Häufig verwendete Microsoft Defender for Cloud Apps Richtlinien zum Schutz von Informationen

Defender for Cloud Apps Dateirichtlinien ermöglichen es Ihnen, eine Vielzahl von automatisierten Prozessen zu erzwingen. Richtlinien können so festgelegt werden, dass Sie Datenschutz bieten, einschließlich kontinuierlicher Compliance-Scans, juristischer eDiscovery-Aufgaben und DLP für öffentlich freigegebene vertrauliche Inhalte.

Defender for Cloud Apps können jeden Dateityp basierend auf mehr als 20 Metadatenfiltern überwachen, z. B. Zugriffsebene und Dateityp. Weitere Informationen finden Sie unter Dateirichtlinien.

Erkennen und Verhindern der externen Freigabe vertraulicher Daten

Erkennen Sie, wenn Dateien mit personenbezogenen Informationen oder anderen vertraulichen Daten in einem Clouddienst gespeichert und für Benutzer außerhalb Ihrer organization freigegeben werden, was gegen die Sicherheitsrichtlinie Ihres Unternehmens verstößt und zu einer potenziellen Complianceverletzung führt.

Voraussetzungen

Mindestens eine App muss über App-Connectors verbunden sein.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Legen Sie den Filter Zugriffsebene auf Öffentlich (Internet)/Öffentlich/Extern fest.

3. Wählen Sie unter Inspektionsmethode die Option Datenklassifizierungsdienst (Data Classification Service, DCS) und unter Typ auswählen den Typ der vertraulichen Informationen aus, die VON DCS überprüft werden sollen.

4. Konfigurieren Sie die Governanceaktionen , die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Sie können beispielsweise eine Governanceaktion erstellen, die bei erkannten Dateiverstößen in Google Workspace ausgeführt wird, in der Sie die Option Externe Benutzer entfernen und öffentlichen Zugriff entfernen auswählen.

5. Erstellen Sie die Dateirichtlinie.

Erkennen extern freigegebener vertraulicher Daten

Erkennen Sie, wenn Dateien, die als Vertraulich bezeichnet werden und in einem Clouddienst gespeichert sind, für externe Benutzer freigegeben werden, was gegen Unternehmensrichtlinien verstößt.

Voraussetzungen

• Mindestens eine App muss über App-Connectors verbunden sein.

• Aktivieren sie Microsoft Purview Information Protection Integration.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Legen Sie den Filter Vertraulichkeitsbezeichnung auf Microsoft Purview Information Protectiongleich der Vertraulichkeitsbezeichnung oder der Entsprechung Ihres Unternehmens ist.

3. Legen Sie den Filter Zugriffsebene auf Öffentlich (Internet)/Öffentlich/Extern fest.

4. Optional: Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst.

5. Erstellen Sie die Dateirichtlinie.

Erkennen und Verschlüsseln vertraulicher ruhender Daten

Erkennen Sie Dateien mit persönlich identifizierenden Informationen und anderen vertraulichen Daten, die in einer Cloud-App freigegeben werden, und wenden Sie Vertraulichkeitsbezeichnungen an, um den Zugriff nur auf Mitarbeiter in Ihrem Unternehmen zu beschränken.

Voraussetzungen

• Mindestens eine App muss über App-Connectors verbunden sein.

• Aktivieren sie Microsoft Purview Information Protection Integration.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie unter Inspektionsmethode die Option Datenklassifizierungsdienst (Data Classification Service, DCS) und unter Typ auswählen den Typ der vertraulichen Informationen aus, die VON DCS überprüft werden sollen.

3. Aktivieren Sie unter Governanceaktionen das Kontrollkästchen Vertraulichkeitsbezeichnung anwenden , und wählen Sie die Vertraulichkeitsbezeichnung aus, die Ihr Unternehmen verwendet, um den Zugriff auf Mitarbeiter des Unternehmens einzuschränken.

4. Erstellen Sie die Dateirichtlinie.

Hinweis

Die Möglichkeit, eine Vertraulichkeitsbezeichnung direkt in Defender for Cloud Apps anzuwenden, wird derzeit nur für Box, Google Workspace, SharePoint Online und OneDrive for Business unterstützt.

Erkennen des Datenzugriffs von einem nicht autorisierten Speicherort

Erkennen Sie, wann von einem nicht autorisierten Speicherort aus auf Dateien zugegriffen wird, basierend auf den gängigen Speicherorten Ihrer organization, um ein potenzielles Datenleck oder böswilligen Zugriff zu identifizieren.

Voraussetzungen

Mindestens eine App muss über App-Connectors verbunden sein.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

2. Legen Sie den Filter Aktivitätstyp auf die Datei- und Ordneraktivitäten fest, die Sie interessieren, z. B. Anzeigen, Herunterladen, Zugriff und Ändern.

3. Legen Sie den Filter Standort ist nicht gleich fest, und geben Sie dann die Länder/Regionen ein, von denen Ihr organization Aktivität erwartet.

   • Optional: Sie können den entgegengesetzten Ansatz verwenden und den Filter auf Standort gleich festlegen, wenn Ihr organization den Zugriff aus bestimmten Ländern/Regionen blockiert.

4. Optional: Erstellen Sie Governanceaktionen , die auf erkannte Verstöße angewendet werden sollen (Verfügbarkeit variiert je nach Dienst), z. B. Benutzer anhalten.

5. Erstellen Sie die Aktivitätsrichtlinie.

Erkennen und Schützen vertraulicher Datenspeicher an einer nicht konformen SP-Website

Erkennt Dateien, die als vertraulich bezeichnet sind und auf einer nicht konformen SharePoint-Website gespeichert sind.

Voraussetzungen

Vertraulichkeitsbezeichnungen werden im organization konfiguriert und verwendet.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Legen Sie den Filter Vertraulichkeitsbezeichnung auf Microsoft Purview Information Protectiongleich der Vertraulichkeitsbezeichnung oder der Entsprechung Ihres Unternehmens ist.

3. Legen Sie den Filter Übergeordneter Ordner ist nicht gleich fest, und wählen Sie dann unter Ordner auswählen alle kompatiblen Ordner in Ihrem organization aus.

4. Wählen Sie unter Warnungen die Option Warnung für jede übereinstimmende Datei erstellen aus.

5. Optional: Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Legen Sie z. B. Box auf Policy-Match-Digest an Dateibesitzer senden und In Administratorquarantäne versetzen fest.

6. Erstellen Sie die Dateirichtlinie.

Erkennen von extern freigegebenem Quellcode

Erkennen Sie, wann Dateien, die Inhalte enthalten, die möglicherweise Quellcode enthalten, öffentlich oder für Benutzer außerhalb Ihrer organization freigegeben werden.

Voraussetzungen

Mindestens eine App muss über App-Connectors verbunden sein.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Auswählen und Anwenden der Richtlinienvorlage Extern freigegebener Quellcode

3. Optional: Passen Sie die Liste der Dateierweiterungen an die Quellcodedateierweiterungen Ihres organization an.

4. Optional: Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Beispiel: In Box, Send policy-match digest to file owner und Put in admin quarantine ( In Administratorquarantäne stellen).

5. Wählen Sie die Richtlinienvorlage aus, und wenden Sie sie an.

Erkennen eines nicht autorisierten Zugriffs auf Gruppendaten

Erkennen Sie, wenn ein Benutzer, der nicht Teil der Gruppe ist, übermäßig auf bestimmte Dateien zugreift, die zu einer bestimmten Benutzergruppe gehören, was eine potenzielle Insider-Bedrohung darstellen könnte.

Voraussetzungen

Mindestens eine App muss über App-Connectors verbunden sein.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.

2. Wählen Sie unter Handeln aufWiederholte Aktivität aus, und passen Sie die Anzahl der wiederholten Aktivitäten an, und legen Sie einen Zeitrahmen fest, um die Richtlinie Ihrer organization einzuhalten.

3. Legen Sie den Filter Aktivitätstyp auf die Datei- und Ordneraktivitäten fest, die Sie interessieren, z. B. Anzeigen, Herunterladen, Zugriff und Ändern.

4. Legen Sie den Filter Benutzer auf Aus Gruppe gleich fest, und wählen Sie dann die relevanten Benutzergruppen aus.

   Hinweis

   Benutzergruppen können manuell aus unterstützten Apps importiert werden.

5. Legen Sie den Filter Dateien und Ordner auf Bestimmte Dateien oder Ordner gleich fest, und wählen Sie dann die Dateien und Ordner aus, die zur überwachten Benutzergruppe gehören.

6. Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Sie können z. B. Benutzer anhalten auswählen.

7. Erstellen Sie die Dateirichtlinie.

Erkennen öffentlich zugänglicher S3-Buckets

Erkennen und Schützen vor potenziellen Datenlecks aus AWS S3-Buckets.

Voraussetzungen

Sie müssen über eine AWS-instance verfügen, die über App-Connectors verbunden ist.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie die Richtlinienvorlage Öffentlich zugängliche S3-Buckets (AWS) aus, und wenden Sie sie an.

3. Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Legen Sie z. B. AWS auf Als privat festlegen fest, wodurch die S3-Buckets privat werden.

4. Erstellen Sie die Dateirichtlinie.

Erkennen und Schützen von DSGVO-bezogenen Daten über Dateispeicher-Apps hinweg

Erkennen von Dateien, die in Cloudspeicher-Apps freigegeben sind und personenbezogene Informationen und andere vertrauliche Daten enthalten, die an eine DSGVO-Konformitätsrichtlinie gebunden sind. Wenden Sie dann automatisch Vertraulichkeitsbezeichnungen an, um den Zugriff nur auf autorisiertes Personal zu beschränken.

Voraussetzungen

• Mindestens eine App muss über App-Connectors verbunden sein.

• Microsoft Purview Information Protection Integration ist aktiviert, und die DSGVO-Bezeichnung ist in Microsoft Purview konfiguriert.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.

2. Wählen Sie unter Inspektionsmethode die Option Datenklassifizierungsdienst (Data Classification Service, DCS) aus, und wählen Sie unter Select type (Typ auswählen) einen oder mehrere Informationstypen aus, die der DSGVO entsprechen, z. B. EU-Lastschriftnummer Karte Nummer, EU-Führerscheinnummer, NATIONALE/regionale Identifikationsnummer der EU, EU-Reisepassnummer, EU-SSN, SU-Steueridentifikationsnummer.

3. Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird, indem Sie Vertraulichkeitsbezeichnung für jede unterstützte App anwenden auswählen.

4. Erstellen Sie die Dateirichtlinie.

Hinweis

Derzeit wird Vertraulichkeitsbezeichnung anwenden nur für Box, Google Workspace, SharePoint Online und OneDrive for Business unterstützt.

Blockieren von Downloads für externe Benutzer in Echtzeit

Verhindern Sie, dass Unternehmensdaten von externen Benutzern exfiltriert werden, indem Sie Dateidownloads in Echtzeit blockieren und die Defender for Cloud Apps Sitzungssteuerelemente verwenden.

Voraussetzungen

Stellen Sie sicher, dass es sich bei Ihrer App um eine SAML-basierte App handelt, die Microsoft Entra ID für einmaliges Anmelden verwendet oder in Defender for Cloud Apps für die App-Steuerung für bedingten Zugriff integriert ist.

Weitere Informationen zu unterstützten Apps finden Sie unter Unterstützte Apps und Clients.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.

2. Wählen Sie unter Sitzungssteuerungstypdie Option Dateidownload steuern (mit Überprüfung) aus.

3. Wählen Sie unter Aktivitätsfilterdie Option Benutzer aus, und legen Sie ihn auf Von Gruppe gleich Externe Benutzer fest.

   Hinweis

   Sie müssen keine App-Filter festlegen, damit diese Richtlinie für alle Apps gilt.

4. Sie können den Dateifilter verwenden, um den Dateityp anzupassen. Dadurch können Sie genauer steuern, welche Dateitypen die Sitzungsrichtlinie steuert.

5. Wählen Sie unter Aktionen die Option Blockieren aus. Sie können Blocknachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer gesendet werden soll, damit diese verstehen, warum der Inhalt blockiert wird und wie sie ihn aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

6. Wählen Sie Erstellen aus.

Erzwingen des schreibgeschützten Modus für externe Benutzer in Echtzeit

Verhindern Sie, dass Unternehmensdaten von externen Benutzern exfiltriert werden, indem Sie Druck- und Kopier-/Einfügeaktivitäten in Echtzeit blockieren und die Defender for Cloud Apps Sitzungssteuerelemente verwenden.

Voraussetzungen

Stellen Sie sicher, dass es sich bei Ihrer App um eine SAML-basierte App handelt, die Microsoft Entra ID für einmaliges Anmelden verwendet oder in Defender for Cloud Apps für die App-Steuerung für bedingten Zugriff integriert ist.

Weitere Informationen zu unterstützten Apps finden Sie unter Unterstützte Apps und Clients.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.

2. Wählen Sie unter Sitzungssteuerungstypdie Option Aktivitäten blockieren aus.

3. Gehen Sie im Filter Aktivitätsquelle wie

   1. Wählen Sie Benutzer aus, und legen Sie Von Gruppe auf Externe Benutzer fest.

   2. Wählen Sie Aktivitätstyp gleich Drucken und Element ausschneiden/kopieren aus.

   Hinweis

   Sie müssen keine App-Filter festlegen, damit diese Richtlinie für alle Apps gilt.

4. Optional: Wählen Sie unter Inspektionsmethode den Typ der anzuwendenden Überprüfung aus, und legen Sie die erforderlichen Bedingungen für die DLP-Überprüfung fest.

5. Wählen Sie unter Aktionen die Option Blockieren aus. Sie können Blocknachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer gesendet werden soll, damit diese verstehen, warum der Inhalt blockiert wird und wie sie ihn aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

6. Wählen Sie Erstellen aus.

Blockieren des Uploads von nicht klassifizierten Dokumenten in Echtzeit

Verhindern Sie, dass Benutzer ungeschützte Daten in die Cloud hochladen, indem Sie die Defender for Cloud Apps Sitzungssteuerelemente verwenden.

Voraussetzungen

• Stellen Sie sicher, dass es sich bei Ihrer App um eine SAML-basierte App handelt, die Microsoft Entra ID für einmaliges Anmelden verwendet oder in Defender for Cloud Apps für die App-Steuerung für bedingten Zugriff integriert ist.

Weitere Informationen zu unterstützten Apps finden Sie unter Unterstützte Apps und Clients.

• Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection müssen in Ihrem organization konfiguriert und verwendet werden.

Schritte

1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.

2. Wählen Sie unter Sitzungssteuerungstypdie Option Dateiupload steuern (mit Überprüfung) oder Dateidownload steuern (mit Überprüfung) aus.

   Hinweis

   Sie müssen keine Filter festlegen, damit diese Richtlinie für alle Benutzer und Apps gilt.

3. Wählen Sie den Dateifilter Vertraulichkeitsbezeichnung ist nicht gleich aus, und wählen Sie dann die Bezeichnungen aus, die Ihr Unternehmen zum Kennzeichnen von klassifizierten Dateien verwendet.

4. Optional: Wählen Sie unter Inspektionsmethode den Typ der anzuwendenden Überprüfung aus, und legen Sie die erforderlichen Bedingungen für die DLP-Überprüfung fest.

5. Wählen Sie unter Aktionen die Option Blockieren aus. Sie können Blocknachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer gesendet werden soll, damit diese verstehen, warum der Inhalt blockiert wird und wie sie ihn aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

6. Wählen Sie Erstellen aus.

Hinweis

Eine Liste der Dateitypen, die Defender for Cloud Apps derzeit für Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection unterstützt, finden Sie unter Microsoft Purview Information Protection Integration. Voraussetzungen.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.