchgeführt haben
      API-Zugriffstrend (nur Graph) X % Anstieg der API-Aufrufe im Vergleich zum Vortag Apps, deren Anzahl von Graph-API Anrufen im Vergleich zum Vortag um einen angegebenen Prozentsatz gestiegen ist
      Anzahl der zustimmenden Benutzer (Größer als oder kleiner als) x Benutzer, die zugestimmt haben Apps, denen von einer größeren oder weniger Anzahl von Benutzern als angegeben die Zustimmung erteilt wurde
      Zunahme der zustimmungswilligen Benutzer X % Zunahme der Benutzer in den letzten 90 Tagen Apps, deren Anzahl der zustimmenden Benutzer in den letzten 90 Tagen um einen angegebenen Prozentsatz gestiegen ist
      Zustimmung des Prioritätskontos erteilt Ja oder Nein Apps, denen die Zustimmung von Prioritätsbenutzern erteilt wurde Benutzer mit einem Prioritätskonto.
      Namen der zustimmenden Benutzer Auswählen von Benutzern aus der Liste Apps, denen bestimmte Benutzer ihre Zustimmung erteilt haben
      Rollen der zustimmenden Benutzer Auswählen von Rollen aus der Liste Apps, denen Benutzer mit bestimmten Rollen die Zustimmung erteilt haben Mehrfachauswahl zulässig.

      Jede Microsoft Entra Rolle mit zugewiesenem Mitglied sollte in dieser Liste verfügbar gemacht werden.
      Zugriff auf Vertraulichkeitsbezeichnungen Auswählen einer oder mehrerer Vertraulichkeitsbezeichnungen aus der Liste Apps, die in den letzten 30 Tagen auf Daten mit bestimmten Vertraulichkeitsbezeichnungen zugegriffen haben.
      Dienste, auf die zugegriffen wird (nur Graph) Exchange und/oder OneDrive und/oder SharePoint und/oder Teams Apps, die über Graph-API auf OneDrive, SharePoint oder Exchange Online zugegriffen haben Mehrfachauswahl zulässig.
      Fehlerrate (nur Graph) Die Fehlerrate ist in den letzten sieben Tagen größer als X %. Apps, deren Graph-API Fehlerraten in den letzten sieben Tagen größer als ein angegebener Prozentsatz sind

      Alle angegebenen Bedingungen müssen erfüllt sein, damit diese App-Richtlinie eine Warnung generiert.

    7. Wenn Sie mit der Angabe der Bedingungen fertig sind, wählen Sie Speichern und dann Weiter aus.

    8. Wählen Sie auf der Seite Richtlinienaktionen definieren die Option App deaktivieren aus, wenn die App-Governance die App deaktivieren soll, sobald eine Warnung basierend auf dieser Richtlinie generiert wird, und wählen Sie dann Weiter aus. Gehen Sie beim Ergreifen von Maßnahmen vorsichtig vor, da sich eine Richtlinie auf Benutzer und die legitime App-Nutzung auswirken kann.

    9. Wählen Sie auf der Seite Richtlinienstatus definieren eine der folgenden Optionen aus:

      • Überwachungsmodus: Richtlinien werden ausgewertet, aber konfigurierte Aktionen werden nicht ausgeführt. Richtlinien für den Überwachungsmodus werden in der Liste der Richtlinien mit dem Status Überwachung angezeigt. Sie sollten den Überwachungsmodus zum Testen einer neuen Richtlinie verwenden.
      • Aktiv: Richtlinien werden ausgewertet, und die konfigurierten Aktionen werden ausgeführt.
      • Inaktiv: Richtlinien werden nicht ausgewertet, und konfigurierte Aktionen werden nicht ausgeführt.

    10. Überprüfen Sie sorgfältig alle Parameter Ihrer benutzerdefinierten Richtlinie. Wählen Sie Absenden aus, wenn Sie zufrieden sind. Sie können auch zurückkehren und Einstellungen ändern, indem Sie unter einer der Einstellungen Bearbeiten auswählen.

    Testen und Überwachen Ihrer neuen App-Richtlinie

    Nachdem Ihre App-Richtlinie nun erstellt wurde, sollten Sie sie auf der Seite Richtlinien überwachen, um sicherzustellen, dass während des Tests eine erwartete Anzahl aktiver Warnungen und gesamter Warnungen registriert werden.

    Screenshot der Zusammenfassungsseite für App-Governance-Richtlinien in Microsoft Defender XDR mit einer hervorgehobenen Richtlinie.

    Wenn die Anzahl der Warnungen unerwartet niedrig ist, bearbeiten Sie die Einstellungen der App-Richtlinie, um sicherzustellen, dass Sie sie ordnungsgemäß konfiguriert haben, bevor Sie ihren Status festlegen.

    Hier sehen Sie ein Beispiel für einen Prozess zum Erstellen einer neuen Richtlinie, zum Testen und anschließenden Aktivieren:

    1. Erstellen Sie die neue Richtlinie mit Schweregrad, Apps, Bedingungen und Aktionen, legen Sie Ausgangswerte fest, und setzen Sie den Status auf Überwachungsmodus.
    2. Überprüfen Sie auf erwartetes Verhalten, z. B. generierte Warnungen.
    3. Wenn das Verhalten nicht erwartet wird, bearbeiten Sie die Richtlinien-Apps, Bedingungen und Aktionseinstellungen nach Bedarf, und fahren Sie mit Schritt 2 fort.
    4. Wenn das Verhalten den Erwartungen entspricht, bearbeiten Sie die Richtlinie, und ändern Sie ihren Status in Aktiv.

    Das folgende Flussdiagramm zeigt z. B. die erforderlichen Schritte:

    Diagramm des Workflows zum Erstellen von App-Richtlinien.

    Erstellen einer neuen Richtlinie für OAuth-Apps, die mit Salesforce und Google Workspace verbunden sind

    Richtlinien für OAuth-Apps lösen Warnungen nur für Richtlinien aus, die von Benutzern im Mandanten autorisiert werden.

    So erstellen Sie eine neue App-Richtlinie für Salesforce, Google und andere Apps:

    1. Wechseln Sie zu Microsoft Defender XDR > App-Governancerichtlinien >> Andere Apps. Zum Beispiel:

      Erstellen anderer Apps-Richtlinien

    2. Filtern Sie die Apps nach Ihren Anforderungen. Sie können beispielsweise alle Apps anzeigen, die die Berechtigung zum Ändern von Kalendern in Ihrem Postfach anfordern.

      Tipp

      Verwenden Sie den Community-Nutzungsfilter , um Informationen darüber abzurufen, ob das Zulassen von Berechtigungen für diese App üblich, ungewöhnlich oder selten ist. Dieser Filter kann hilfreich sein, wenn Sie über eine app verfügen, die selten ist und eine Berechtigung anfordert, die einen hohen Schweregrad aufweist oder die Berechtigung von vielen Benutzern anfordert.

    3. Möglicherweise möchten Sie die Richtlinie basierend auf den Gruppenmitgliedschaften der Benutzer festlegen, die die Apps autorisiert haben. Beispielsweise kann ein Administrator entscheiden, eine Richtlinie festzulegen, die ungewöhnliche Apps widerruft, wenn er hohe Berechtigungen anfragt, nur wenn der Benutzer, der die Berechtigungen autorisiert hat, Mitglied der Gruppe "Administratoren" ist.

    Zum Beispiel:

    neue OAuth-App-Richtlinie.

    Richtlinien zur Anomalieerkennung für OAuth-Apps, die mit Salesforce und Google Workspace verbunden sind

    Zusätzlich zu den Oauth-App-Richtlinien, die Sie erstellen können, bieten Defender für Cloud-Apps sofort einsatzbereite Richtlinien zur Anomalieerkennung, die Metadaten von OAuth-Apps profilieren, um potenziell schädliche Apps zu identifizieren.

    Dieser Abschnitt ist nur für Salesforce- und Google Workspace-Anwendungen relevant.

    Hinweis

    Richtlinien zur Anomalieerkennung sind nur für OAuth-Apps verfügbar, die in Ihrem Microsoft Entra ID autorisiert sind. Der Schweregrad der OAuth-App-Richtlinien zur Erkennung von Anomalien kann nicht geändert werden.

    In der folgenden Tabelle werden die standardmäßigen Richtlinien zur Anomalieerkennung beschrieben, die von Defender for Cloud Apps bereitgestellt werden:

    Richtlinie Beschreibung
    Irreführender OAuth-App-Name Überprüft OAuth-Apps, die mit Ihrer Umgebung verbunden sind, und löst eine Warnung aus, wenn eine App mit einem irreführenden Namen erkannt wird. Irreführende Namen, z. B. Fremdbuchstaben, die lateinischen Buchstaben ähneln, könnten auf den Versuch hinweisen, eine schädliche App als bekannte und vertrauenswürdige App zu verschleiern.
    Irreführender Herausgebername für eine OAuth-App Überprüft OAuth-Apps, die mit Ihrer Umgebung verbunden sind, und löst eine Warnung aus, wenn eine App mit einem irreführenden Herausgebernamen erkannt wird. Irreführende Herausgebernamen, z. B. Fremdbuchstaben, die lateinischen Buchstaben ähneln, könnten auf den Versuch hinweisen, eine schädliche App als App zu verbergen, die von einem bekannten und vertrauenswürdigen Herausgeber stammt.
    Zustimmung der böswilligen OAuth-App Überprüft OAuth-Apps, die mit Ihrer Umgebung verbunden sind, und löst eine Warnung aus, wenn eine potenziell schädliche App autorisiert ist. Böswillige OAuth-Apps können als Teil einer Phishing-Kampagne verwendet werden, um Benutzer zu kompromittieren. Diese Erkennung nutzt Microsoft-Sicherheitsforschung und Threat Intelligence-Fachwissen, um schädliche Apps zu identifizieren.
    Verdächtige Herunterladenaktivitäten von OAuth-App-Dateien Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.

    Nächster Schritt

    Verwalten Ihrer App-Richtlinien