Häufig verwendete Informationsschutzrichtlinien für Microsoft Defender for Cloud Apps
Mit den Defender for Cloud Apps-Dateirichtlinien können Sie eine Vielzahl von automatisierten Prozessen durchsetzen. Richtlinien können für Informationsschutz, fortlaufende Kompatibilitätsprüfungen, rechtliche eDiscovery-Aufgaben und DLP für öffentlich freigegebenen vertraulichen Inhalt festgelegt werden.
Defender for Cloud Apps kann jeden Dateityp auf der Grundlage von mehr als 20 Metadatenfiltern (z. B. Zugriffsebene, Dateityp) überwachen. Weitere Informationen finden Sie unter Dateirichtlinien.
Erkennen und Verhindern der externen Freigabe vertraulicher Daten
Erkennen, wann Dateien mit personenbezogenen Informationen oder anderen vertraulichen Daten in einem Clouddienst gespeichert und für Benutzer*innen außerhalb Ihrer Organisation freigegeben werden, die gegen die Sicherheitsrichtlinie Ihres Unternehmens verstoßen und ein möglicherweise die Compliancestandards verletzen.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Setzen Sie den Filter Zugriffsebene auf Öffentlich (Internet) / Öffentlich / Extern.
Wählen Sie unter Untersuchungsmethode den Datenklassifizierungsdienst (Data Classification Service, DCS) aus, und wählen Sie unter Typ auswählen die Art der vertraulichen Informationen, die DCS prüfen soll.
Konfigurieren Sie die Governanceaktionen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Sie können beispielsweise eine Governanceaktion erstellen, die bei erkannten Dateiverstößen in Google Workspace ausgeführt wird und für die Sie die Option Externe Benutzer entfernen und Öffentlichen Zugriff aufheben auswählen.
Erstellen Sie die Dateirichtlinie.
Erkennen von extern freigegebenen vertraulichen Daten
Erkennen Sie, wenn in einem Clouddienst gespeicherte Dateien mit der Bezeichnung Vertraulich entgegen den Unternehmensrichtlinien für externe Benutzer*innen freigegeben werden.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Aktivieren Sie die Microsoft Purview Information Protection-Integration.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Setzen Sie den Filter Vertraulichkeitsbezeichnung unter Microsoft Purview Information Protection auf Vertraulich oder die entsprechende die Vertraulichkeitsbezeichnung in Ihrem Unternehmen.
Setzen Sie den Filter Zugriffsebene auf Öffentlich (Internet) / Öffentlich / Extern.
Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig.
Erstellen Sie die Dateirichtlinie.
Erkennen und Verschlüsseln vertraulicher ruhender Daten
Erkennen Sie Dateien, die personenbezogene Informationen und andere vertrauliche Daten enthalten, die in einer Cloud-App freigegeben sind, und wenden Sie Vertraulichkeitsbezeichnungen an, um den Zugriff auf Mitarbeiter in Ihrem Unternehmen zu beschränken.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Aktivieren Sie die Microsoft Purview Information Protection-Integration.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Wählen Sie unter Untersuchungsmethode den Datenklassifizierungsdienst (Data Classification Service, DCS) aus, und wählen Sie unter Typ auswählen die Art der vertraulichen Informationen, die DCS prüfen soll.
Markieren Sie unter Governanceaktionen die Option Vertraulichkeitsbezeichnung anwenden, und wählen Sie die Vertraulichkeitsbezeichnung, die Ihr Unternehmen verwendet, um den Zugriff auf Mitarbeiter des Unternehmens zu begrenzen.
Erstellen Sie die Dateirichtlinie.
Hinweis
Die Möglichkeit, eine Vertraulichkeitsbezeichnung direkt in Defender for Cloud Apps anzuwenden, wird derzeit nur für Box, Google Workspace, SharePoint Online und OneDrive for Business unterstützt.
Erkennen von Datenzugriffen von nicht autorisierten Standorten
Erkennen Sie, wenn basierend auf den gewöhnlichen Standorten Ihrer Organisation auf Dateien von einem nicht autorisierten Standort aus zugegriffen wird, um potenzielle Datenlecks oder böswillige Zugriffe zu identifizieren.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Setzen Sie den Filter Aktivitätstyp auf die gewünschten Datei- und Ordneraktivitäten, z. B. Anzeigen, Herunterladen, Zugreifen und Ändern.
Setzen Sie einen Negativfilter auf Speicherort, und geben Sie dann die Länder/Regionen ein, aus denen Ihre Organisation Aktivitäten erwartet.
- Optional: Sie können den umgekehrten Ansatz anwenden und einen Positivfilter auf Standort setzen, wenn Ihre Organisation den Zugriff aus bestimmten Ländern/Regionen blockiert.
Optional: Erstellen Sie Governanceaktionen, die auf erkannte Verstöße angewendet werden sollen (die Verfügbarkeit ist vom jeweiligen Dienst abhängig), z. B. Benutzer sperren.
Erstellen Sie die Aktivitätsrichtlinie.
Erkennen und Schützen vertraulicher Datenspeicher auf einer nicht kompatiblen SP-Website
Erkennen Sie Dateien, die als vertraulich gelten und auf einer nicht kompatiblen SharePoint-Website gespeichert werden.
Voraussetzungen
Vertraulichkeitsbezeichnungen werden innerhalb der Organisation konfiguriert und verwendet.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Setzen Sie den Filter Vertraulichkeitsbezeichnung unter Microsoft Purview Information Protection auf Vertraulich oder die entsprechende die Vertraulichkeitsbezeichnung in Ihrem Unternehmen.
Setzen Sie einen Negativfilter auf Übergeordneter Ordner, und wählen Sie dann unter Ordner auswählen alle kompatiblen Ordner in Ihrer Organisation aus.
Wählen Sie unter Warnungen die Option Warnung für jedes übereinstimmendes Ereignis erstellen.
Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Setzen Sie z. B. Box auf Übersicht der Richtlinienübereinstimmungen an Dateibesitzer senden und Unter Administratorquarantäne stellen.
Erstellen Sie die Dateirichtlinie.
Erkennen von extern freigegebenem Quellcode
Erkennen Sie, wenn Dateien mit Inhalten, bei denen es sich um Quellcode handeln könnte, für Benutzer*innen außerhalb Ihrer Organisation oder öffentlich freigegeben werden.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Wählen Sie die Richtlinienvorlage Extern freigegebener Quellcode, und wenden Sie sie an.
Optional: Passen Sie die Liste der Dateierweiterungen den Quellcode-Dateierweiterungen Ihrer Organisation an.
Optional: Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. In Box gibt es zum Beispiel Übersicht der Richtlinienübereinstimmungen an Dateibesitzer senden und Unter Administratorquarantäne stellen.
Wählen Sie die Richtlinienvorlage aus, und wenden Sie sie an.
Erkennen von nicht autorisierten Zugriffen auf Gruppendaten
Erkennen Sie, wenn bestimmte Dateien aus einer gewissen Benutzergruppe von einem Benutzer, der nicht zu dieser Gruppe gehört, aufgerufen werden, da dies eine potenzielle Insiderbedrohung darstellen könnte.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Wählen Sie unter Reagieren auf die Option Wiederholte Aktivität, und passen Sie Minimum an wiederholten Aktivitäten an, indem Sie einen Zeitrahmen festlegen, der der Richtlinie Ihrer Organisation entspricht.
Setzen Sie den Filter Aktivitätstyp auf die gewünschten Datei- und Ordneraktivitäten, z. B. Anzeigen, Herunterladen, Zugreifen und Ändern.
Legen Sie einen Positivfilter unter Benutzer auf Von Gruppe, und wählen Sie dann die gewünschten Benutzergruppen.
Hinweis
Benutzergruppen können manuell aus unterstützten Apps importiert werden.
Legen Sie einen Positivfilter unter Dateien und Ordner auf Bestimmte Dateien oder Ordner, und wählen Sie dann die Dateien und Ordner aus, die der überwachten Benutzergruppe angehören.
Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Sie können zum Beispiel Benutzer sperren auswählen.
Erstellen Sie die Dateirichtlinie.
Erkennen öffentlich zugänglicher S3-Buckets
Erkennen und schützen Sie potenzielle Datenlecks aus AWS-S3-Buckets.
Voraussetzungen
Sie benötigen eine AWS-Instanz, die mit App-Connectors verbunden ist.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Wählen Sie die Richtlinienvorlage Öffentlich zugängliche S3-Buckets (AWS), und wenden Sie sie an.
Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen sind vom jeweiligen Dienst abhängig. Setzen Sie z. B. AWS auf Privat, damit die S3-Buckets privat sind.
Erstellen Sie die Dateirichtlinie.
Erkennen und Schützen von DSGVO-bezogenen Daten in Dateispeicher-Apps
Erkennen Sie Dateien, die in Cloud-Speicher-Apps freigegeben werden, und schützen sie personenbezogene Informationen und andere vertrauliche Daten, die einer DSGVO-Compliancerichtlinie unterliegen. Wenden Sie dann automatisch Vertraulichkeitsbezeichnungen an, um den Zugriff auf autorisierte Mitarbeiter zu beschränken.
Voraussetzungen
Sie benötigen mindestens eine über App-Connectors verbundene App.
Die Integration von Microsoft Purview Information Protection ist aktiviert und das GDPR-Label ist in Microsoft Purview konfiguriert
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Dateirichtlinie.
Wählen Sie unter Überprüfungsmethode den Datenklassifizierungsdienst (Data Classification Service, DCS) und unter Typ auswählen mindestens einen Informationstyp aus, der der DSGVO entspricht, z. B. EU-Debitkartennummer, EU-Führerscheinnummer, Nationale/Regionale EU-Ausweisnummer, EU-Reisepassnummer, EU-SSN, SU-Steueridentifikationsnummer.
Legen Sie fest, welche Governanceaktionen für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird, indem Sie Vertraulichkeitsbezeichnung anwenden für jede unterstützte App auswählen.
Erstellen Sie die Dateirichtlinie.
Hinweis
Derzeit wird Vertraulichkeitsbezeichnung anwenden nur für Box, Google Workspace, SharePoint Online und OneDrive for Business unterstützt.
Blockieren von Downloads für externe Benutzer*innen in Echtzeit
Verhindern Sie, dass Unternehmensdaten von externen Benutzer*innen exfiltriert werden, indem Sie Dateidownloads in Echtzeit mithilfe der Sitzungssteuerungen von Defender for Cloud Apps blockieren.
Voraussetzungen
Stellen Sie sicher, dass Ihre App eine SAML-basierte App ist, die Microsoft Entra ID für einmaliges Anmelden verwendet oder in Defender for Cloud Apps für die App-Steuerung für bedingten Zugriff integriert ist.
Weitere Informationen über unterstützte Apps finden Sie unter Unterstützte Apps und Clients.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.
Wählen Sie für Sitzungssteuerungstyp die Option Dateidownload steuern (mit Überprüfung).
Wählen Sie unter Aktivitätsfilter den Befehl Benutzer aus, und setzen Sie einen Positivfilter unter Von Gruppe auf Externe Benutzer.
Hinweis
Sie müssen keine App-Filter festlegen, damit diese Richtlinie auf alle Apps angewendet werden kann.
Sie können den Dateifilter verwenden, um den Dateityp anzupassen. Dadurch können Sie genauer steuern, welche Art von Dateien die Sitzungsrichtlinie steuert.
Klicken Sie unter Aktionen auf Blockieren. Sie können „Blockieren“-Nachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer*innen gesendet werden soll, damit sie verstehen, warum der Inhalt blockiert wird und wie sie sie aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.
Klicken Sie auf Erstellen.
Erzwingen des schreibgeschützten Modus für externe Benutzer*innen in Echtzeit
Verhindern Sie, dass Unternehmensdaten von externen Benutzer*innen exfiltriert werden, indem Sie Druck- und Kopieren/Einfügen-Aktionen in Echtzeit mithilfe der Sitzungssteuerungen von Defender for Cloud Apps blockieren.
Voraussetzungen
Stellen Sie sicher, dass Ihre App eine SAML-basierte App ist, die Microsoft Entra ID für einmaliges Anmelden verwendet oder in Defender for Cloud Apps für die App-Steuerung für bedingten Zugriff integriert ist.
Weitere Informationen über unterstützte Apps finden Sie unter Unterstützte Apps und Clients.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.
Wählen Sie unter Sitzungssteuerungstyp die Option Aktivitäten blockieren.
Beim Filter Aktivitätsquelle:
Wählen Sie Benutzer und setzen Sie Von Gruppe auf Externe Benutzer.
Setzen Sie einen Positivfilter unter Aktivitätstyp auf Drucken und Ausschneiden/Kopieren.
Hinweis
Sie müssen keine App-Filter festlegen, damit diese Richtlinie auf alle Apps angewendet werden kann.
Optional: Wählen Sie unter Überprüfungsmethode den zu übernehmenden Überprüfungstyp aus, und legen Sie die erforderlichen Bedingungen für den DLP-Scan fest.
Klicken Sie unter Aktionen auf Blockieren. Sie können „Blockieren“-Nachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer*innen gesendet werden soll, damit sie verstehen, warum der Inhalt blockiert wird und wie sie sie aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.
Klicken Sie auf Erstellen.
Blockieren des Uploads von nicht klassifizierten Dokumenten in Echtzeit
Verhindern, dass Benutzer*innen ungeschützte Daten in die Cloud hochladen, indem Sie die Sitzungssteuerelemente für Defender for Cloud Apps verwenden.
Voraussetzungen
- Stellen Sie sicher, dass Ihre App eine SAML-basierte App ist, die Microsoft Entra ID für einmaliges Anmelden verwendet oder in Defender for Cloud Apps für die App-Steuerung für bedingten Zugriff integriert ist.
Weitere Informationen über unterstützte Apps finden Sie unter Unterstützte Apps und Clients.
- Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection müssen in Ihrer Organisation konfiguriert und verwendet werden.
Schritte
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Erstellen Sie eine neue Sitzungsrichtlinie.
Wählen Sie unter Sitzungssteuerungstyp die Option Dateiupload steuern (mit Überprüfung) oder Dateidownload steuern (mit Überprüfung).
Hinweis
Sie müssen keine Filter festlegen, um diese Richtlinie für alle Benutzer*innen und Apps zu aktivieren.
Setzen Sie einen negativen Dateifilter unter Vertraulichkeitsbezeichnung, und wählen Sie dann die Bezeichnungen aus, die Ihr Unternehmen zum Kategorisieren von klassifizierten Dateien verwendet.
Optional: Wählen Sie unter Überprüfungsmethode den zu übernehmenden Überprüfungstyp aus, und legen Sie die erforderlichen Bedingungen für den DLP-Scan fest.
Klicken Sie unter Aktionen auf Blockieren. Sie können „Blockieren“-Nachricht anpassen auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer*innen gesendet werden soll, damit sie verstehen, warum der Inhalt blockiert wird und wie sie sie aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.
Klicken Sie auf Erstellen.
Hinweis
Die Liste der Dateitypen, die derzeit von Defender for Cloud Apps für Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection unterstützt, finden Sie unter Integrationsvoraussetzungen für Microsoft Purview Information Protection.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.