Pilot und Bereitstellung von Microsoft Defender for Cloud Apps
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender for Cloud Apps in Ihrem organization. Verwenden Sie diese Empfehlungen, um Microsoft Defender for Cloud Apps als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender for Cloud Apps in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender for Office 365 trägt zu einer Zero Trust Architektur bei, indem sie dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust Adoption Framework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 5 von 6 in einer Reihe, die Ihnen helfen soll, die Komponenten von Microsoft Defender XDR bereitzustellen, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
| Phase | Link |
|---|---|
| A. Starten des Pilotprojekts | Starten des Pilotprojekts |
| B. Pilot und Bereitstellung Microsoft Defender XDR Komponenten |
-
Pilot und Bereitstellung von Defender for Identity - Pilot und Bereitstellung von Defender for Office 365 - Pilotversuch und Bereitstellung von Defender für Endpunkt - Pilot und Bereitstellung Microsoft Defender for Cloud Apps (dieser Artikel) |
| C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender for Cloud Apps
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder die Dienstleistung zu bewerten und zu bewerten, wie es in Ihrem organization funktioniert. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder organization abgedeckt ist.
Hier sehen Sie den Workflow zum Pilotieren und Bereitstellen von Defender for Cloud Apps in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Herstellen einer Verbindung mit Defender for Cloud Apps
- Integration in Microsoft Defender for Endpoint
- Bereitstellen des Protokollsammlers in Ihren Firewalls und anderen Proxys
- Erstellen einer Pilotgruppe
- Ermitteln und Verwalten von Cloud-Apps
- Konfigurieren der App-Steuerung für bedingten Zugriff
- Anwenden von Sitzungsrichtlinien auf Cloud-Apps
- Probieren Sie zusätzliche Funktionen aus
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
| Bereitstellungsphase | Beschreibung |
|---|---|
| Auswerten | Führen Sie die Produktauswertung für Defender for Cloud Apps aus. |
| Pilotprojekt | Führen Sie die Schritte 1 bis 4 und dann 5 bis 8 für eine geeignete Teilmenge von Cloud-Apps in Ihrer Produktionsumgebung aus. |
| Vollständige Bereitstellung | Führen Sie die Schritte 5 bis 8 für Ihre verbleibenden Cloud-Apps aus, passen Sie den Bereich für Pilotbenutzergruppen an, oder fügen Sie Benutzergruppen hinzu, um über das Pilotprojekt hinaus zu erweitern und alle Ihre Benutzerkonten einzubeziehen. |
Schützen Ihrer organization vor Hackern
Defender for Cloud Apps bietet selbst leistungsstarken Schutz. In Kombination mit den anderen Funktionen von Microsoft Defender XDR stellt Defender for Cloud Apps jedoch Daten in die gemeinsamen Signale bereit, die zusammen dazu beitragen, Angriffe zu stoppen.
Hier ist ein Beispiel für einen Cyberangriff und wie die Komponenten von Microsoft Defender XDR helfen, ihn zu erkennen und zu entschärfen.
Defender for Cloud Apps erkennt anomales Verhalten wie unmögliches Reisen, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und zeigt dieses Verhalten im Defender for Cloud Apps an. Defender for Cloud Apps hilft auch, laterale Bewegungen durch Hacker und die Exfiltration vertraulicher Daten zu verhindern.
Microsoft Defender XDR korreliert die Signale aller Microsoft Defender Komponenten, um die vollständige Angriffsgeschichte bereitzustellen.
Defender for Cloud Apps Rolle als CASB und mehr
Ein Cloud Access Security Broker (CASB) fungiert als Gatekeeper, um den Zugriff in Echtzeit zwischen Ihren Unternehmensbenutzern und cloudbasierten Ressourcen zu vermitteln, unabhängig davon, welches Gerät sie verwenden. SaaS-Apps (Software-as-a-Service) sind in hybriden Arbeitsumgebungen allgegenwärtig, und der Schutz von SaaS-Apps und den wichtigen Daten, die sie speichern, ist eine große Herausforderung für Organisationen.
Der Anstieg der App-Nutzung in Kombination mit Mitarbeitern, die auf Unternehmensressourcen außerhalb des Unternehmensperimeters zugreifen, hat auch neue Angriffsvektoren eingeführt. Um diese Angriffe effektiv zu bekämpfen, benötigen Sicherheitsteams einen Ansatz, der ihre Daten in Cloud-Apps über den herkömmlichen Umfang von Cloudzugriffssicherheitsbrokern (CASBs) hinaus schützt.
Microsoft Defender for Cloud Apps bietet vollständigen Schutz für SaaS-Anwendungen und hilft Ihnen, Ihre Cloud-App-Daten in den folgenden Funktionsbereichen zu überwachen und zu schützen:
Grundlegende Casb-Funktionen (Cloud Access Security Broker), z. B. Schatten-IT-Ermittlung, Einblick in die Nutzung von Cloud-Apps, Schutz vor App-basierten Bedrohungen von überall in der Cloud sowie Informationsschutz- und Compliancebewertungen.
SSPM-Features (SaaS Security Posture Management), mit denen Sicherheitsteams den Sicherheitsstatus des organization verbessern können
Advanced Threat Protection als Teil der XDR-Lösung (Extended Detection and Response, erweiterte Erkennung und Reaktion) von Microsoft, die eine leistungsstarke Korrelation von Signalen und Sichtbarkeit über die gesamte Kill-Kette erweiterter Angriffe ermöglicht
App-to-App-Schutz, der die wichtigsten Bedrohungsszenarien auf OAuth-fähige Apps ausweitet, die über Berechtigungen und Berechtigungen für kritische Daten und Ressourcen verfügen.
Cloud-App-Ermittlungsmethoden
Ohne Defender for Cloud Apps sind Cloud-Apps, die von Ihrem organization verwendet werden, nicht verwaltet und nicht geschützt. Um cloud-Apps zu ermitteln, die in Ihrer Umgebung verwendet werden, können Sie eine oder beide der folgenden Methoden implementieren:
- Dank der Integration in Microsoft Defender for Endpoint können Sie Cloud Discovery schnell nutzen. Dank dieser nativen Integration können Sie sofort mit dem Sammeln von Daten im Clouddatenverkehr auf Ihren Windows 10 und Windows 11 Geräten auf und außerhalb Ihres Netzwerks beginnen.
- Um alle Cloud-Apps zu ermitteln, auf die von allen Geräten zugegriffen wird, die mit Ihrem Netzwerk verbunden sind, stellen Sie den Defender for Cloud Apps Protokollsammler auf Ihren Firewalls und anderen Proxys bereit. Diese Bereitstellung hilft beim Sammeln von Daten von Ihren Endpunkten und sendet sie zur Analyse an Defender for Cloud Apps. Defender for Cloud Apps lässt sich nativ in einige Proxys von Drittanbietern integrieren, um noch mehr Funktionen zu bieten.
Dieser Artikel enthält Anleitungen für beide Methoden.
Schritt 1. Herstellen einer Verbindung mit Defender for Cloud Apps
Informationen zum Überprüfen der Lizenzierung und zum Herstellen einer Verbindung mit Defender for Cloud Apps finden Sie unter Schnellstart: Erste Schritte mit Microsoft Defender for Cloud Apps.
Wenn Sie nicht sofort eine Verbindung mit dem Portal herstellen können, müssen Sie die IP-Adresse möglicherweise der Zulassungsliste Ihrer Firewall hinzufügen. Weitere Informationen finden Sie unter Grundlegendes Setup für Defender for Cloud Apps.
Wenn weiterhin Probleme auftreten, lesen Sie Netzwerkanforderungen.
Schritt 2: Integration in Microsoft Defender for Endpoint
Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Defender for Endpoint integrieren. Die Integration vereinfacht die Einführung von Cloud Discovery, erweitert die Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus und ermöglicht die gerätebasierte Untersuchung. Diese Integration zeigt, dass auf Cloud-Apps und -Dienste von IT-verwalteten Windows 10 und Windows 11 Geräten zugegriffen wird.
Wenn Sie Microsoft Defender for Endpoint bereits eingerichtet haben, ist das Konfigurieren der Integration mit Defender for Cloud Apps ein Umschalter in Microsoft Defender XDR. Nachdem die Integration aktiviert wurde, können Sie zu Defender for Cloud Apps zurückkehren und umfangreiche Daten im Cloud Discovery-Dashboard anzeigen.
Informationen zum Ausführen dieser Aufgaben finden Sie unter Integrieren von Microsoft Defender for Endpoint in Microsoft Defender for Cloud Apps.
Schritt 3: Bereitstellen des Defender for Cloud Apps Protokollsammlers in Ihren Firewalls und anderen Proxys
Stellen Sie für die Abdeckung auf allen Geräten, die mit Ihrem Netzwerk verbunden sind, den Defender for Cloud Apps Protokollsammler auf Ihren Firewalls und anderen Proxys bereit, um Daten von Ihren Endpunkten zu sammeln und zur Analyse an Defender for Cloud Apps zu senden. Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte.
Defender for Cloud Apps bietet integrierte App-Connectors für beliebte Cloud-Apps. Diese Connectors verwenden die APIs von App-Anbietern, um eine bessere Transparenz und Kontrolle darüber zu ermöglichen, wie diese Apps in Ihren organization verwendet werden. Weitere Informationen finden Sie unter Verbinden von Apps, um Sichtbarkeit und Kontrolle mit Microsoft Defender for Cloud Apps zu erhalten.
Wenn Sie eines der folgenden Secure Web Gateways (SWG) verwenden, bietet Defender for Cloud Apps eine nahtlose Bereitstellung und Integration:
Weitere Informationen finden Sie unter Übersicht über die Cloud-App-Ermittlung.
Schritt 4. Erstellen einer Pilotgruppe – Festlegen der Pilotbereitstellung auf bestimmte Benutzergruppen
mit Microsoft Defender for Cloud Apps können Sie den Umfang Ihrer Bereitstellung festlegen. Mithilfe des Bereichs können Sie bestimmte Benutzergruppen auswählen, die für Apps überwacht oder von der Überwachung ausgeschlossen werden sollen. Sie können Benutzergruppen einschließen oder ausschließen.
Weitere Informationen finden Sie unter Festlegen der Bereitstellung auf bestimmte Benutzer oder Benutzergruppen.
Schritt 5. Ermitteln und Verwalten von Cloud-Apps
Damit Defender for Cloud Apps den maximalen Schutz bieten kann, müssen Sie alle Cloud-Apps in Ihrem organization ermitteln und ihre Verwendung verwalten.
Entdecken von Cloud-Apps
Der erste Schritt zum Verwalten der Verwendung von Cloud-Apps besteht darin, zu ermitteln, welche Cloud-Apps von Ihren organization verwendet werden. Das folgende Diagramm veranschaulicht, wie Cloud Discovery mit Defender for Cloud Apps funktioniert.
In dieser Abbildung gibt es zwei Methoden, die verwendet werden können, um den Netzwerkdatenverkehr zu überwachen und Cloud-Apps zu ermitteln, die von Ihrem organization verwendet werden.
Cloud App Discovery lässt sich nativ in Microsoft Defender for Endpoint integrieren. Defender für Endpunkt meldet Cloud-Apps und -Dienste, auf die über IT-verwaltete Windows 10 und Windows 11-Geräte zugegriffen wird.
Für die Abdeckung auf allen Geräten, die mit einem Netzwerk verbunden sind, installieren Sie den Defender for Cloud Apps Protokollsammler in Firewalls und anderen Proxys, um Daten von Endpunkten zu sammeln. Der Collector sendet diese Daten zur Analyse an Defender for Cloud Apps.
Zeigen Sie die Cloud Discovery-Dashboard an, um zu sehen, welche Apps in Ihrem organization
Die Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung von Cloud-Apps in Ihrem organization geben. Es bietet einen Überblick über die verwendeten Apps, Ihre offenen Warnungen und die Risikostufen von Apps in Ihrem organization.
Weitere Informationen finden Sie unter Anzeigen ermittelter Apps mit dem Cloud Discovery-Dashboard.
Verwalten von Cloud-Apps
Nachdem Sie Cloud-Apps ermittelt und analysiert haben, wie diese Apps von Ihrem organization verwendet werden, können Sie mit der Verwaltung der von Ihnen ausgewählten Cloud-Apps beginnen.
In dieser Abbildung werden einige Apps für die Verwendung sanktioniert. Sanktionieren ist eine einfache Möglichkeit, mit der Verwaltung von Apps zu beginnen. Weitere Informationen finden Sie unter Steuern ermittelter Apps.
Schritt 6: Konfigurieren der App-Steuerung für bedingten Zugriff
Einer der leistungsstärksten Schutzfunktionen, die Sie konfigurieren können, ist die App-Steuerung für bedingten Zugriff. Dieser Schutz erfordert die Integration in Microsoft Entra ID. Es ermöglicht Ihnen, Richtlinien für bedingten Zugriff, einschließlich zugehöriger Richtlinien (z. B. erfordern fehlerfreie Geräte), auf Cloud-Apps anzuwenden, die Sie sanktioniert haben.
Möglicherweise haben Sie Ihrem Microsoft Entra Mandanten bereits SaaS-Apps hinzugefügt, um mehrstufige Authentifizierung und andere Richtlinien für bedingten Zugriff zu erzwingen. Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Entra ID integrieren. Sie müssen nur eine Richtlinie in Microsoft Entra ID konfigurieren, um die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps zu verwenden. Dadurch wird Netzwerkdatenverkehr für diese verwalteten SaaS-Apps über Defender for Cloud Apps als Proxy weitergeleitet, wodurch Defender for Cloud Apps diesen Datenverkehr überwachen und Sitzungssteuerungen anwenden können.
In dieser Abbildung:
- SaaS-Apps sind in den Microsoft Entra Mandanten integriert. Diese Integration ermöglicht es Microsoft Entra ID, Richtlinien für bedingten Zugriff zu erzwingen, einschließlich der mehrstufigen Authentifizierung.
- Eine Richtlinie wird Microsoft Entra ID hinzugefügt, um Datenverkehr für SaaS-Apps an Defender for Cloud Apps weiterzuleiten. Die Richtlinie gibt an, auf welche SaaS-Apps diese Richtlinie angewendet werden soll. Nachdem Microsoft Entra ID richtlinien für bedingten Zugriff erzwingt hat, die für diese SaaS-Apps gelten, leitet Microsoft Entra ID den Sitzungsdatenverkehr (Proxys) über Defender for Cloud Apps weiter.
- Defender for Cloud Apps überwacht diesen Datenverkehr und wendet alle Sitzungssteuerungsrichtlinien an, die von Administratoren konfiguriert wurden.
Möglicherweise haben Sie Cloud-Apps mithilfe von Defender for Cloud Apps ermittelt und sanktioniert, die nicht zu Microsoft Entra ID hinzugefügt wurden. Sie können die App-Steuerung für bedingten Zugriff nutzen, indem Sie diese Cloud-Apps Ihrem Microsoft Entra Mandanten und dem Umfang Ihrer Regeln für bedingten Zugriff hinzufügen.
Der erste Schritt bei der Verwendung von Microsoft Defender for Cloud Apps zum Verwalten von SaaS-Apps besteht darin, diese Apps zu ermitteln und sie dann Ihrem Microsoft Entra Mandanten hinzuzufügen. Wenn Sie Hilfe bei der Ermittlung benötigen, finden Sie weitere Informationen unter Ermitteln und Verwalten von SaaS-Apps in Ihrem Netzwerk. Nachdem Sie Apps ermittelt haben, fügen Sie diese Apps Ihrem Microsoft Entra Mandanten hinzu.
Sie können mit der Verwaltung dieser Apps mit den folgenden Aufgaben beginnen:
Erstellen Sie in Microsoft Entra ID eine neue Richtlinie für bedingten Zugriff, und konfigurieren Sie sie für App-Steuerung für bedingten Zugriff verwenden. Diese Konfiguration hilft dabei, die Anforderung an Defender for Cloud Apps umzuleiten. Sie können eine Richtlinie erstellen und dieser Richtlinie alle SaaS-Apps hinzufügen.
Erstellen Sie als Nächstes in Defender for Cloud Apps Sitzungsrichtlinien. Erstellen Sie eine Richtlinie für jedes Steuerelement, das Sie anwenden möchten. Weitere Informationen, einschließlich unterstützter Apps und Clients, finden Sie unter Erstellen Microsoft Defender for Cloud Apps Sitzungsrichtlinien.
Beispielrichtlinien finden Sie unter Empfohlene Microsoft Defender for Cloud Apps Richtlinien für SaaS-Apps. Diese Richtlinien basieren auf einer Reihe allgemeiner Identitäts- und Gerätezugriffsrichtlinien , die als Ausgangspunkt für alle Kunden empfohlen werden.
Schritt 7: Anwenden von Sitzungsrichtlinien auf Cloud-Apps
Nachdem Sie Sitzungsrichtlinien konfiguriert haben, wenden Sie diese auf Ihre Cloud-Apps an, um kontrollierten Zugriff auf diese Apps zu ermöglichen.
In der Abbildung sehen Sie Folgendes:
- Der Zugriff auf sanktionierte Cloud-Apps von Benutzern und Geräten in Ihrem organization wird über Defender for Cloud Apps weitergeleitet.
- Cloud-Apps, die Sie nicht sanktioniert oder explizit nicht sanktioniert haben, sind nicht betroffen.
Mit Sitzungsrichtlinien können Sie Parameter darauf anwenden, wie Cloud-Apps von Ihrem organization verwendet werden. Wenn Ihr organization beispielsweise Salesforce verwendet, können Sie eine Sitzungsrichtlinie konfigurieren, die nur verwalteten Geräten den Zugriff auf die Daten Ihrer organization in Salesforce zulässt. Ein einfacheres Beispiel wäre das Konfigurieren einer Richtlinie zum Überwachen des Datenverkehrs von nicht verwalteten Geräten, damit Sie das Risiko dieses Datenverkehrs analysieren können, bevor Sie strengere Richtlinien anwenden.
Weitere Informationen finden Sie unter App-Steuerung für bedingten Zugriff in Microsoft Defender for Cloud Apps.
Schritt 8. Probieren Sie zusätzliche Funktionen aus
Verwenden Sie diese Defender for Cloud Apps Artikel, um Risiken zu erkennen und Ihre Umgebung zu schützen:
- Erkennen verdächtiger Benutzeraktivitäten
- Untersuchen riskanter Benutzer
- Untersuchen riskanter OAuth-Apps
- Ermitteln und Schützen vertraulicher Informationen
- Schützen Aller Apps in Ihrem organization in Echtzeit
- Blockieren von Downloads vertraulicher Informationen
- Schützen Ihrer Dateien mit Administratorquarantäne
- Anfordern einer schrittweisen Authentifizierung bei riskanter Aktion
Weitere Informationen zur erweiterten Suche in Microsoft Defender for Cloud Apps Daten finden Sie in diesem Video.
SIEM-Integration
Sie können Defender for Cloud Apps in Microsoft Sentinel als Teil der Unified Security Operations-Plattform von Microsoft oder eines generischen SIEM-Diensts (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihren organization umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält eine Microsoft Defender für den XDR-Datenconnector, um alle Signale von Defender XDR, einschließlich Defender for Cloud Apps, in Microsoft Sentinel zu bringen. Verwenden Sie die Unified Security Operations-Plattform im Defender-Portal als einzelne Plattform für End-to-End-Sicherheitsvorgänge (SecOps).
Weitere Informationen finden Sie unter:
- Verbinden Microsoft Sentinel mit dem Microsoft Defender-Portal
- Microsoft Sentinel Integration
- Generische SIEM-Integration
Nächster Schritt
Durchführen der Lebenszyklusverwaltung für Defender for Cloud Apps.
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Untersuchen und Reagieren mithilfe von Microsoft Defender XDR fort.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.