Allgemeine Defender for Cloud Apps Bedrohungsschutzrichtlinien
Defender for Cloud Apps ermöglicht es Ihnen, Probleme mit hoher Risikonutzung und Cloudsicherheit zu identifizieren, ungewöhnliches Benutzerverhalten zu erkennen und Bedrohungen in Ihren sanktionierten Cloud-Apps zu verhindern. Erhalten Sie Einblick in die Aktivitäten von Benutzern und Administratoren und definieren Sie Richtlinien, damit Sie die automatisch benachrichtigt werden, wenn verdächtiges Verhalten oder bestimmte Aktivitäten erkannt werden, die Sie als riskant erachten. Nutzen Sie die enorme Menge an Informationen zu Bedrohungen und Daten zur Sicherheitsrecherche von Microsoft, um sicherzustellen, dass Ihre genehmigten Apps alle erforderlichen Sicherheitssteuerelemente enthalten und Sie die Kontrolle über diese behalten.
Hinweis
Bei der Integration von Defender for Cloud Apps in Microsoft Defender for Identity werden auch Richtlinien von Defender for Identity auf der Seite richtlinien angezeigt. Eine Liste der Defender for Identity-Richtlinien finden Sie unter Sicherheitswarnungen.
Erkennen und Steuern von Benutzeraktivitäten von unbekannten Standorten aus
Automatische Erkennung des Benutzerzugriffs oder der Aktivitäten von unbekannten Orten, die nie von jemand anderem in Ihrem organization besucht wurden.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch vorkonfiguriert konfiguriert, um Sie zu benachrichtigen, wenn der Zugriff von neuen Standorten aus erfolgt. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Erkennen eines kompromittierten Kontos nach unmöglicher Position (unmögliche Reise)
Automatische Erkennung des Benutzerzugriffs oder der Aktivitäten von 2 verschiedenen Standorten innerhalb eines Zeitraums, der kürzer ist als die Zeit, die benötigt wird, um zwischen den beiden zu reisen.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch vorkonfiguriert, um Sie zu benachrichtigen, wenn der Zugriff von unmöglichen Standorten aus möglich ist. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Optional: Sie können Richtlinien für die Anomalieerkennung anpassen:
Anpassen des Erkennungsbereichs in Bezug auf Benutzer und Gruppen
Wählen Sie die Zu berücksichtigenden Anmeldetypen aus.
Festlegen der Vertraulichkeitseinstellung für Warnungen
Erstellen Sie die Richtlinie für die Anomalieerkennung.
Erkennen verdächtiger Aktivitäten eines Mitarbeiters im Urlaub
Erkennen Sie, wenn ein Benutzer, der unbezahlt urlaubt und in keiner Organisationsressource aktiv sein sollte, auf eine der Cloudressourcen Ihrer organization zugreift.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Erstellen Sie eine Sicherheitsgruppe in Microsoft Entra ID für die Benutzer mit unbezahltem Urlaub, und fügen Sie alle Benutzer hinzu, die Sie überwachen möchten.
Schritte
Wählen Sie auf dem Bildschirm Benutzergruppen die Option Benutzergruppe erstellen aus, und importieren Sie die relevante Microsoft Entra Gruppe.
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Legen Sie den Filter Benutzergruppe auf den Namen der Benutzergruppen fest, die Sie in Microsoft Entra ID für die benutzerseitig unbezahlten Urlauber erstellt haben.
Optional: Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Sie können Benutzer anhalten auswählen.
Erstellen Sie die Dateirichtlinie.
Erkennen und Benachrichtigen, wenn ein veraltetes Browserbetriebssystem verwendet wird
Erkennen Sie, wenn ein Benutzer einen Browser mit einer veralteten Clientversion verwendet, die Compliance- oder Sicherheitsrisiken für Ihre organization darstellen kann.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Legen Sie den Filter Benutzer-Agent-Tag auf Veralteter Browser und Veraltetes Betriebssystem fest.
Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Wählen Sie unter Alle Appsdie Option Benutzer benachrichtigen aus, damit Ihre Benutzer auf die Warnung reagieren und die erforderlichen Komponenten aktualisieren können.
Erstellen Sie die Aktivitätsrichtlinie.
Erkennen und Warnen, wenn Admin Aktivität für riskante IP-Adressen erkannt wird
Erkennen Sie Administratoraktivitäten, die von und der IP-Adresse ausgeführt werden, die als riskante IP-Adresse angesehen wird, und benachrichtigen Sie den Systemadministrator zur weiteren Untersuchung, oder legen Sie eine Governanceaktion für das Administratorkonto fest.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Wählen Sie im Zahnrad Einstellungen die Option IP-Adressbereiche und dann + aus, um IP-Adressbereiche für Ihre internen Subnetze und deren ausgehende öffentliche IP-Adressen hinzuzufügen. Legen Sie die Kategorie auf Intern fest.
Schritte
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Legen Sie Act on aufSingle activity (Einzelne Aktivität) fest.
Legen Sie die Filter-IP-Adresse auf Kategorie gleich Riskant fest.
Legen Sie die Administrative Aktivität des Filters auf True fest.
Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst. Wählen Sie unter Alle Appsdie Option Benutzer benachrichtigen aus, damit Ihre Benutzer auf die Warnung reagieren und die erforderlichen Komponenten für den Vorgesetzten des Benutzers aktualisieren können.
Erstellen Sie die Aktivitätsrichtlinie.
Erkennen von Aktivitäten nach Dienstkonto von externen IP-Adressen
Erkennen von Dienstkontoaktivitäten, die von nicht internen IP-Adressen stammen. Dies kann auf verdächtiges Verhalten oder ein kompromittiertes Konto hinweisen.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Wählen Sie im Zahnrad Einstellungen die Option IP-Adressbereiche und dann + aus, um IP-Adressbereiche für Ihre internen Subnetze und deren ausgehende öffentliche IP-Adressen hinzuzufügen. Legen Sie die Kategorie auf Intern fest.
Standardisieren Sie benennungskonventionen für Dienstkonten in Ihrer Umgebung, z. B. legen Sie alle Kontonamen so fest, dass sie mit "svc" beginnen.
Schritte
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Legen Sie den Filter User auf Name und dann Beginnt mit fest, und geben Sie Ihre Namenskonvention ein, z. B. svc.
Legen Sie die Filter-IP-Adresse auf Kategorie ist nicht gleich Other und Corporate fest.
Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst.
Erstellen Sie die Richtlinie.
Erkennen von Massendownloads (Datenexfiltration)
Erkennen Sie, wann ein bestimmter Benutzer in kurzer Zeit auf eine große Anzahl von Dateien zugreift oder diese herunterlädt.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Legen Sie die Filter-IP-Adressen auf Tag ist nicht gleich Microsoft Azure fest. Dadurch werden nicht interaktive gerätebasierte Aktivitäten ausgeschlossen.
Legen Sie den Filter Aktivitätstypen auf fest, und wählen Sie dann alle relevanten Downloadaktivitäten aus.
Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst.
Erstellen Sie die Richtlinie.
Erkennen potenzieller Ransomware-Aktivitäten
Automatische Erkennung potenzieller Ransomware-Aktivitäten.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch vorkonfiguriert, um Sie zu benachrichtigen, wenn ein potenzielles Ransomware-Risiko erkannt wird. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Es ist möglich, den Bereich der Erkennung zu konfigurieren und die Governanceaktionen anzupassen, die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Weitere Informationen dazu, wie Defender for Cloud Apps Ransomware identifiziert, finden Sie unter Schützen Ihrer organization vor Ransomware.
Hinweis
Dies gilt für Microsoft 365, Google Workspace, Box und Dropbox.
Erkennen von Schadsoftware in der Cloud
Erkennen Sie Dateien, die Schadsoftware in Ihren Cloudumgebungen enthalten, indem Sie die Defender for Cloud Apps Integration in die Threat Intelligence-Engine von Microsoft nutzen.
Voraussetzungen
- Für die Erkennung von Microsoft 365-Schadsoftware benötigen Sie eine gültige Lizenz für Microsoft Defender für Microsoft 365 P1.
- Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
- Diese Erkennung wird automatisch vorkonfiguriert, um Sie zu benachrichtigen, wenn eine Datei vorhanden ist, die Schadsoftware enthalten kann. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Erkennen einer nicht autorisierten Administratorübernahme
Erkennen sie wiederholte Administratoraktivitäten, die auf böswillige Absichten hinweisen können.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Erstellen Sie eine neue Aktivitätsrichtlinie.
Legen Sie Act on aufWiederholte Aktivität fest, und passen Sie die Anzahl der wiederholten Aktivitäten an, und legen Sie einen Zeitrahmen fest, um die Richtlinie Ihrer organization einzuhalten.
Legen Sie den Filter Benutzer auf Aus Gruppe gleich fest, und wählen Sie die gesamte zugehörige Administratorgruppe als Nur Akteur aus.
Legen Sie den Filter Aktivitätstyp auf alle Aktivitäten fest, die sich auf Kennwortaktualisierungen, Änderungen und Zurücksetzungen beziehen.
Legen Sie die Governanceaktionen fest, die für Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren je nach Dienst.
Erstellen Sie die Richtlinie.
Erkennen verdächtiger Posteingangsbearbeitungsregeln
Wenn eine verdächtige Posteingangsregel für den Posteingang eines Benutzers festgelegt wurde, kann dies darauf hindeuten, dass das Benutzerkonto kompromittiert ist und dass das Postfach verwendet wird, um Spam und Schadsoftware in Ihrem organization zu verteilen.
Voraussetzungen
- Verwendung von Microsoft Exchange für E-Mails.
Schritte
- Diese Erkennung wird automatisch sofort konfiguriert, um Sie zu benachrichtigen, wenn ein verdächtiger Posteingangsregelsatz vorhanden ist. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Erkennen von kompromittierten Anmeldeinformationen
Wenn Cyberkriminelle gültige Kennwörter legitimer Benutzer kompromittieren, geben sie diese Anmeldeinformationen häufig weiter. Dies geschieht in der Regel, indem sie öffentlich im dark web veröffentlicht oder Websites eingefügt werden oder indem sie auf dem Schwarzmarkt gehandelt oder verkauft werden.
Defender for Cloud Apps nutzt die Threat Intelligence von Microsoft, um solche Anmeldeinformationen mit denen abzugleichen, die in Ihrem organization verwendet werden.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch vorkonfiguriert konfiguriert, um Sie zu benachrichtigen, wenn ein möglicher Verlust von Anmeldeinformationen erkannt wird. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Erkennen von anomalen Dateidownloads
Erkennen, wenn Benutzer mehrere Dateidownloadaktivitäten in einer einzigen Sitzung durchführen, relativ zur gelernten Baseline. Dies kann auf einen versuchten Verstoß hindeuten.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch vorkonfiguriert, um Sie zu benachrichtigen, wenn ein anomaler Download erfolgt. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Es ist möglich, den Bereich der Erkennung zu konfigurieren und die Aktion anzupassen, die ausgeführt werden soll, wenn eine Warnung ausgelöst wird.
Erkennen anomaler Dateifreigaben durch einen Benutzer
Erkennen Sie, wenn Benutzer in einer einzigen Sitzung in Bezug auf die gelernte Baseline mehrere Dateifreigabeaktivitäten ausführen, was auf einen versuchten Sicherheitsverstoß hinweisen kann.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch vorkonfiguriert, um Sie zu benachrichtigen, wenn Benutzer mehrere Dateifreigaben durchführen. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Es ist möglich, den Bereich der Erkennung zu konfigurieren und die Aktion anzupassen, die ausgeführt werden soll, wenn eine Warnung ausgelöst wird.
Erkennen von anomalen Aktivitäten aus seltenen Ländern/Regionen
Erkennen von Aktivitäten von einem Ort, der nicht vor kurzem vom Benutzer oder von einem Benutzer in Ihrer organization besucht wurde.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch sofort konfiguriert, um Sie zu benachrichtigen, wenn eine anormale Aktivität aus einem seltenen Land/einer seltenen Region auftritt. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Es ist möglich, den Bereich der Erkennung zu konfigurieren und die Aktion anzupassen, die ausgeführt werden soll, wenn eine Warnung ausgelöst wird.
Hinweis
Die Erkennung von anomalen Standorten erfordert einen anfänglichen Lernzeitraum von 7 Tagen. Während des Lernzeitraums generiert Defender for Cloud Apps keine Warnungen für neue Standorte.
Erkennen von Aktivitäten, die von einem beendeten Benutzer ausgeführt werden
Erkennen, wenn ein Benutzer, der kein Mitarbeiter Ihrer organization eine Aktivität in einer sanktionierten App ausführt. Dies kann auf schädliche Aktivitäten eines gekündigten Mitarbeiters hindeuten, der weiterhin Zugriff auf Unternehmensressourcen hat.
Voraussetzungen
Mindestens eine App muss über App-Connectors verbunden sein.
Schritte
Diese Erkennung wird automatisch sofort konfiguriert, um Sie zu benachrichtigen, wenn eine Aktivität von einem gekündigten Mitarbeiter ausgeführt wird. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien zur Anomalieerkennung.
Es ist möglich, den Bereich der Erkennung zu konfigurieren und die Aktion anzupassen, die ausgeführt werden soll, wenn eine Warnung ausgelöst wird.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.