Bewährte Methoden zum Schutz Ihrer organization mit Defender for Cloud Apps
Dieser Artikel enthält bewährte Methoden zum Schutz Ihrer organization mithilfe von Microsoft Defender for Cloud Apps. Diese bewährten Methoden stammen aus unserer Erfahrung mit Defender for Cloud Apps und den Erfahrungen von Kunden wie Ihnen.
Zu den bewährten Methoden in diesem Artikel gehören:
- Ermitteln und Bewerten von Cloud-Apps
- Anwenden von Cloudgovernancerichtlinien
- Beschränken der Gefährdung freigegebener Daten und Erzwingen von Richtlinien für die Zusammenarbeit
- Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind
- Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
- Blockieren von und Schützen vor dem Download vertraulicher Daten auf nicht verwaltete oder riskante Geräte
- Sichern der Zusammenarbeit mit externen Benutzern durch Erzwingen von Sitzungskontrollen in Echtzeit
- Erkennen von Bedrohungen in der Cloud, kompromittierten Konten, böswilligen Insidern und Ransomware
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
- Sichern von IaaS-Diensten und benutzerdefinierten Apps
Ermitteln und Bewerten von Cloud-Apps
Die Integration von Defender for Cloud Apps in Microsoft Defender for Endpoint bietet Ihnen die Möglichkeit, Cloud Discovery über Ihr Unternehmensnetzwerk oder sichere Webgateways hinaus zu verwenden. Mit den kombinierten Benutzer- und Geräteinformationen können Sie riskante Benutzer oder Geräte identifizieren, sehen, welche Apps sie verwenden, und im Defender für Endpunkt-Portal weiter untersuchen.
Bewährte Methode: Aktivieren der Schatten-IT-Ermittlung mithilfe von Defender für Endpunkt
Detail: Cloud Discovery analysiert von Defender für Endpunkt gesammelte Datenverkehrsprotokolle und bewertet identifizierte Apps anhand des Cloud-App-Katalogs, um Compliance- und Sicherheitsinformationen bereitzustellen. Durch die Konfiguration von Cloud Discovery erhalten Sie Einblick in die Cloudnutzung, schattenbasierte IT und die kontinuierliche Überwachung der nicht sanktionierten Apps, die von Ihren Benutzern verwendet werden.
Weitere Informationen:
- Microsoft Defender for Endpoint Integration mit Defender for Cloud Apps
- Einrichten von Cloud Discovery
- Entdecken und Verwalten von Schatten-IT in Ihrem Netzwerk
Bewährte Methode: Konfigurieren von App Discovery-Richtlinien, um riskante, nicht konforme und beliebte Apps proaktiv zu identifizieren
Details: App Discovery-Richtlinien erleichtern das Nachverfolgen der wichtigen erkannten Anwendungen in Ihrem organization, um Ihnen bei der effizienten Verwaltung dieser Anwendungen zu helfen. Erstellen Sie Richtlinien, um Warnungen zu erhalten, wenn neue Apps erkannt werden, die entweder als riskant, nicht konform, trending oder mit hohem Volumen identifiziert werden.
Weitere Informationen:
- Cloud Discovery-Richtlinien
- Cloud Discovery-Richtlinie zur Anomalieerkennung
- Sofortige Verhaltensanalysen und Anomalieerkennung
Bewährte Methode: Verwalten von OAuth-Apps, die von Ihren Benutzern autorisiert wurden
Detail: Viele Benutzer gewähren Apps von Drittanbietern gelegentlich OAuth-Berechtigungen für den Zugriff auf ihre Kontoinformationen und gewähren dabei versehentlich auch Zugriff auf ihre Daten in anderen Cloud-Apps. In der Regel hat die IT keinen Einblick in diese Apps, sodass es schwierig ist, das Sicherheitsrisiko einer App gegen den Produktivitätsvorteil abzuwägen, den sie bietet.
Defender for Cloud Apps bietet Ihnen die Möglichkeit, die App-Berechtigungen zu untersuchen und zu überwachen, die Benutzern gewährt wurden. Sie können diese Informationen verwenden, um eine potenziell verdächtige App zu identifizieren, und wenn Sie feststellen, dass sie riskant ist, können Sie den Zugriff darauf sperren.
Weitere Informationen:
Anwenden von Cloudgovernancerichtlinien
Bewährte Methode: Markieren von Apps und Exportieren von Blockskripts
Detail: Nachdem Sie die Liste der ermittelten Apps in Ihrem organization überprüft haben, können Sie Ihre Umgebung vor unerwünschter App-Verwendung schützen. Sie können das Sanktionierte Tag auf Apps anwenden, die von Ihrem organization genehmigt wurden, und das Tag Unsanctioned auf Apps, die dies nicht sind. Sie können nicht sanktionierte Apps mithilfe von Ermittlungsfiltern überwachen oder ein Skript exportieren, um nicht sanktionierte Apps mithilfe Ihrer lokalen Sicherheitsapps zu blockieren. Mithilfe von Tags und Exportskripts können Sie Ihre Apps organisieren und Ihre Umgebung schützen, indem Sie nur den Zugriff auf sichere Apps zulassen.
Weitere Informationen:
Beschränken der Gefährdung freigegebener Daten und Erzwingen von Richtlinien für die Zusammenarbeit
Bewährte Methode: Verbinden von Microsoft 365
Detail: Wenn Sie Microsoft 365 mit Defender for Cloud Apps verbinden, erhalten Sie sofortigen Einblick in die Aktivitäten Ihrer Benutzer, dateien, auf die sie zugreifen, und bietet Governanceaktionen für Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics.
Weitere Informationen:
Bewährte Methode: Verbinden Ihrer Apps
Detail: Wenn Sie Ihre Apps mit Defender for Cloud Apps verbinden, erhalten Sie bessere Einblicke in die Aktivitäten, bedrohungserkennung und Governancefunktionen Ihrer Benutzer. Um zu sehen, welche App-APIs von Drittanbietern unterstützt werden, wechseln Sie zu Verbinden von Apps.
Weitere Informationen:
Bewährte Methode: Erstellen von Richtlinien zum Entfernen der Freigabe für persönliche Konten
Detail: Wenn Sie Microsoft 365 mit Defender for Cloud Apps verbinden, erhalten Sie sofortigen Einblick in die Aktivitäten Ihrer Benutzer, dateien, auf die sie zugreifen, und bietet Governanceaktionen für Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange und Dynamics.
Weitere Informationen:
Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und vertrauliche Daten, die in der Cloud gespeichert sind
Bewährte Methode: Integration mit Microsoft Purview Information Protection
Detail: Die Integration in Microsoft Purview Information Protection bietet Ihnen die Möglichkeit, Vertraulichkeitsbezeichnungen automatisch anzuwenden und optional Verschlüsselungsschutz hinzuzufügen. Sobald die Integration aktiviert ist, können Sie Bezeichnungen als Governanceaktion anwenden, Dateien nach Klassifizierung anzeigen, Dateien nach Klassifizierungsebene untersuchen und präzise Richtlinien erstellen, um sicherzustellen, dass klassifizierte Dateien ordnungsgemäß verarbeitet werden. Wenn Sie die Integration nicht aktivieren, können Sie nicht von der Möglichkeit profitieren, Dateien in der Cloud automatisch zu scannen, zu kennzeichnen und zu verschlüsseln.
Weitere Informationen:
- Microsoft Purview Information Protection Integration
- Tutorial: Automatisches Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection
Bewährte Methode: Erstellen von Datenexpositionsrichtlinien
Detail: Verwenden Sie Dateirichtlinien, um die Informationsfreigabe zu erkennen und nach vertraulichen Informationen in Ihren Cloud-Apps zu suchen. Erstellen Sie die folgenden Dateirichtlinien, um Sie zu warnen, wenn Datenexpositionen erkannt werden:
- Extern freigegebene Dateien mit vertraulichen Daten
- Dateien, die extern freigegeben und als vertraulich gekennzeichnet sind
- Dateien, die für nicht autorisierte Domänen freigegeben wurden
- Schützen vertraulicher Dateien in SaaS-Apps
Weitere Informationen:
Bewährte Methode: Überprüfen von Berichten auf der Seite "Dateien "
Detail: Nachdem Sie verschiedene SaaS-Apps mithilfe von App-Connectors verbunden haben, überprüft Defender for Cloud Apps dateien, die von diesen Apps gespeichert sind. Außerdem wird eine Datei bei jeder Änderung erneut gescannt. Sie können die Seite Dateien verwenden, um die Datentypen zu verstehen und zu untersuchen, die in Ihren Cloud-Apps gespeichert werden. Zur Unterstützung der Untersuchung können Sie nach Domänen, Gruppen, Benutzern, Erstellungsdatum, Erweiterung, Dateiname und -typ, Datei-ID, Vertraulichkeitsbezeichnung und mehr filtern. Wenn Sie diese Filter verwenden, können Sie steuern, wie Sie Dateien untersuchen, um sicherzustellen, dass keine Ihrer Daten gefährdet ist. Sobald Sie besser verstehen, wie Ihre Daten verwendet werden, können Sie Richtlinien erstellen, um in diesen Dateien nach vertraulichen Inhalten zu suchen.
Weitere Informationen:
Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
Bewährte Methode: Schützen vertraulicher Daten vor der Freigabe für externe Benutzer
Detail: Erstellen Sie eine Dateirichtlinie, die erkennt, wenn ein Benutzer versucht, eine Datei mit der Vertraulichkeitsbezeichnung Vertraulich für eine person außerhalb Ihrer organization zu teilen, und konfigurieren Sie die Governanceaktion so, dass externe Benutzer entfernt werden. Diese Richtlinie stellt sicher, dass Ihre vertraulichen Daten Ihre organization nicht verlassen und externe Benutzer keinen Zugriff darauf erhalten.
Weitere Informationen:
Blockieren von und Schützen vor dem Download vertraulicher Daten auf nicht verwaltete oder riskante Geräte
Bewährte Methode: Verwalten und Steuern des Zugriffs auf Geräte mit hohem Risiko
Detail: Verwenden Sie die App-Steuerung für bedingten Zugriff, um Steuerelemente für Ihre SaaS-Apps festzulegen. Sie können Sitzungsrichtlinien erstellen, um Ihre Sitzungen mit hohem Risiko und niedriger Vertrauenswürdigkeit zu überwachen. Ebenso können Sie Sitzungsrichtlinien erstellen, um Downloads durch Benutzer zu blockieren und zu schützen, die versuchen, von nicht verwalteten oder riskanten Geräten auf vertrauliche Daten zuzugreifen. Wenn Sie keine Sitzungsrichtlinien erstellen, um Sitzungen mit hohem Risiko zu überwachen, verlieren Sie die Möglichkeit, Downloads im Webclient zu blockieren und zu schützen, sowie die Möglichkeit, Sitzungen mit geringer Vertrauenswürdigkeit sowohl in Microsoft- als auch in Drittanbieter-Apps zu überwachen.
Weitere Informationen:
- Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff
- Sitzungsrichtlinien
Sichern der Zusammenarbeit mit externen Benutzern durch Erzwingen von Sitzungskontrollen in Echtzeit
Bewährte Methode: Überwachen von Sitzungen mit externen Benutzern mithilfe der App-Steuerung für bedingten Zugriff
Detail: Um die Zusammenarbeit in Ihrer Umgebung zu sichern, können Sie eine Sitzungsrichtlinie erstellen, um Sitzungen zwischen Ihren internen und externen Benutzern zu überwachen. Dadurch haben Sie nicht nur die Möglichkeit, die Sitzung zwischen Ihren Benutzern zu überwachen (und sie darüber zu informieren, dass ihre Sitzungsaktivitäten überwacht werden), sondern sie können auch bestimmte Aktivitäten einschränken. Beim Erstellen von Sitzungsrichtlinien zum Überwachen von Aktivitäten können Sie die Apps und Benutzer auswählen, die Sie überwachen möchten.
Weitere Informationen:
- Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff
- Sitzungsrichtlinien
Erkennen von Bedrohungen in der Cloud, kompromittierten Konten, böswilligen Insidern und Ransomware
Bewährte Methode: Optimieren von Anomalierichtlinien, Festlegen von IP-Adressbereichen, Senden von Feedback für Warnungen
Detail: Richtlinien zur Anomalieerkennung bieten sofort einsatzbereite Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning (ML), sodass Sie sofort die erweiterte Bedrohungserkennung in Ihrer Cloudumgebung ausführen können.
Richtlinien zur Anomalieerkennung werden ausgelöst, wenn ungewöhnliche Aktivitäten von Benutzern in Ihrer Umgebung ausgeführt werden. Defender for Cloud Apps überwacht kontinuierlich die Aktivitäten Ihrer Benutzer und verwendet UEBA und ML, um das normale Verhalten Ihrer Benutzer zu erlernen und zu verstehen. Sie können Richtlinieneinstellungen an die Anforderungen Ihrer Organisation anpassen, z. B. können Sie die Vertraulichkeit einer Richtlinie festlegen und eine Richtlinie auf eine bestimmte Gruppe festlegen.
Optimieren und Festlegen von Anomalieerkennungsrichtlinien: Um beispielsweise die Anzahl falsch positiver Ergebnisse innerhalb der Warnung "Unmögliche Reise" zu reduzieren, können Sie den Vertraulichkeitsschieberegler der Richtlinie auf "Niedrig" festlegen. Wenn In Ihrem organization Benutzer vorhanden sind, bei denen es sich um häufig Reisende handelt, können Sie diese einer Benutzergruppe hinzufügen und diese Gruppe im Bereich der Richtlinie auswählen.
IP-Adressbereiche festlegen: Defender for Cloud Apps können bekannte IP-Adressen identifizieren, sobald IP-Adressbereiche festgelegt wurden. Wenn IP-Adressbereiche konfiguriert sind, können Sie die Art und Weise, wie Protokolle und Warnungen angezeigt und untersucht werden, markieren, kategorisieren und anpassen. Das Hinzufügen von IP-Adressbereichen trägt dazu bei, falsch positive Erkennungen zu reduzieren und die Genauigkeit von Warnungen zu verbessern. Wenn Sie Ihre IP-Adressen nicht hinzufügen möchten, wird möglicherweise eine größere Anzahl möglicher falsch positiver Ergebnisse und zu untersuchenden Warnungen angezeigt.
Senden von Feedback für Warnungen
Wenn Sie Warnungen schließen oder auflösen, stellen Sie sicher, dass Sie Feedback mit dem Grund senden, warum Sie die Warnung verworfen haben oder wie sie behoben wurde. Diese Informationen helfen Defender for Cloud Apps, unsere Warnungen zu verbessern und falsch positive Ergebnisse zu reduzieren.
Weitere Informationen:
Bewährte Methode: Erkennen von Aktivitäten von unerwarteten Standorten oder Ländern/Regionen
Detail: Erstellen Sie eine Aktivitätsrichtlinie, um Sie zu benachrichtigen, wenn sich Benutzer von unerwarteten Standorten oder Ländern/Regionen anmelden. Diese Benachrichtigungen können Sie auf möglicherweise kompromittierte Sitzungen in Ihrer Umgebung warnen, damit Sie Bedrohungen erkennen und beheben können, bevor sie auftreten.
Weitere Informationen:
Bewährte Methode: Erstellen von OAuth-App-Richtlinien
Detail: Erstellen Sie eine OAuth-App-Richtlinie, um Sie zu benachrichtigen, wenn eine OAuth-App bestimmte Kriterien erfüllt. Sie können beispielsweise festlegen, dass sie benachrichtigt werden, wenn mehr als 100 Benutzer auf eine bestimmte App zugreifen, für die eine hohe Berechtigungsstufe erforderlich ist.
Weitere Informationen:
Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
Bewährte Methode: Verwenden des Überwachungspfads von Aktivitäten beim Untersuchen von Warnungen
Detail: Warnungen werden ausgelöst, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten Ihren Richtlinien nicht entsprechen. Es ist wichtig, Warnungen zu untersuchen, um zu verstehen, ob eine mögliche Bedrohung in Ihrer Umgebung vorliegt.
Sie können eine Warnung untersuchen, indem Sie sie auf der Seite Warnungen auswählen und den Überwachungspfad der Aktivitäten im Zusammenhang mit dieser Warnung überprüfen. Der Überwachungspfad bietet Ihnen Einblick in Aktivitäten desselben Typs, desselben Benutzers, derselben IP-Adresse und desselben Standorts, um Ihnen den Gesamtverlauf einer Warnung zu bieten. Wenn eine Warnung eine weitere Untersuchung erfordert, erstellen Sie einen Plan, um diese Warnungen in Ihrem organization aufzulösen.
Beim Verwerfen von Warnungen ist es wichtig zu untersuchen und zu verstehen, warum sie keine Bedeutung haben oder ob es sich um falsch positive Ergebnisse handelt. Wenn eine große Anzahl solcher Aktivitäten vorhanden ist, sollten Sie auch die Richtlinie überprüfen und optimieren, die die Warnung auslöst.
Weitere Informationen:
Sichern von IaaS-Diensten und benutzerdefinierten Apps
Bewährte Methode: Verbinden von Azure, AWS und GCP
Detail: Wenn Sie jede dieser Cloudplattformen mit Defender for Cloud Apps verbinden, können Sie Ihre Funktionen zur Bedrohungserkennung verbessern. Durch die Überwachung von Verwaltungs- und Anmeldeaktivitäten für diese Dienste können Sie mögliche Brute-Force-Angriffe, die böswillige Verwendung eines privilegierten Benutzerkontos und andere Bedrohungen in Ihrer Umgebung erkennen und darüber benachrichtigt werden. Beispielsweise können Sie Risiken wie ungewöhnliche Löschungen von VMs oder sogar Identitätswechselaktivitäten in diesen Apps identifizieren.
Weitere Informationen:
- Verbinden von Azure mit Microsoft Defender for Cloud Apps
- Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps
- Verbinden von Google Workspace mit Microsoft Defender for Cloud Apps
Bewährte Methode: Onboarding benutzerdefinierter Apps
Detail: Um zusätzliche Einblicke in Aktivitäten aus Ihren branchenspezifischen Apps zu erhalten, können Sie benutzerdefinierte Apps in Defender for Cloud Apps integrieren. Nachdem benutzerdefinierte Apps konfiguriert wurden, werden Informationen darüber angezeigt, wer sie verwendet, die IP-Adressen, von denen sie verwendet werden, und wie viel Datenverkehr in die App ein- und ausgehend wird.
Darüber hinaus können Sie eine benutzerdefinierte App als App-Steuerungs-App für bedingten Zugriff integrieren, um ihre Sitzungen mit geringer Vertrauenswürdigkeit zu überwachen. Microsoft Entra ID Apps werden automatisch integriert.
Weitere Informationen: