Importieren von Benutzergruppen aus verbundenen Apps
Wenn Sie Apps mithilfe von API-Connectors verbinden, können Sie mit Microsoft Defender for Cloud Apps Benutzergruppen importieren, z. B. aus Microsoft 365 und Microsoft Entra ID. Es gibt zwei Arten von Benutzergruppen:
Automatische Gruppen: Automatische Gruppen werden standardmäßig von Microsoft Defender for Cloud Apps erstellt. Beispielsweise gibt es eine automatische Benutzergruppe mit dem Namen Extern, die alle Benutzer aus allen Apps kombiniert, die außerhalb Ihres organization und Zugriff auf Dateien haben oder an Benutzeraktivitäten in Ihrem Mandanten beteiligt waren. Die folgenden automatischen Gruppen sind in Defender for Cloud Apps vorhanden:
- Extern
- Dropbox-Administrator
- Microsoft 365-Administrator
- Google Workspace-Administrator
- Box-Administrator
- Alle Standard- und benutzerdefinierten Salesforce-Profile, z. B. Salesforce-Systemadministrator. Die vollständige Liste finden Sie hier.
Importierte Gruppen: Sie können eine beliebige Gruppe aus Ihren verbundenen Apps importieren. Sie können beispielsweise Benutzergruppen aus Microsoft 365 (Active Directory) und anderen verbundenen Apps importieren. Diese Gruppen ermöglichen es Ihnen, nach Bedrohungen in Ihrer Organisation zu suchen, nicht indem Sie die gesamte Organisation oder einen bestimmten Benutzer betrachten, sondern indem Sie eine bestimmte Gruppe betrachten.
Typische Szenarien, in denen importierte Benutzergruppen verwendet werden, sind:
- Untersuchen, welche Dokumente sich die Personalmitarbeiter ansehen.
- Überprüfen Sie, ob in der Führungsgruppe etwas Ungewöhnliches passiert.
- Ermitteln Sie, ob eine Person aus der Administratorgruppe eine Aktivität außerhalb der USA ausgeführt hat.
Importieren von Benutzergruppen
Wählen Sie Microsoft Defender XDR Einstellungen > Cloud Apps > Systembenutzergruppen >> + Benutzergruppe importieren aus.
Wählen Sie im Bereich Benutzergruppe importieren die App aus, aus der die Benutzergruppe importiert werden soll. Die angezeigten Apps hängen davon ab, welche Connectors Sie bereitgestellt haben.
Wählen Sie die Gruppe aus, die Sie importieren möchten. Die Liste enthält die ersten 50 Gruppen aus den vorhandenen Benutzergruppen in der App. Wenn Ihre Gruppe nicht angezeigt wird, geben Sie suchtext in das Suchfeld oberhalb der Liste ein.
Um der Liste eine neue Gruppe hinzuzufügen, tun Sie dies in der App selbst, und kehren Sie dann zum Microsoft Defender-Portal zurück, um Ihre neue Gruppe in der Liste anzuzeigen.
(Optional) Wählen Sie aus, um per E-Mail benachrichtigt zu werden, wenn der Importvorgang abgeschlossen ist.
Wählen Sie Importieren aus.
Nachdem der Import abgeschlossen ist, wählen Sie Ihre Gruppe auf der Seite Benutzergruppen aus, um eine Liste aller Gruppenmitglieder anzuzeigen. Wählen Sie ein beliebiges Gruppenmitglied aus, um weitere Details anzuzeigen, einschließlich der verwendeten Apps und einer Zusammenfassung der Kontoaktivitäten. Importierte Gruppen können auch bei der Untersuchung im Aktivitätsprotokoll und beim Erstellen von Richtlinien als Filter ausgewählt werden. Gruppenmitglieder werden für importierte Gruppen automatisch synchronisiert, genau wie bei Active Directory Connect.
Hinweis
- Die maximale Anzahl importierter Benutzergruppen beträgt 500.
- Nur aktive Benutzer werden als Teil der importierten Gruppe importiert. Alle angehaltenen, gelöschten oder deaktivierten Benutzer werden ignoriert.
- Es kann eine kurze Verzögerung geben, bis importierte Benutzergruppen in Filtern verfügbar sind.
- Nur Aktivitäten, die nach dem Importieren einer Benutzergruppe ausgeführt werden, werden als von einem Mitglied der Benutzergruppe ausgeführt gekennzeichnet.
- Nach der ersten Synchronisierung werden Gruppen in der Regel stündlich aktualisiert. Aufgrund verschiedener Faktoren kann es jedoch vorkommen, dass dies mehrere Stunden dauern kann.
Weitere Informationen zur Verwendung der Benutzergruppenfilter finden Sie unter Aktivitäten.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.