Freigeben über

Cloud Discovery-Richtlinie zur Anomalieerkennung

  • Artikel

Mit einer Richtlinie zur Erkennung von Cloud Discovery-Anomalien können Sie eine kontinuierliche Überwachung ungewöhnlicher Zunahmen der Cloudanwendungsnutzung einrichten und konfigurieren. Für jede Cloudanwendung werden Zuwächse bei heruntergeladenen Daten, hochgeladenen Daten, Transaktionen und Benutzern berücksichtigt. Jeder Anstieg wird mit dem normalen Nutzungsmuster der Anwendung verglichen, wie aus der früheren Nutzung gelernt wurde. Die extremsten Zunahmen lösen Sicherheitsbenachrichtigungen aus.

In diesem Artikel wird beschrieben, wie Sie eine Cloud Discovery-Richtlinie zur Anomalieerkennung in Microsoft Defender for Cloud Apps erstellen und konfigurieren.

Wichtig

Ab August 2024 wird die Unterstützung von Cloud Discovery-Anomalien für Microsoft Defender for Cloud Apps eingestellt. Daher dient das in diesem Artikel vorgestellte Legacyverfahren nur zu Informationszwecken. Wenn Sie Sicherheitswarnungen ähnlich der Anomalieerkennung erhalten möchten, führen Sie die Schritte unter Erstellen einer App-Ermittlungsrichtlinie aus.

Erstellen einer App-Ermittlungsrichtlinie

Obwohl die Unterstützung für die Cloud Discovery-Anomalieerkennung eingestellt wurde, können Sie ähnliche Sicherheitswarnungen erhalten, indem Sie eine App-Ermittlungsrichtlinie erstellen:

  1. Erweitern Sie im Microsoft Defender Portal im linken Menü den Abschnitt Cloud-Apps-Richtlinien>, und wählen Sie Richtlinienverwaltung aus.

  2. Wählen Sie auf der Seite Richtlinien die Registerkarte Schatten-IT aus.

  3. Erweitern Sie das Dropdownmenü Richtlinie erstellen , und wählen Sie die Option App-Ermittlungsrichtlinie aus.

  4. Wählen Sie die Option Richtlinie übereinstimmung auslösen aus, wenn alle folgenden Am selben Tag auftreten :

    Screenshot, der zeigt, wie die Option

  5. Konfigurieren Sie die zugeordneten Filter und Einstellungen, wie unter Erstellen einer Anomalieerkennungsrichtlinie beschrieben.

(Legacy) Erstellen einer Anomalieerkennungsrichtlinie

Für jede Anomalieerkennungsrichtlinie legen Sie Filter fest, mit denen Sie die Anwendungsnutzung selektiv überwachen können. Filter sind für die Anwendung, ausgewählte Datenansichten und ein ausgewähltes Startdatum verfügbar. Sie können auch die Vertraulichkeit festlegen und angeben, wie viele Warnungen für die Richtlinie ausgelöst werden sollen.

Führen Sie die Schritte zum Erstellen einer Cloud Discovery-Anomalieerkennungsrichtlinie aus:

  1. Erweitern Sie im Microsoft Defender Portal im linken Menü den Abschnitt Cloud-Apps-Richtlinien>, und wählen Sie Richtlinienverwaltung aus.

  2. Wählen Sie auf der Seite Richtlinien die Registerkarte Schatten-IT aus.

  3. Erweitern Sie das Dropdownmenü Richtlinie erstellen , und wählen Sie die Option Cloud Discovery-Richtlinie zur Anomalieerkennung aus:

    Screenshot: Auswählen der Option zum Erstellen einer neuen Cloud Discovery-Anomalieerkennungsrichtlinie

    Die Seite Create Cloud Discovery anomaly detection policy (Richtlinie zur Anomalieerkennung erstellen ) wird geöffnet, auf der Sie Parameter für die zu erstellende Richtlinie konfigurieren.

  4. Auf der Seite Cloud Discovery-Anomalieerkennungsrichtlinie erstellen enthält die Option Richtlinienvorlage eine Liste von Vorlagen, aus denen Sie als Basis für die Richtlinie auswählen können. Standardmäßig ist die Option auf Keine Vorlage festgelegt.

    Wenn Sie die Richtlinie auf einer Vorlage basieren möchten, erweitern Sie das Dropdownmenü, und wählen Sie eine Vorlage aus:

    • Anomales Verhalten bei ermittelten Benutzern: Warnungen, wenn anomales Verhalten in ermittelten Benutzern und Apps erkannt wird. Sie können diese Vorlage verwenden, um im Vergleich zu anderen Benutzern große Mengen hochgeladener Daten oder große Benutzertransaktionen im Vergleich zum Verlauf des Benutzers zu überprüfen.

    • Anomales Verhalten von ermittelten IP-Adressen: Warnungen, wenn anormales Verhalten in ermittelten IP-Adressen und Apps erkannt wird. Sie können diese Vorlage verwenden, um im Vergleich zu anderen IP-Adressen große Mengen hochgeladener Daten oder große App-Transaktionen im Vergleich zum Verlauf der IP-Adresse zu überprüfen.

    Die folgende Abbildung zeigt, wie Sie eine Vorlage auswählen, die als Basis für die neue Richtlinie im Microsoft Defender-Portal verwendet werden soll:

    Screenshot: Auswählen einer Vorlage, die als Basis für die neue Richtlinie verwendet werden soll

  5. Geben Sie einen Richtliniennamen und eine Beschreibung für die neue Richtlinie ein.

  6. Erstellen Sie mithilfe der Option Filter auswählen einen Filter für die Apps, die Sie überwachen möchten.

    • Erweitern Sie das Dropdownmenü, und filtern Sie alle übereinstimmenden Apps nach App-Tag, Apps und Domäne, Kategorie, verschiedenen Risikofaktoren oder Risikobewertung.

    • Um weitere Filter zu erstellen, wählen Sie Filter hinzufügen aus.

    Die folgende Abbildung zeigt, wie Sie einen Filter für die Richtlinie auswählen, der auf alle übereinstimmenden Anwendungen im Microsoft Defender-Portal angewendet werden soll:

    Screenshot: Auswählen eines Filters für die Richtlinie, der auf alle übereinstimmenden Anwendungen angewendet werden soll

  7. Konfigurieren Sie Anwendungsverwendungsfilter im Abschnitt Anwenden für :

    1. Verwenden Sie das erste Dropdownmenü, um auszuwählen, wie Berichte zur kontinuierlichen Nutzung überwacht werden sollen:

      • Alle fortlaufenden Berichte (Standard): Vergleichen Sie jede Nutzungssteigerung mit dem normalen Nutzungsmuster, wie aus allen Datenansichten gelernt.

      • Spezifische fortlaufende Berichte: Vergleichen Sie jede Nutzungssteigerung mit dem normalen Nutzungsmuster. Das Muster wird aus derselben Datenansicht gelernt, in der der Anstieg beobachtet wurde.

    2. Verwenden Sie das zweite Dropdownmenü, um überwachte Zuordnungen für jede Cloudanwendungsnutzung anzugeben:

      • Benutzer: Ignorieren Sie die Zuordnung der Anwendungsnutzung zu IP-Adressen.

      • IP-Adressen: Ignorieren Sie die Zuordnung der Anwendungsnutzung zu Benutzern.

      • Benutzer, IP-Adressen (Standard): Überwachen der Anwendungsnutzung durch Benutzer und IP-Adressen. Diese Option kann doppelte Warnungen erzeugen, wenn eine enge Entsprechung zwischen Benutzern und IP-Adressen besteht.

    Die folgende Abbildung zeigt, wie Sie Anwendungsnutzungsfilter und das Startdatum für das Auslösen von Nutzungswarnungen im Microsoft Defender-Portal konfigurieren:

    Screenshot: Konfigurieren von Anwendungsnutzungsfiltern und startdatum für das Auslösen von Nutzungswarnungen

  8. Geben Sie für die Option Warnungen nur für verdächtige Aktivitäten auslösen, die nach auftreten , das Datum ein, an dem Mit dem Auslösen von Anwendungsnutzungswarnungen begonnen wird.

    Jegliche Erhöhung der Anwendungsnutzung vor dem angegebenen Startdatum wird ignoriert. Allerdings werden Nutzungsaktivitätsdaten vor dem Startdatum gelernt, um das normale Nutzungsmuster zu ermitteln.

  9. Konfigurieren Sie im Abschnitt Warnungen die Warnungsempfindlichkeit und Benachrichtigungen. Es gibt mehrere Möglichkeiten, die Anzahl der von der Richtlinie ausgelösten Warnungen zu steuern:

    • Verwenden Sie den Schieberegler Anomalieerkennung auswählen, um Warnungen für die wichtigsten anomalen X-Aktivitäten pro 1.000 Benutzer pro Woche auszulösen. Warnungen werden für aktivitäten mit dem höchsten Risiko ausgelöst.

    • Wählen Sie die Option Warnung für jedes übereinstimmende Ereignis mit dem Schweregrad der Richtlinie erstellen aus, und legen Sie andere Parameter für die Warnung fest:

      • Warnung als E-Mail senden: Geben Sie die E-Mail-Adressen für Warnmeldungen ein. Pro E-Mail-Adresse und Tag können maximal 500 Nachrichten gesendet werden. Die Anzahl wird um Mitternacht in der UTC-Zeitzone zurückgesetzt.

      • Tägliches Warnungslimit pro Richtlinie: Verwenden Sie das Dropdownmenü, und wählen Sie den gewünschten Grenzwert aus. Diese Option schränkt die Anzahl der an einem tag ausgelösten Warnungen auf den angegebenen Wert ein.

      • Senden von Warnungen an Power Automate: Wählen Sie ein Playbook aus, um Aktionen auszuführen, wenn eine Warnung ausgelöst wird. Sie können auch ein neues Playbook öffnen, indem Sie Playbook in Power Automate erstellen auswählen.

    • Wählen Sie Als Standardeinstellungen speichern aus, um die Standardeinstellungen Ihres organization so festzulegen, dass Ihre Werte für den Grenzwert für tägliche Warnungen und E-Mail-Einstellungen verwendet werden.

    • Wählen Sie Standardeinstellungen wiederherstellen aus, um die Standardeinstellungen Ihrer organization für den Grenzwert für tägliche Warnungen und E-Mail-Einstellungen zu verwenden.

    Die folgende Abbildung zeigt, wie Sie Warnungen für die Richtlinie konfigurieren, einschließlich Vertraulichkeit, E-Mail-Benachrichtigungen und einem tagesaktuellen Grenzwert im Microsoft Defender-Portal:

    Screenshot: Konfigurieren von Warnungen, einschließlich Vertraulichkeit, E-Mail und Tageslimit

  10. Bestätigen Sie Ihre Konfigurationsoptionen, und wählen Sie Erstellen aus.

Arbeiten mit einer vorhandenen Richtlinie

Wenn Sie eine Richtlinie erstellen, ist sie standardmäßig aktiviert. Sie können eine Richtlinie deaktivieren und andere Aktionen wie Bearbeiten und Löschen ausführen.

  1. Suchen Sie auf der Seite Richtlinien in der Liste der Richtlinien nach der zu aktualisierenden Richtlinie.

  2. Scrollen Sie in der Liste der Richtlinien in der Richtlinienzeile nach rechts, und wählen Sie Weitere Optionen (...) aus.

  3. Wählen Sie im Popupmenü die Aktion aus, die für die Richtlinie ausgeführt werden soll.

Nächster Schritt

Erkunden bewährter Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.